Smishing, Phishing e Vishing: Qual é a diferença?
Ligações rápidas
⭐ Phishing vs. Smishing vs. Vishing
⭐ O que é o Phishing?
⭐ O que é Smishing?
⭐ O que é Vishing?
⭐ Como detetar esquemas de phishing, smishing e vishing
Principais lições
Phishing, smishing e vishing são várias tácticas utilizadas pelos cibercriminosos para defraudar indivíduos e adquirir dados sensíveis, bem como recursos financeiros. Estes esquemas envolvem frequentemente o engano através de e-mails ou chamadas telefónicas que parecem legítimas, de modo a enganar as vítimas para que divulguem informações valiosas ou transfiram fundos para contas não autorizadas.
O phishing é uma forma de engano que utiliza métodos de comunicação eletrónica, como o correio eletrónico, para enganar as pessoas e levá-las a divulgar informações sensíveis ou dados pessoais. Do mesmo modo, o smishing, abreviatura de SMS phishing, utiliza mensagens de texto não solicitadas enviadas através de dispositivos móveis para defraudar os destinatários, levando-os a clicar em ligações maliciosas ou a fornecer dados confidenciais. Por outro lado, o vishing tira partido da comunicação telefónica, em que os criminosos se fazem passar por organizações legítimas para extrair informações críticas de vítimas desprevenidas através do telefone.
Para evitar ser alvo de tais esquemas fraudulentos, é essencial examinar meticulosamente o endereço do remetente, hiperligações e pedidos, verificar a autenticidade das mensagens não clicando em quaisquer ligações ou marcando números de telefone até ter a certeza de que são genuínos e, se houver dúvidas sobre a legitimidade de uma chamada, terminar a ligação e voltar a marcar utilizando um número autorizado.
Recebeu alguma correspondência não convencional a solicitar compensações financeiras, dados privados ou instruções para seguir endereços Web suspeitos, a fim de cumprir determinados requisitos? É provável que estas solicitações resultem de uma tentativa de o atrair através de tácticas de phishing, smishing ou vishing, que são cada vez mais prevalecentes no panorama digital atual.
Pode perguntar-se, no entanto, como identificar esses argumentos enganadores e evitar ser vítima deles.
Phishing vs. Smishing vs. Vishing Vishing
Antes de nos debruçarmos sobre os pormenores intrincados, vamos apresentar um resumo geral da natureza e das características de cada esquema fraudulento:
|
Phishing
|
Smishing
|
Vishing
-|-|-|-|-
Definição
|
Fraudes enviadas por correio eletrónico
|
Phishing scams enviados por SMS
|
Phishing scams efectuados através de chamadas telefónicas
Objetivo
|
Obter acesso não autorizado a informações pessoais sensíveis, tais como credenciais de início de sessão e dados financeiros.
|
Infiltrar os seus dados pessoais, tais como credenciais de início de sessão e informações financeiras, através de meios não autorizados, ou instalar sub-repticiamente software nocivo no seu dispositivo.
|
Enganar as pessoas para que revelem informações sensíveis através de comunicações telefónicas e obter sub-repticiamente o controlo das suas contas online são duas tácticas nefastas utilizadas pelos cibercriminosos para explorar vulnerabilidades e comprometer a segurança das vítimas.
Exemplo
|
Ficaríamos muito satisfeitos se pudesse seguir o link fornecido para verificar a sua transação recente e reclamar a sua generosa recompensa. Note que esta correspondência serve como uma notificação oficial da sua elegibilidade para esta compensação, que foi concedida como parte do nosso compromisso contínuo com a satisfação do cliente. Esperamos sinceramente que esta oportunidade lhe traga grande alegria e satisfação. Obrigado por nos ter escolhido como o seu fornecedor de serviços preferido.
|
Foi enviada uma mensagem por SMS, solicitando que navegue para um endereço Web especificado, a fim de confirmar os detalhes da sua conta pessoal.
|
Uma comunicação fraudulenta pode ser recebida por telefone de uma instituição respeitável, como o Internal Revenue Service (IRS), uma instituição financeira ou outra entidade de confiança, alegadamente a exigir o pagamento de uma suposta dívida ou a solicitar informações pessoais sensíveis para resolver um suposto problema.
