CONSELHO DE SEGURANÇA (TIP) 19.fevereiro 2024: SMISHING

This entry is also available in:

O que é “Smishing”?

Depois de termos explicado o Phishing e o Vishing nas TIPS anteriores, vamos passar à última das técnicas de engenharia social: o Smishing.

O termo “Smishing” é uma combinação das palavras“SMS” ou “short message” (mensagem de texto curta em inglês) e“Phishing“. Por conseguinte, os cibercriminosos utilizam serviços de mensagens instantâneas, como SMS, mas também aplicações como Whatsapp, Line, Telegram, etc., para levar a cabo a burla.

Esta fraude inclui igualmente a utilização de plataformas de conversação como o Skype, Teams, Zoom ou redes sociais, ou seja, qualquer meio que permita o contacto de um terceiro (conhecido ou desconhecido).

A maioria das mensagens deste tipo solicita:

    • Efetuar um pagamento relacionado com, por exemplo:
        • Uma encomenda ou remessa retida na alfândega
        • Pagamento de uma coima ou imposto
    • Clique numa ligação para desbloquear uma conta bancária, um cartão ou um perfil online.
    • Ou descarregue uma imagem/vídeo nosso. Podem ser mensagens inofensivas (“isto é muito engraçado, tem de ver”) e outras vezes ameaçam-nos diretamente com a publicação de imagens nossas em situações comprometedoras, para que mordamos (mesmo que mais tarde se revele que é mentira).

Como é que podemos evitar isto?

    • A regra de ouro é novamente mencionada: desconfiar sempre e “verificar duas vezes”. Ou seja, contactar o remetente por outros meios.
    • Não faça nada do que lhe é pedido até ter verificado o que precede (não clique em ligações, não descarregue ficheiros nem efectue pagamentos). Mesmo que pareça uma mensagem de um familiar, amigo, colega, entidade de confiança ou qualquer outro contacto pessoal ou profissional.
    • Se a mensagem estiver relacionada com o seguimento de uma encomenda, com o bloqueio de uma conta ou de um cartão ou com uma notificação oficial de uma entidade pública (multas, impostos, etc.) , verifique a sua veracidade através das aplicações, do sítio Web ou dos números de contacto oficiais. Por exemplo:
        • No caso dos cartões de crédito, há uma recomendação ainda mais simples, que é tentar pagar com ele. Se estiver efetivamente bloqueado, isso não será possível.
        • No caso do bloqueio do acesso a perfis ou contas em linha, tente iniciar sessão para verificar se não funciona realmente.
        • E, finalmente, no caso das contas bancárias e das notificações oficiais de entidades públicas. Seremos quase sempre notificados por correio, especialmente em caso de infracções, impostos, falta de pagamento, etc.

Se considerar que forneceu informações pessoais ou profissionais que não deveria ter divulgado desta forma, notifique o departamento de TI, o CISO ou o RPD no local de trabalho e comunique o facto às autoridades policiais na esfera pessoal.