Já ouviu falar em smishing? E vishing? Saiba o que é (e como evitar ser vítima)
A Cyberint, uma empresa de inteligência de ameaças cibernéticas da Check Point® Software Technologies Ltd, alerta para o aumento alarmante dos ataques de smishing (phishing via SMS) e vishing (phishing por chamadas telefónicas) e explica o que fazer para evitar ser vítima.
Estes métodos de ataque, que exploram canais de comunicação alternativos, estão a tornar-se cada vez mais sofisticados e difíceis de detectar, representando uma ameaça significativa não só para cidadãos como para empresas de todos os sectores, e em 2025 parecem não parar.
De acordo com o relatório de Phishing APWG de 2024, os ataques de vishing registaram um aumento de 442% no segundo trimestre de 2024, enquanto os incidentes de smishing têm vindo a crescer de forma constante desde o início da década.
Como funcionam o smishing e o vishing
O smishing e o vishing são variantes de phishing em que os cibercriminosos se fazem passar por entidades legítimas para enganar as vítimas, levando-as a divulgar informações sensíveis ou a realizar ações maliciosas. Isto pode incluir o download de malware, a alteração de dados de faturação ou a execução de outros esquemas fraudulentos.
Enquanto o phishing tradicional recorre sobretudo ao email, o smishing utiliza mensagens SMS e o vishing comunicações de voz, como chamadas telefónicas ou videochamadas. O processo é semelhante: os atacantes identificam os alvos, criam mensagens enganosas e tentam obter dados ou acesso. A grande diferença está no canal de entrega: ao contrário do email, validar números de telefone é muito mais difícil, o que torna estes ataques particularmente eficazes.
Por que razão estes ataques estão a aumentar?
A popularização dos dispositivos móveis e a confiança que os utilizadores depositam em mensagens e chamadas recebidas nos seus telemóveis tornam o smishing e o vishing métodos eficazes para os cibercriminosos. Além disso, a utilização de tecnologias avançadas, como a inteligência artificial, permite criar mensagens e chamadas de voz cada vez mais convincentes, dificultando a identificação de fraudes.
Principais Alvos de Smishing e Vishing
De acordo com o Relatório de Phishing da APWG 2024, as principais indústrias visadas pelos ataques de smishing e vishing são o retalho e os serviços financeiros.
No que toca aos sectores mais frequentemente visados por estas ameaças estão os serviços SaaS/email, redes sociais, finanças e retalho.
Que os cibercriminosos tenham como alvo o sector financeiro não é, propriamente, uma surpresa. Enganar colaboradores ou clientes para que revelem dados que permitem aceder a contas bancárias é uma atividade altamente lucrativa.
Por outro lado, o foco no setor do retalho pode parecer menos óbvio, mas faz sentido se considerarmos o volume massivo de vendas online e a quantidade de dados sensíveis que os clientes frequentemente partilham com os retalhistas. Ao fazerem-se passar por representantes de marcas legítimas, os atacantes tentam obter informações confidenciais dos consumidores.
Contas falsas de redes sociais e contas de email/SaaS controladas por cibercriminosos aumentam a probabilidade de os consumidores caírem no engodo, ao partilharem conteúdos que dão uma aparência de legitimidade às campanhas de phishing.
Recomendações para Mitigação de Riscos
Para combater esta crescente ameaça, a Cyberint recomenda que as empresas implementem as seguintes medidas:
· Educação contínua: formar colaboradores e cidadãos sobre os riscos associados ao smishing e vishing, ensinando-os a reconhecer sinais de alerta e a adoptar práticas seguras de comunicação.
· Simulações de ataques: Realizar campanhas simuladas de smishing e vishing para testar a prontidão e reforçar a capacidade de resposta a ataques reais.
· Tecnologias de segurança: Implementar soluções de segurança que monitorizem e filtrem comunicações suspeitas, incluindo sistemas de deteção de chamadas fraudulentas e filtros de mensagens SMS.
· Políticas de comunicação claras: Estabelecer directrizes claras que incluam procedimentos para a verificação de solicitações sensíveis recebidas por SMS ou telefone.