Smishing: o que é e como detetar SMS fraudulentos

O nome é engraçado, mas as suas consequências tiram-lhe o sorriso dos lábios. O smishing é uma das práticas de cibercrime mais frequentes e, se não tiver cuidado, alguém mal-intencionado pode roubar-lhe a identidade, aceder à sua conta bancária ou obter acesso a outras informações confidenciais.

O que é smishing e como o podemos detetar?

Smishing mistura as palavras SMS e phishing. Trata-se de um esquema através do qual alguém procura obter informação pessoal ou financeira de outrem, através de um SMS ou de uma mensagem enviada pelas redes sociais, fingindo ser de uma entidade, como um banco ou uma empresa de cartões de crédito.

Como funciona o smishing?

A mensagem pode ser um aviso falso sobre uma senha roubada, propostas e prémios que requerem uma resposta rápida. Outra prática bastante comum é os burlões fazerem-se passar por transportadoras de mercadorias, dizendo que têm uma encomenda à espera de ser levantada ou na alfândega.

Estes SMS costumam incorporar uma ligação para um site, em que lhe pedem para:

• Inserir os seus dados pessoais ou os da sua conta, como o número de cartão de identificação e a senha de acesso ao homebanking

• Fazer o download de um ficheiro ou instalar uma aplicação.

Para parecer mais credível, o site poderá ter o logótipo do banco ou da empresa, bem como o nome e outras marcas registadas.

Exemplo de smishing:

Vejamos um caso real, para entender melhor. O Guilherme está a fazer compras na mercearia próxima da sua casa. Quando pega no telemóvel para consultar a lista de compras, recebe uma mensagem que diz:

“SANTANDER BANCO S.A

Desativou a sua conta a 15/03/2022.

Para reativar clique aqui”

O Guilherme fica alarmado, mas em vez de tomar decisões precipitadas, começa a reparar nos detalhes. Rapidamente percebe que se trata de um esquema e que se clicar na hiperligação aparecerá um formulário com dois campos a pedir-lhe o número de identificação e a senha que usa para a sua banca online, mais um botão de “enviar”.

Como detetar uma mensagem fraudulenta?

Para saber como prevenir o phishing por SMS é importante estar atento a alguns sinais. Duvide sempre que a mensagem contenha:

• Um link ou ficheiros para fazer download que não estava à espera
• Um pedido urgente de ajuda, geralmente na forma de dinheiro
• Parabéns por vencer um concurso no qual não participou
• O nome de uma instituição bancária da qual é cliente ou uma marca que conhece e com quem trabalha
• Uma solicitação urgente para verificar informações pessoais através de um link ou número de telefone automatizado
• As hiperligações não coincidem com o endereço da instituição ou marca, nem têm protocolos de segurança tradicionais, como começar com “https”.

Vale sempre a pena lembrar que as instituições bancárias não pedem dados pessoais ou senhas de acesso através de mensagem escrita com hiperligações. Por isso, se em algum momento receber um SMS de um remetente que diz ser o seu banco, a requisitar algo deste género, apague imediatamente a mensagem e contacte o banco a informar do sucedido.

Como me posso proteger do smishing?

Apresentamos cinco dicas simples para que saiba como evitar o smishing e se consiga proteger contra tentativas de comprometer a sua cibersegurança.

1. Pense sempre antes de clicar ou responder

Se não reconhece o remetente, ou não estava à espera da mensagem, confirme que vem de um domínio fiável ou de uma morada correta. Se a mensagem for sobre operações bancárias, confirme que as executa no site oficial do banco, na aplicação ou noutros canais oficiais.

2. Mantenha as suas senhas seguras

Não utilize a mesma senha para plataformas diferentes. Use senhas compostas por três ou mais palavras, formando frases, que a tornam mais forte.

3. Seja discreto online e offline

Com milhões de pessoas a usar redes sociais para se manterem em contacto e trabalhar, devemos ter cuidado com as suas definições de segurança e de privacidade e também com o que partilhamos publicamente.

4. Proteja a sua informação e o seu dispositivo

Não se esqueça de atualizar o seu sistema operativo, aplicações e programas. As novas versões costumam ter atualizações que mantêm a informação armazenada nos seus dispositivos a salvo de vírus.

5. Se suspeita de alguma coisa, denuncie

Se desconfia de um esquema como smishing ou phishing, não hesite em alterar as suas senhas, informe a empresa envolvida e ajude os especialistas em cibersegurança.

Qual é a diferença entre smishing e phishing?

O smishing acontece quando se recebe um SMS no telemóvel. Mas há outros canais através dos quais nos podem tentar enganar. Também é comum acontecer por email e nesse caso é conhecido como phishing.

O phishing é uma técnica de fraude online, utilizada por criminosos, para roubar senhas de acesso ao homebanking e outras informações pessoais, para depois utilizá-las de forma fraudulenta.

Uma tentativa de phishing pode acontecer através de websites ou emails falsos, que imitam a imagem de uma empresa conhecida e confiável para chamar a atenção. Esses sites ou emails prometem, normalmente, promoções extravagantes ou solicitam que faça uma atualização dos seus dados bancários, evitando o cancelamento da conta, por exemplo.

Este tipo de fraude não acontece apenas através de SMS e de email. Também existe o vishing, uma técnica de VoIP (Voice over Internet Protocol), que utiliza o telefone para roubar informações pessoais.

É enviado um email que aparenta ser proveniente de uma instituição legítima e que convida o recetor a telefonar para um determinado número. Quando a vítima telefona, do outro lado está um atendedor automático que solicita dados pessoais para efeitos de "verificação de segurança". Há situações em que os burlões prescindem do envio de email e telefonam diretamente às vítimas para recolher os seus dados pessoais.

Como denunciar SMS phishing?

Se foi vítima de smishing - ou apenas recebeu um SMS fraudulento ao qual nunca respondeu - recomenda-se que contacte de imediato o banco (ou outra instituição em causa) e que faça, logo que possível, queixa junto das autoridades policiais ou do Ministério Público.

Os conteúdos apresentados não dispensam a consulta das entidades públicas ou privadas especialistas em cada matéria.