0
0
Pergunte a 100 estranhos aleatórios se eles sabem o que é ‘smishing’ e poucos sabem o que você está falando.
No entanto, uma vez que o termo seja explicado, muitos perceberiam que têm experiência direta com esse fenômeno de engenharia social .
O que é smishing?
Smishing é uma forma de phishing na qual os cibercriminosos enviam mensagens SMS de fontes supostamente confiáveis para enganar as vítimas a clicar em um link malicioso ou fornecer dados pessoais.
Posicionando-se como bancos, agências governamentais ou mesmo amigos ou familiares, os fraudadores empregam técnicas de engenharia social para induzir as vítimas a entregar dados bancários, credenciais de login, números de Seguro Social e outras informações confidenciais.
Aqueles que são vítimas de ataques de smishing – ou ‘SMS phishing’ – podem ter suas identidades roubadas, contas bancárias esvaziadas ou acabar com malware instalado no telefone.
Qual a popularidade dos ataques de smishing?
Bancos e agências antifraude em todo o mundo alertam que as mensagens de texto fraudulentas estão se tornando mais numerosas e sofisticadas, embora seja difícil encontrar estatísticas para confirmar essas alegações.
Por exemplo, a polícia da cidade de Londres só conseguiu fornecer ao The Daily Swig números em que “o telefone é registrado como o facilitador da fraude” e, portanto, inclui ligações telefônicas fraudulentas e ataques de golpes.
Cerca de 98.055 ocorrências de golpes e ataques por telefone foram relatadas por membros do público na Inglaterra, País de Gales e Irlanda do Norte à Action Fraud, o centro de denúncia de fraudes e crimes cibernéticos do Reino Unido entre 1 de janeiro de 2019 e 31 de março de 2020. No entanto, esses números não incluíam ‘relatórios de informações’, onde a fraude foi relatada, mas os indivíduos que relataram a fraude não foram fraudados como resultado.
As mensagens SMS também sem dúvida desempenham um papel, geralmente em combinação com e-mails, telefonemas ou enganos de porta em porta, nas mais de 200.000 fraudes registradas nos EUA e no Canadá pelo Better Business Bureau.
O Índice de Segurança Móvel Verizon 2020 indicou um problema crescente, relatando que 85% dos ataques a dispositivos móveis não são direcionados por email.
Invariavelmente, houve um aumento nos golpes de engenharia social durante emergências graves, como desastres naturais e, como em 2020, pandemias .
Estes são projetados para explorar os medos e ansiedades do público, tornando suas vítimas um alvo mais fácil.
Em fevereiro, por exemplo, o governo sul-coreano emitiu um alerta sobre mensagens fraudulentas oferecendo máscaras gratuitas e, em março, vieram alertas nos EUA de alertas fraudulentos de remessa, direcionando as vítimas para atualizar as preferências de entrega e fornecer detalhes do cartão de crédito.
Por que smishing é um método de ataque popular?
A maioria dos adultos – e um número crescente de crianças – carrega um smartphone o tempo todo. Pesquisas mostram que a taxa média de abertura de SMS é de 98%, em comparação com apenas 20% para e-mails.
Os cibercriminosos podem automatizar prontamente o envio de mensagens SMS para milhares ou até milhões de combinações de números de telefone.
Ao contrário dos e-mails, aparentemente não existe uma maneira viável de os usuários bloquearem ou sinalizarem mensagens SMS suspeitas.
Também não é possível reverter números para determinar se o remetente proclamado é “legítimo”, nem receber alertas se houver suspeita de fraude no recebimento de SMS, disse Larry Trowell, consultor de segurança principal da empresa de automação de design Synopsys, ao The Daily Swig .
Como funciona o smishing?
Em um golpe típico de smishing, as vítimas são instruídas a realizar uma variedade de ações prejudiciais, na crença equivocada de que estão obtendo algo útil (como ativar um cartão de crédito), emocionante (um prêmio ou oferta exclusiva) ou se proteger de alguma ação imediata. ameaça (como um aviso de que foram infectados com malware).