Defesa
|
É importante ter cuidado ao analisar a origem de uma mensagem de correio eletrónico, incluindo o endereço do remetente, quaisquer ligações incorporadas e a natureza do pedido que está a ser feito, antes de tomar qualquer medida.
|
Antes de dar seguimento a qualquer mensagem de texto suspeita, é importante verificar a sua autenticidade comparando-a com uma fonte de confiança. Além disso, evite marcar números de telefone contidos nessas mensagens, a menos que tenha a certeza de que são genuínos.
|
Se se deparar com uma chamada telefónica duvidosa, pode ser prudente terminar a ligação e marcar novamente utilizando um número estabelecido e legítimo como medida de precaução.
O que é phishing?
Os ataques de phishing utilizam frequentemente o correio eletrónico como meio de comunicação devido à sua facilidade em falsificar o endereço do remetente, criando assim a aparência de que a mensagem provém de uma instituição financeira, retalhista, agência governamental ou outra fonte respeitável. Este tipo de engano é normalmente conseguido através da criação de conteúdos relevantes para transacções normalmente realizadas por correio eletrónico, tais como actividades bancárias, compras online, actualizações de envios da United Parcel Service (UPS) ou da Federal Express (FedEx), ou redefinições de palavras-passe solicitadas por plataformas de redes sociais, incluindo o Facebook ou o serviço Gmail da Google.
Ao receber a notificação, a inclinação inicial do utilizador pode ser a de tratar imediatamente do assunto, clicando na hiperligação fornecida para o resolver sem demora. No entanto, em vez de direcionar o utilizador para o site genuíno, esta hiperligação em particular leva-o a uma página de login de imitação concebida por criminosos virtuais. Assim que o indivíduo introduz as suas credenciais de login nesta plataforma fraudulenta, os criminosos obtêm acesso ilimitado à sua conta. Como resultado, podem então alterar a palavra-passe da vítima, drenar os seus activos financeiros ou assumir a sua identidade sem serem detectados.
Recentemente, deparei-me com uma mensagem eletrónica que suscitou preocupações quanto à sua autenticidade devido a certos indicadores que sugerem um possível esquema de phishing. A captura de ecrã apresentada mostra esses sinais de alerta, que incluem:
Atualmente, não possuo uma conta Cash App, nem me registei para uma no passado.
A aparência do endereço do remetente parece ser absurda, ilegítima e desligada de qualquer correspondência legítima relacionada com a plataforma de comunicação autorizada da Square Inc. para transacções financeiras electrónicas, nomeadamente a Cash App.
De facto, podemos perguntar-nos por que razão é necessário iniciar manualmente um processo de confirmação, clicando numa ligação para depósitos efectuados através da Cash App, em vez de permitir que estes se reflictam instantaneamente na conta.
A sedução de uma alegada declaração de “obrigação sem custos” parece ser deliberadamente elaborada para ocultar quaisquer intenções ocultas que possam existir na comunicação do remetente. Embora a mensagem pareça oferecer uma soma generosa de dinheiro sem qualquer despesa, é importante reconhecer e conhecer os potenciais perigos associados a este tipo de ofertas. Estas ameaças podem ir desde o roubo de identidade até ao descarregamento de malware nocivo ou outros planos nefastos destinados a explorar as informações confidenciais de uma pessoa. Tendo em conta estes numerosos sinais de aviso, decidi apagar rapidamente a correspondência em vez de continuar a interagir com ela.
O que é Smishing?
O smishing, um tipo de cibercrime, envolve a utilização de mensagens de texto em vez de correio eletrónico para obter fraudulentamente informações pessoais ou ganhos financeiros, fazendo-se passar por uma entidade de confiança. Este método combina os acrónimos SMS, que significa Short Message Service, com o termo “phishing” para criar o nome “smishing”.
O smishing é uma forma de ataque de phishing em que os fraudadores utilizam várias tácticas para enganar as pessoas, levando-as a clicar em ligações ou a divulgar informações sensíveis. Estas mensagens parecem frequentemente legítimas, assemelhando-se a comunicações de fontes fiáveis, como bancos, conhecidos ou empresas com as quais se interage regularmente. Podem também conter hiperligações concebidas para serem clicadas, levando as vítimas inocentes a fornecer involuntariamente as suas credenciais de início de sessão e, assim, serem vítimas do estratagema.
