Seu telefone vibra. Você espera que seja uma resposta do encontro da noite anterior, mas, em vez disso, tem uma sensação totalmente diferente: é um SMS alarmante alertando sobre atividades suspeitas em sua conta bancária e que uma ação imediata é necessária. Respire fundo e não deixe de ler a mensagem com atenção. Felizmente, seus ativos podem estar completamente seguros. Pode ser apenas um “smisher”. Smishing, ou phishing por SMS, é uma tática em que os cibercriminosos se fazem passar por organizações ou indivíduos respeitáveis e induzem as pessoas a entregar suas informações de identificação pessoal (PII) ou detalhes financeiros.
Às vezes, eles podem parecer muito confiáveis com as informações que possuem, e você pode até estar esperando uma correspondência de natureza semelhante. Então, como saber quando um texto SMS é real e requer sua atenção? E como você deve lidar com um smisher para manter sua identidade segura?
O que é smishing?
Como phishing de e-mail e phishing de redes sociais, o phishing de SMS geralmente tenta usar uma emoção forte – como medo, raiva, culpa ou empolgação – para fazer com que você responda imediatamente e sem pensar muito. Vishing é outra tática de phishing por telefone, embora, em vez de um texto, o golpista deixe mensagens de voz.
No caso de um ataque smishing coordenado, os cibercriminosos não apenas se fizeram passar por instituições financeiras, mas também coletaram PII sobre seus alvos com antecedência. Os criminosos então usaram esses detalhes pessoais – como endereços antigos e números de CPF – para convencer as pessoas de que eram funcionários legítimos do banco1.
Mas desde quando um banco tenta se provar para o cliente? Normalmente, é o contrário, onde eles pedem para você confirmar sua identidade. Desconfie de qualquer pessoa que envie mensagens de texto ou ligue para você e tenha suas PII. Se você suspeitar de uma ligação ou mensagem de texto alegando ser alguém do setor financeiro, entre em contato com seu banco pelos canais verificados (chat, e-mail ou telefone) encontrados no site do banco.
Os golpistas também acompanham os eventos atuais e tentam se passar por empresas conhecidas que têm um motivo para entrar em contato com seus clientes. Isso adiciona uma falsa legitimidade à sua mensagem. Por exemplo, no verão de 2022, a Rogers Communications, uma provedora de telecomunicações canadense, sofreu uma perda prolongada de serviço e disse aos clientes que poderiam esperar um reembolso. Smishers aproveitaram a oportunidade para enviar uma enxurrada de textos falsos solicitando dados bancários para realizar o reembolso. No entanto, Rogers creditava os clientes diretamente em suas contas Rogers2.
3 dicas para identificar se é smishing
Se você receber um texto suspeito, siga estes três passos para determinar se deve entrar em contato com a organização em questão ou simplesmente excluir e denunciar o texto.
1. Conheça suas preferências de notificação
Você tem alertas de texto ativados para suas contas bancárias e de serviços públicos? Caso contrário, desconsidere qualquer texto que afirme ser dessas organizações. As empresas só entrarão em contato com você pelos canais que você aprovou. Além disso, no caso do esquema de smishing da Rogers, saiba como uma empresa planeja acompanhar os clientes em relação aos reembolsos. Você pode encontrar informações como essa no site oficial e nos canais sociais verificados.
2. Verifique o tom
ChatGPT pode tornar mais difícil detectar tentativas de smishing porque as ferramentas de geração de conteúdo de IA costumam usar gramática e ortografia corretas. No entanto, o tom é um bom indicador de um golpista. Se o tom do texto o incita a agir rapidamente ou propõe uma consequência funesta se ignorar a mensagem, fique alerta.
Embora atividades suspeitas em seu cartão de crédito sejam graves, seu banco provavelmente o reembolsará por cobranças que você não fez, para que você tenha tempo de verificar sua conta bancária e ver as atividades recentes. A correspondência oficial das instituições financeiras será sempre profissional e tentará deixá-lo à vontade, não em pânico.
3. Verifique o número de telefone
Sempre que você receber uma mensagem de texto de alguém que não conhece, é uma boa prática fazer uma pesquisa na Internet pelo número para ver a quem ele está associado. Se for um número legítimo, ele deve aparecer na primeira página dos resultados da pesquisa e direcionar para a página oficial do banco.
O que fazer quando você recebe um alerta de SMS falso
Depois de identificar um alerta de SMS falso, não se envolva com ele. Nunca clique em nenhum link da mensagem, pois eles podem redirecioná-lo para sites perigosos ou baixar malware em seu dispositivo. Além disso, não responda ao texto. Uma resposta permite que o criminoso do outro lado saiba que ligou para um número de telefone válido, o que pode fazer com que redobrem seus esforços. Por fim, bloqueie o número e denuncie-o como spam. Uma regra importante a ser sempre seguida é nunca fornecer seu número de CPF, informações bancárias, nomes de usuário ou senhas por texto.
Como manter suas PII protegidas contra o smishing
Para lhe dar tranquilidade nos casos em que você acha que um indivíduo mal-intencionado tem acesso às suas PII, você pode contar com o McAfee+. O McAfee+ oferece um conjunto abrangente de serviços de proteção de identidade e privacidade para ajudá-lo a se sentir mais seguro em sua vida digital.
- PC Mag, “Segundo o FBI, os golpistas estão usando alertas de fraude bancário falsos para conseguir vítimas”.
- Daily Hive, “Alerta de fraude da Rogers: mensagens de texto oferecendo crédito após a interrupção do serviço são falsos”.
Mantenha-se atualizado
Siga-nos para se manter atualizado sobre a McAfee e ficar por dentro das mais recentes ameaças à segurança móvel e do consumidor.