Essas ações podem incluir:
- Responder ao SMS com informações pessoais específicas
- Clicar em um link que baixa malwares ou os direciona para um site com aparência credível, a fim de divulgar detalhes pessoais
- Ligue para um número ‘serviço ao cliente’ de tarifa premium
- Transferir dinheiro para as contas bancárias do criminoso
Os cibercriminosos representam uma ampla variedade de organizações, como bancos, agências de assistência médica ou empresas de courier.
Os invasores geralmente injetam um senso de urgência (“A oferta expira hoje!” Ou “Aja agora ou sua conta será suspensa!”) Para amedrontar o alvo e seguir instruções que possam ter levantado suspeitas, caso levassem mais tempo para pensar.
O spear-phishing , que personaliza mensagens para um indivíduo ou organização específico, torna esses lances mais credíveis.
Ataques multifacetados – SMS combinados com uma ligação telefônica e / ou site com aparência autêntica – também tornam os esquemas nefastos mais confiáveis.
“Eles podem usar uma mensagem SMS para preparar a vítima, dizendo-lhes para procurar um e-mail”, disse Javvad Malik, advogado de conscientização de segurança da KnowBe4, um provedor de treinamento em conscientização de segurança, ao The Daily Swig .
“Ao passar por diferentes canais simultaneamente, as pessoas geralmente são levadas a acreditar que apenas uma organização legítima teria todos os seus detalhes.”
Exemplos de smishing
Algumas mensagens de smishing são fáceis de localizar, pois as mensagens são caracterizadas por erros de ortografia, gramática incorreta e frases de ação implausíveis.
No entanto, muitos são altamente convincentes e as bandeiras vermelhas – quase sempre existem bandeiras vermelhas, ainda que sutis – são difíceis de detectar.
Três esquemas particularmente sofisticados relatados nos últimos anos incluem:
- Mensagens durante a pandemia do Covid-19 solicitando que o destinatário se auto-isolasse porque supostamente estava em contato próximo com o remetente, que alegou ter testado positivo para o vírus
- Em 2018, 125 clientes do Fifth Third Bank, com sede em Ohio, inseriram suas credenciais de conta em um site falsificado para desbloquear sua conta – em vez disso, cibercriminosos sequestraram suas contas e retiraram US $ 68.000 de 17 caixas eletrônicos ‘sem cartão’
- Um cliente britânico do banco Santander foi fraudado em £ 22.700 em 2016 depois de revelar sua ‘senha única’ a um número de telefone bancário falsificado que se materializou em uma conversa anterior e genuína com o Santander
Qual é a diferença entre smishing e vishing?
Os ataques de vishing são projetados para enganar as vítimas por meio de chamadas de voz.
Os invasores costumam usar serviços de Voz sobre IP (VoIP), como o Skype, pois podem falsificar facilmente identificações de chamadas de organizações confiáveis. Robocalls são frequentemente usados, enquanto o surgimento de áudio falso profundo aumenta o risco de as vítimas serem enganadas pelas vozes manipuladas de pessoas que conhecem e confiam.
Psicologia de uma vítima de smishing
“Todo mundo está vulnerável a e-mails maliciosos e SMS malicioso”, disse Georgia Crossland , coautora de um artigo acadêmico sobre a dimensão comportamental da segurança cibernética que foi submetida ao governo do Reino Unido, ao The Daily Swig .
“Pesquisas mostram que mesmo especialistas podem ser excluídos”, acrescentou o estudante de doutorado em Londres, “ou porque o ataque foi particularmente convincente ou por razões ambientais, como estresse no trabalho ou uma troca de segurança e produtividade”.
Os preconceitos cognitivos “influenciam nossas vulnerabilidades”, disse ela. Ela cita o viés de otimismo, em que os indivíduos se consideram menos suscetíveis que os outros e, portanto, são “menos propensos a adotar métodos preventivos”.