Fechar
Numa situação alternativa, uma mensagem de smishing pode afirmar que o utilizador ganhou um prémio ou uma lotaria sem qualquer indicação ou participação prévia da sua parte. Para resgatar esta suposta recompensa, o utilizador é instruído a pagar uma taxa nominal, a contactar um número de telefone específico ou a clicar numa hiperligação que exigiria a divulgação de informações sensíveis, incluindo credenciais de início de sessão. É imperativo notar que este suposto prémio não existe; pelo contrário, o fornecimento de tais dados confidenciais pode facilitar a indivíduos sem escrúpulos o esgotamento dos fundos da sua instituição financeira.
De forma semelhante, outra comunicação enganosa pode alegar que um indivíduo triunfou num sorteio e deseja conceder-lhe os seus ganhos generosos. Não é de surpreender que instrua o destinatário a seguir uma hiperligação ou a fornecer dados sensíveis para obter essas riquezas.
Apesar de nem a época dos impostos ser imune, são frequentes as mensagens de texto maliciosas que prometem reembolsos de impostos ou afirmam que se deve dinheiro ao Internal Revenue Service.
Porquê enviar mensagens de texto e não por correio eletrónico? Bem, de acordo com a Gartner , muito mais pessoas lêem e respondem a mensagens de texto - cerca de 98% contra apenas 20% para o correio eletrónico. Como estamos constantemente colados aos nossos telemóveis, o smishing tem mais hipóteses de ser bem sucedido.
O que é o vishing?
macrovector/ freepik
O vishing, também conhecido como “phishing de voz”, envolve esquemas fraudulentos que são executados através de comunicações telefónicas. Esta forma de engano implica que um indivíduo receba uma chamada de um impostor que procura informações pessoais, em vez de enviar mensagens electrónicas.
As fraudes de vishing empregam várias tácticas de engenharia social destinadas a enganar os indivíduos, provocando emoções como o medo ou o pânico através de cenários fabricados que envolvem situações urgentes e ameaçadoras, como a utilização não autorizada dos seus números da Segurança Social ou dívidas fiscais pendentes ao Internal Revenue Service (IRS). Estas tácticas são concebidas para manipular as vítimas no sentido de fornecerem informações pessoais sensíveis para facilitar a resolução dos alegados problemas. Um exemplo disto pode ser visto no tópico intitulado “X” na nossa plataforma, que ilustra um caso clássico de um esquema de vishing.
Uma tática comum utilizada pelos burlões de vishing envolve a manipulação das informações de identificação do autor da chamada, conhecida como “caller ID spoofing”. Ao falsificar a fonte de uma chamada recebida para parecer que provém de uma organização respeitável, como uma instituição financeira ou uma agência governamental, o burlão pode aumentar as suas hipóteses de executar o seu esquema com sucesso. Utilizando dados pessoais obtidos através de violações de dados anteriores, estes burlões utilizam frequentemente tácticas persuasivas para estabelecer credibilidade. Por exemplo, podem saudar a vítima com uma mensagem como “Olá, Sr. Smith, é o seu banco que está a ligar” para ganhar a sua confiança antes de prosseguir com as suas intenções nefastas.
Uma de duas coisas ocorre agora.
O indivíduo visado neste cenário é solicitado a fornecer informações financeiras sensíveis, tais como o número do seu cartão de crédito ou de débito, juntamente com os números de identificação pessoal (PIN) associados e outros dados de identificação pessoal através de um sistema automático de resposta de voz interactiva.
Ao iniciar o contacto com a sua instituição financeira, o indivíduo visado por este esquema pode encontrar-se em conversa com um impostor que se faz passar por representante da referida instituição. Ao não terminar a ligação quando lhe é pedido, o criminoso mantém efetivamente o controlo sobre o canal de comunicação.A seguir, a vítima insuspeita será provavelmente sujeita a um tom de marcação simulado, que é subsequentemente substituído pelo ator fraudulento que se faz passar por uma figura de autoridade legítima. Nesta qualidade, exigirá informações sensíveis da vítima, ostensivamente para fins de verificação, mas acabará por utilizar esses detalhes para transferir fundos das contas da vítima para um veículo financeiro recém-criado, supostamente seguro, sob o seu controlo.
