Você provavelmente já ouviu falar de phishing – quando criminosos tentam fazer com que você clique em links, envie detalhes sensíveis ou baixe malware por e-mail. Smishing é phishing... mas através de mensagens de texto. Em vez de um e-mail de golpe chegar na sua caixa de entrada, ele chega como um SMS, iMessage, WhatsApp ou outra notificação baseada em texto no seu telefone. O objetivo é o mesmo: enganá-lo para que clique em um link malicioso, compartilhe informações pessoais ou baixe malware. 

Assim como o phishing, o smishing é um tipo de ataque de engenharia social onde um golpista manipula suas emoções para contornar seu julgamento. Cair em um golpe de smishing pode expor informações sensíveis como detalhes bancários, senhas ou até mesmo dar acesso a um cibercriminoso ao seu dispositivo. 

A boa notícia? Você não precisa cair nessa. Uma vez que você conhece os sinais de smishing, torna-se muito mais fácil identificar, evitar e relatar esses golpes. 

Como é uma mensagem de smishing? 

O termo "smishing" vem de "SMS phishing" – SMS sendo um termo arcaico para mensagens de texto.  

Mensagens de smishing são sorrateiras. Elas muitas vezes se disfarçam como alertas urgentes de bancos, serviços de entrega, agências governamentais ou até do seu chefe. O objetivo é sempre o mesmo: fazer com que você aja rapidamente antes de pensar sobre o pedido.  

Aqui estão alguns dos tipos mais comuns de mensagens de smishing: 

• Atualizações falsas de entrega. Você pode receber uma mensagem dizendo, “Seu pacote está atrasado. Atualize suas informações de entrega aqui.” O link parece oficial, mas o site é um golpe.     

• Alertas de banco ou conta. Essas mensagens afirmam que há atividades suspeitas na sua conta. Elas instam você a clicar em um link ou ligar para um número para “verificar” suas informações. 

• Golpes de prêmios ou sorteios. O texto pode dizer, “Parabéns! Você ganhou um cartão-presente de $1.000. Clique para reivindicar.” 

• Imitação de agências governamentais. Alguns textos fingem ser do IRS, Seguro Social, ou até mesmo das forças da lei, exigindo pagamento imediato ou informações pessoais. Outro golpe comum é afirmar que você tem um pedágio ou multa de trânsito não pago. 

• Golpes de emprego ou ganho de dinheiro. Mensagens como “Ganhe $500/dia trabalhando de casa. Inscreva-se agora!” exploram pessoas em busca de trabalho. 

• Verificações de conta. Você pode receber mensagens dizendo que sua conta do PayPal, Netflix, Amazon ou outra está bloqueada. Frequentemente, os golpistas dirão que você precisa redefinir sua senha, e então eles roubam sua senha real quando você a insere em seu formulário falso de "Redefinição de Senha".  

Essas mensagens frequentemente incluem links que parecem ligeiramente errados. Eles podem ter domínios com números aleatórios, caracteres extras ou terminações estranhas como .xyz em vez de .com. E como tendemos a confiar mais em textos do que em e-mails, os golpistas sabem que você provavelmente clicará sem pensar. 

Por que o smishing parece mais urgente 

Se os e-mails de phishing tentam apressá-lo, o smishing leva essa pressão a um nível superior. Nossos telefones estão sempre em nossas mãos, e as mensagens parecem mais pessoais e imediatas. Os golpistas estão cientes disso e aproveitam essa situação. 

Uma tática clássica de smishing é criar um sentido de urgência, que pode ser negativo ou positivo: 

• Urgência negativa: “Seu conta bancária está bloqueada.” “Há um mandado de prisão para você.” “Login suspeito detectado.” 

• Urgência positiva: “Você ganhou um prêmio!” “Reivindique seu presente grátis antes da meia-noite!” “Oferta exclusiva só para você!” 

Essas mensagens são projetadas para fazer você entrar em pânico ou ficar animado o suficiente para tocar no link antes de pensar bem. 

Tire alguns segundos antes de tocar 

Uma simples pausa pode poupá-lo de muitos problemas. Se você receber uma mensagem inesperada pedindo para clicar em um link, compartilhar informações ou agir rapidamente, respire fundo. 