As técnicas de persuasão popularizadas pelo Dr. Robert Cialdini nos anos 80 podem ser frequentemente identificadas em ataques de phishing, diz Crossland – ‘escassez’, por exemplo (“clique antes que seja tarde demais”) ou ‘gostar’ (tendemos a confiar em pessoas ou organizações em que gostar).
“Por exemplo, recebi a mensagem de fraude de vale-refeição da Whole Foods no WhatsApp de três ‘amigos’ separados e quase cliquei no link”, admite Crossland.
Como parar de smishing mensagens de texto snaring você
Embora o smishing não possa ser exatamente derrotado, existem ações que você pode executar para garantir que não se apaixone por eles.
Os especialistas em segurança geralmente pregam uma mentalidade de segurança em primeiro lugar ao decidir se devem responder às mensagens SMS.
“Se você não sabe com certeza quem enviou a mensagem, não clique em nenhum link”, diz Larry Trowell, da Synopsys. “Isso também se aplica a mensagens aparentemente com marca. Se você não se inscreveu para ser notificado com notificações de entrega de pacotes, por exemplo, não clique no link.
“Se parecer incomum que uma empresa esteja enviando mensagens de texto para baixar o aplicativo mais recente ou obter um código de desconto, confie nos seus instintos.”
Esta lista de verificação contém conselhos de especialistas sobre como detectar e lidar com SMS suspeitos:
- Não clique em um link ou ligue para um número em um SMS não solicitado ou envie informações pessoais em resposta
- Verifique a autenticidade de uma mensagem, localizando on-line o site do remetente e os detalhes oficiais de contato
- Se parece bom demais para ser verdade, provavelmente é
- Excluir todos os textos suspeitos
- Bloquear SMS de números desconhecidos – você pode fazer isso em iPhones e telefones Android
- Os números ‘5000’ indicam que a mensagem foi enviada por email e provavelmente é maliciosa
- Enviar uma mensagem de texto ‘STOP’ para evitar futuras mensagens pode apenas confirmar que seu número está em uso e convidar outras mensagens
Treinamento de conscientização de segurança
“Geralmente, não há o equivalente a um gateway de e-mail para mensagens SMS”, diz Javvad Malik, do KnowBe4. “Portanto, as organizações dependem quase completamente de sua equipe ser capaz de detectar, e não ser vítima de, um ataque de golpes”.
Treinamento eficaz e políticas de segurança claras são, portanto, de suma importância.
Porém, Georgia Crossland, que fazia parte da equipe vencedora do primeiro Desafio do Cyber Cyber 9/12 para estudantes do Atlantic Atlantic, alerta que as campanhas de conscientização baseadas no medo “muitas vezes assustam as pessoas a acreditarem que não há nada que elas possam fazer para reduzir as ameaças pessoalmente, levando as pessoas para não tentar.
“Precisamos fazer mais pesquisas qualitativas para entender melhor o fator humano na segurança da informação”, acrescenta ela.
No entanto, soluções tecnológicas ainda podem fazer parte da solução. Por exemplo, o SMS SenderID Protection Registry , um teste no Reino Unido, bloqueou mais de 400 variantes de golpe em abril de 2020, permitindo que as organizações registrassem e protegessem seus cabeçalhos de mensagens.
Como relatar smishing
Se você receber um SMS suspeito que parece se passar por uma organização, poderá alertá-lo diretamente.
Como alternativa, você pode encaminhá-lo para um serviço de SMS antifraude, se houver algum em seu país (7726 nos EUA, por exemplo) ou o Google ‘reportar smishing’ para encontrar a autoridade relevante em seu país ( Scamwatch na Austrália, por exemplo) .
Se você respondeu ao que você suspeita ser um SMS fraudulento, também deve alertar seu banco e sua operadora de telefonia, que podem configurar alertas de segurança.
FONTE: THE DAILY SWIG