Lamentavelmente, a questão das perdas financeiras resultantes de esquemas de vishing continua a não ser clara em termos de responsabilidade jurídica, uma vez que os bancos defendem que certas medidas de responsabilização devem recair sobre as vítimas para salvaguardar os seus próprios interesses, mesmo que tais acções sejam intencionalmente prosseguidas pelos autores das fraudes.
Como detetar fraudes de phishing, smishing e vishing
Embora os burlões possam empregar astúcia e duplicidade nos seus esforços, é possível equipar-se com várias medidas pró-activas que se revelam eficazes para impedir tais tentativas. Estas estratégias são práticas e directas, poupando recursos valiosos como tempo, finanças e energia gastos desnecessariamente.
Confirme a autenticidade da pessoa que o está a contactar, verificando o número de telefone, o endereço de e-mail ou o canal de comunicação através do qual o contactou. É possível que o número fornecido tenha sido falsificado para parecer uma fonte legítima.
Em caso de dúvida, é aconselhável utilizar uma ligação telefónica alternativa, mesmo que o número pareça ser de confiança. Deste modo, é possível evitar potenciais esquemas fraudulentos conhecidos como esquemas “sem corte de ligação”. Recomenda-se a utilização de um número de telefone que tenha aparecido recentemente num extrato bancário ou, em alternativa, a pesquisa do número principal de apoio ao cliente da sua instituição financeira através de fontes online fiáveis.
Ao interagir com outras pessoas, é essencial ter cuidado ao fornecer informações financeiras pessoais, independentemente da sua persistência. Em nenhuma circunstância se deve divulgar dados sensíveis, tais como dígitos de identificação, incluindo os que se encontram no verso de um cartão de crédito ou a sua data de validade.
Evite atender a pedidos não solicitados de desconhecidos para transferir fundos para outra conta, pois é pouco provável que tais acções sejam iniciadas pela sua instituição financeira. Além disso, os bancos respeitáveis não enviam normalmente mensageiros para recuperar os livros de cheques dos clientes e as autoridades legítimas só recorrem a tais medidas nos casos em que se justifica uma ação legal, como quando são perseguidos pelo Serviço de Impostos Internos.
Tenha cuidado ao receber mensagens de texto não solicitadas que se fazem passar por uma instituição financeira ou outra entidade respeitável. Este tipo de comunicação não deve ocorrer a menos que o destinatário tenha dado o seu consentimento prévio para receber tais notificações por SMS.
Tenha cuidado ao encontrar ligações encurtadas nas mensagens de texto, uma vez que estas podem conduzir a destinos não desejados. A incerteza em torno dessas hiperligações representa um risco potencial para quem tocar ou clicar nelas, tornando difícil prever o seu destino final.
Se receber chamadas telefónicas que envolvam linguagem intimidatória ou coerciva, é aconselhável terminar imediatamente a comunicação. As organizações legítimas não recorrem a ameaças vazias sem motivos de preocupação adequados.
É prudente não utilizar métodos de pagamento irrevogáveis, como cartões de oferta, moedas digitais ou transferências bancárias, quando se lida com partes desconhecidas, uma vez que estas formas de pagamento oferecem pouco ou nenhum recurso em caso de atividade fraudulenta.
É aconselhável confiar na intuição quando confrontado com e-mails, mensagens de texto ou chamadas que pareçam duvidosas ou demasiado boas para serem verdadeiras. Seria prudente considerá-los como potenciais burlas e proceder em conformidade.
Após uma análise cuidadosa e prudente, a manutenção de um estado de consciência elevado deve prevalecer como o imperativo principal. Nos casos em que surja a incerteza, uma ação judiciosa consistiria em terminar imediatamente a comunicação. Além disso, quando confrontado com correspondência eletrónica não solicitada, sob a forma de correio eletrónico ou de mensagem de texto, é aconselhável ignorá-la por completo.