Pergunte-se: 

• Eu estava esperando esta mensagem? 

• O link parece suspeito? (A maioria dos links em mensagens legítimas virá de domínios simples e reconhecíveis.) 

• A mensagem faz sentido? Eu realmente pedi um pacote? Tenho mesmo uma conta com este serviço? 

Se você ainda estiver em dúvida, verifique a situação por meio de canais oficiais (ou seja, um número de telefone, e-mail de contato ou site não incluído na mensagem). Abra o aplicativo diretamente ou digite o site você mesmo – não confie no link na mensagem. 

Além disso, você pode mostrar a mensagem a um amigo ou pessoa querida para que eles deem sua opinião. Um segundo par de olhos é uma ótima ferramenta para detectar golpes!

Quando o golpista conhece seu nome 

Assim como o spear phishing por e-mail, o smishing pode ser personalizado. Os golpistas podem citar seu nome ou seu local de trabalho. Eles geralmente obtêm essas informações a partir de vazamentos de dados públicos, redes sociais ou diretórios online. 

Se uma mensagem incluir suas informações pessoais, isso não significa que ela seja confiável; pode indicar que um golpista fez sua lição de casa. Permaneça cauteloso sempre que receber um pedido urgente e inesperado.  

O que fazer se você receber uma mensagem de smishing 

Se você receber uma mensagem suspeita, uma das coisas mais seguras que você pode fazer é nada. Não responda. Não clique. Não interaja.  

Mesmo responder “STOP” sinaliza que seu número está ativo e pode levar a mais tentativas de golpe. 

Em vez disso, bloqueie o número. Smartphones têm um recurso integrado para bloquear números de telefone e relatá-los como spam.  

Você pode tirar uma captura de tela da mensagem e compartilhá-la com o grupo de bate-papo da sua família para alertá-los sobre o golpe. Muitos golpes têm como alvo pessoas em seu grupo de família e amigos, então espalhe o aviso. 

Finalmente, apague a mensagem. Após reportar e bloquear, apague a mensagem do seu telefone para evitar abri-la acidentalmente mais tarde. 

Bons hábitos de segurança para celular  

Embora os filtros de spam capturem muito lixo, nenhum filtro é perfeito. Aqui estão algumas formas de reduzir sua vulnerabilidade. Os mesmos bons hábitos de cibersegurança que você usa no seu computador também funcionam no seu telefone. 

• Ative o autenticação multifator (MFA) para todas as suas contas.      

• Use senhas longas e únicas para cada conta, gerenciadas com um gerenciador de senhas. 

• Mantenha o sistema operacional e os aplicativos do seu telefone atualizados, já que as atualizações incluem as últimas correções de segurança.      

• Ative recursos de bloqueio de chamadas e mensagens de spam e golpe da sua operadora de telefonia ou dentro das configurações do seu dispositivo. Converse com seu provedor de telefonia móvel para mais informações.  

Relatar smishing faz a diferença 

Pode parecer que uma denúncia não importa, mas isso não é verdade. As operadoras de telefonia e o governo usam denúncias para derrubar operações de golpes, colocar links maliciosos na lista negra e impedir que outros caiam em golpes. 

Ao denunciar mensagens de smishing, você não está apenas se protegendo. Você está ajudando a interromper o golpe para todos. 

Você tem algumas opções para relatar suspeitas de smishing: 

• Encaminhe a mensagem para 7726 (SPAM). Isso funciona com a maioria das grandes operadoras dos EUA e ajuda a bloquear números de golpes. 

• Você pode relatar tentativas de smishing para a Federal Trade Commission (FTC) em reportfraud.ftc.gov. Você também pode relatar o incidente ao FBI em IC3.  

Pense antes de tocar 

O smishing depende da velocidade. Um golpista pode fazer você clicar antes de pensar? Desvie das armadilhas de smishing levando alguns segundos para verificar o remetente, inspecionar URLs de links e perguntar a si mesmo se essa mensagem parece legítima. 

Lembre-se: Nenhuma organização legítima nunca pedirá informações sensíveis ou exigirá ações urgentes por mensagem de texto. Quando em dúvida, apague. 

E para mais dicas de segurança online, inscreva-se no nosso newsletter!