SECURE&TIP: ESQUEMAS DE SMS E CHAT

This entry is also available in:

 

O que é “Smishing”?

Depois de termos explicado o Phishing e o Vishing nas semanas anteriores, vamos passar à última das técnicas de engenharia social ou ciberataques diretos às pessoas: o Smishing.

O termo “Smishing” é uma combinação das palavras “SMS” ou “mensagem curta” e “Phishing“. Assim, os cibercriminosos utilizam serviços de mensagens instantâneas como o SMS, mas também aplicações como o Whatsapp, Line, Telegram, etc., para levar a cabo a fraude.

Esta fraude inclui igualmente a utilização de plataformas de conversação como o Skype, Teams, Zoom ou redes sociais, ou seja, qualquer meio que permita o contacto de um terceiro (conhecido ou desconhecido).

A maioria das mensagens deste tipo solicita:

    • Efetuar um pagamento relacionado com, por exemplo:
        • Uma encomenda ou remessa retida na alfândega
        • Pagamento de uma coima ou imposto
    • Clique numa ligação para desbloquear uma conta bancária, um cartão ou um perfil online.
    • Ou descarregue uma imagem/vídeo nosso. Podem ser mensagens inofensivas (“isto é muito engraçado, tem de ver”) e outras vezes ameaçam-nos diretamente com a publicação de imagens nossas em situações comprometedoras, para que mordamos (mesmo que mais tarde se revele que é mentira).

Como é que podemos evitar isto?

    • A regra de ouro é novamente mencionada: desconfiar sempre e “verificar duas vezes”. Ou seja, contactar o remetente por outros meios.
    • Não faça nada do que lhe é pedido até ter verificado o que precede (não clique em ligações, não descarregue ficheiros nem efectue pagamentos). Mesmo que pareça uma mensagem de um familiar, amigo, colega, entidade de confiança ou qualquer outro contacto pessoal ou profissional.
    • Se a mensagem estiver relacionada com o seguimento de uma encomenda, com o bloqueio de uma conta ou de um cartão ou com uma notificação oficial de uma entidade pública (multas, impostos, etc.) , verifique a sua veracidade através das aplicações, do sítio Web ou dos números de contacto oficiais. Por exemplo:
        • No caso dos cartões de crédito, há uma recomendação ainda mais simples, que é tentar pagar com ele. Se estiver efetivamente bloqueado, isso não será possível.
        • No caso do bloqueio do acesso a perfis ou contas em linha, tente iniciar sessão para verificar se não funciona realmente.
        • E, finalmente, no caso das contas bancárias e das notificações oficiais de entidades públicas. Seremos quase sempre notificados por correio, especialmente em caso de infracções, impostos, falta de pagamento, etc.
    • Se considerares que forneceste informações pessoais ou profissionais que não deverias ter divulgado desta forma, notifica o departamento de TI, o CISO ou o DPO no local de trabalho e comunica o facto às autoridades policiais na esfera pessoal.