“Caro cliente, a sua fatura encontra-se pendente”. Assim começa uma das mais conhecidas tentativas de fraude por SMS, que chegaram, recentemente, aos consumidores portugueses. Estas mensagens parecem ser provenientes de empresas reputadas, mas os seus autores são criminosos à caça de novas vítimas.
Segurança Social, Finanças ou empresas de serviços em Portugal, todas sabem o que que significa o termo “smishing”. Tal como acontece no phishing (envio de e-mails com intuitos fraudulentos), os criminosos servem-se desta técnica para enganar as vítimas através de mensagens de texto.
Um exemplo recente envolveu a EDP, que alertou os clientes para a circulação de mensagens notificando-os de supostas dívidas. Os cibercriminosos assumiam-se como funcionários e pediam o pagamento de valores por cobrar, através de ligações maliciosas ou instruções para a realização de transferências bancárias. A empresa mantém no seu site um sistema de verificação que ajuda a despistar mensagens falsas.
A principal característica do smishing é informar de um problema sério que carece de ação urgente. Frequentemente, as mensagens alertam para contas pendentes, faturas por pagar ou alegam que o seu dispositivo – ou a sua conta bancária – foi comprometido. A rapidez e a semelhança com mensagens legítimas faz com que as vítimas prescindam de verificar a autenticidade da mensagem.
Como identificar o smishing?
Este tipo de mensagens fraudulentas pode ser identificado por sinais de alerta específicos. Desconfie especialmente de pedidos de dados pessoais confidenciais, incluindo informações financeiras, já que as empresas legítimas nunca fazem esses pedidos por SMS. Também são comuns ligações suspeitas, que redirecionam os utilizadores para sites maliciosos. Preste atenção a erros ortográficos ou gramaticais nas mensagens, algo que raramente acontece em comunicações oficiais. Por último, não se esqueça de que as ofertas que parecem demasiado boas para serem verdade são quase sempre fraudulentas.
Uma das características mais habituais das mensagens de phishing é pedirem uma ação imediata, como a realização de um pagamento urgente ou a verificação de informações pessoais. Parando alguns instantes para pensar, torna-se claro que as grandes empresas e instituições não exigem a resolução imediata de um problema, pelo menos na maior parte das situações.
Perante a quantidade de mensagens falsas que se encontram em circulação, o que podemos fazer? Em primeiro lugar, verificar a sua autenticidade: se a mensagem for alegadamente de uma empresa ou instituição, contacte-a diretamente através dos canais oficiais (número de telefone, e-mail ou site). Não use os dados apresentados na mensagem. As boas práticas passam por:
- Não clicar em ligações suspeitas: se receber uma mensagem com uma ligação que pareça estranha, não clique nela. Em vez disso, aceda ao site oficial da empresa digitando o URL diretamente no navegador.
- Não transfira dinheiro nem transmita informações pessoais: não envie dinheiro nem partilhe informações pessoais com desconhecidos, especialmente se o pedido for feito de forma urgente ou pouco usual.
- Use uma VPN: a utilização de uma VPN (rede privada virtual) pode ajudar a proteger os seus dados pessoais, especialmente quando navega em redes Wi-Fi públicas. Embora uma VPN não proteja diretamente contra o smishing, dificulta a intercetação de dados e torna a navegação online mais segura.
Finalmente, mantenha o seu dispositivo atualizado com as últimas correções de segurança e um antivírus que identifique e bloqueie ligações maliciosas, protegendo o seu dispositivo contra malware. A melhor defesa é a prevenção: informar-se sobre as táticas utilizadas pelos criminosos, desconfiar de mensagens suspeitas e adotar boas práticas de segurança, como a utilização de uma VPN e o contacto direto com as empresas ou instituições envolvidas.