“Seu pacote foi enviado, por favor verifique”; “Sua conta do Facebook foi comprometida, por favor, insira suas credenciais”; “O Ministério da Saúde recomenda que você baixe o TousAntiCovid”: Como eu e tantos outros, você pode ter recebido uma dessas mensagens de texto nos últimos meses. Uma mensagem que pode ter semeado a dúvida em você: eram mensagens reais, portanto com problemas reais (receber/não perder um pacote, proteger sua conta do Facebook, proteger-se do Covid), ou SMS falsos? Essa dúvida, você já tinha há muito tempo passando pela sua caixa de correio. Mas agora, o phishing (“phishing”, em VF) também é exportado por mensagem de texto. E a atual crise da saúde viu um ressurgimento desse fenômeno, renomeado para a ocasião “smishing” (para SMS + phishing).
Mensagens de texto falsas que se multiplicam
No caso do primeiro exemplo de SMS fraudulento, é um dos muitos “golpes de parcelas” atualmente em ascensão. Inevitavelmente, uma vez que as lojas estão fechadas ou em qualquer caso menos acessíveis, recorremos mais ao delivery. E é suficiente que o SMS seja suficientemente bem filmado e que lhe seja enviado na hora certa, por exemplo, quando você está apenas esperando um pacote, para você morder a isca. Com consequências potencialmente desastrosas.
Por trás deste famoso “encomenda enviada” para ser verificado, esconde-se uma campanha de phishing SMS muito perigosa. Depois de clicar no link desta mensagem que afirma que você receberá um pacote em breve, às vezes você encontrará uma cópia de uma página de identificação real, onde será solicitado que você preencha seus identificadores reais, para o pior e para o pior. Você também encontrará outras vezes em uma página em que é convidado por meios tortuosos a instalar um aplicativo ou uma atualização. Este aplicativo ou atualização é obviamente apenas um malware, que uma vez instalado dará aos hackers por trás dele acesso ao seu smartphone e seus dados.
Desde abril de 2021, circula um SMS falso nas cores da FedEx, UPS, La Poste ou Colissimo. Esta mensagem, que eu mesmo recebi no mesmo dia em que esperava uma encomenda importante, segue o padrão clássico de e-mails de phishing relacionados a entregas de encomendas. Alega que o correio/empresa de entrega precisa que você diga a eles onde deseja receber seu pacote devido ao inesperado - o que, convenhamos, poderia muito bem acontecer no caso de uma entrega real. E ele o envia de volta para isso, por meio de um link curto, para uma página da Web onde há um formulário. Mas esta página não é exibida bem, e uma pequena inserção pede que você atualize seu navegador da web (Chrome, neste caso). O resto, você pode imaginar bem…
Com a crise, portanto, o phishing está em alta, principalmente via SMS. O fenómeno atingiu tais proporções que levou as autoridades espanholas a lançarem recentemente um apelo à vigilância. O último relatório da plataforma Cybermalveillance.gouv.com, que lista as “grandes tendências” em termos de “ameaças cibernéticas”, explica que em 2020, “as campanhas de phishing por SMS evoluíram consideravelmente”, porque “este modo de comunicação é cada vez mais utilizados pelas várias plataformas para comunicar directamente com os seus utilizadores", e porque, ao mesmo tempo, estes "são muito menos suspeitos quando recebem um SMS, sobretudo porque é mais difícil detectar um roubo de identidade ou um site fraudulento de um SMS em um telefone do que em um e-mail em seu computador.”' Em 2020, 17% dos pedidos de ajuda na plataforma diziam respeito a phishing. Esta é a “ameaça nº 1” para os indivíduos.
De fato: quando se trata de um e-mail, muitas vezes temos uma visão retrospectiva suficiente para não clicar. Afinal, estamos atrás de um computador e estamos em uma posição que nos permite manter a cabeça fria e adivinhar que é um vírus ou uma farsa. Mas quando acontece por SMS, é diferente: entregas reais usam cada vez mais mensagens de texto, temos muito menos perspectiva quando estamos atrás de nosso smartphone e os golpistas sabem disso. Eles jogam com seu medo de perder um pacote e apostam que você vai cair na armadilha deles. Sabendo que em média, de acordo com um estudo alemão, são 45% dos usuários que clicam em links recebidos por e-mail ou SMS, mesmo quando não conhecem a fonte. “O uso do SMS como meio de phishing será uma forte tendência que se confirmará e certamente se intensificará nos próximos anos”, prevê a plataforma Cybermalveillance.gouv. Segundo ela, kits de hackers “virtualmente profissionais” são oferecidos até mesmo para venda em “fóruns criminais”.
Mas não entre em pânico: para não cair na armadilha, você só precisa saber como identificar esses falsos SMS. Isso implica, antes de tudo, compreender seu modus operandi.
O modus operandi Smishing
No caso do SMS que está circulando atualmente, a famosa atualização do Chrome é realizada através de um arquivo APK. Lembrando que este é um kit de instalação para aplicativo Android, fora da Google Play Store. Se você baixar este arquivo APK questionável e instalá-lo, o programa solicitará permissão para acessar seu SMS, seus contatos, suas chamadas ou suas fotos. Se você concordar, estará permitindo que este programa, que na verdade é um malware, colete suas informações e as envie para os criminosos por trás dele. Entre as informações que serão roubadas de você: seu número de telefone, o número de série do seu cartão SIM e a lista de seus contatos.Mas não para por aí. O objetivo final dos criminosos cibernéticos é colocar as mãos em sua conta bancária. É por esta razão que este tipo de malware é apelidado de “banqueiro”. Assim, um pouco mais tarde, inadvertidamente, é exibida uma tela, onde se pode ler que o acesso à sua conta bancária foi bloqueado e que deve ser reativado. Uma página com as cores do seu banco oferece a você a inserção de seus identificadores (banco, desta vez) em outro formulário. Mas mesmo antes disso, os hackers já podem ler seu SMS remotamente e, portanto, recuperar os códigos necessários para realizar transações online de sua conta. Obviamente, você suspeita que tendo acesso aos seus contatos, o malware também permite que hackers enviem SMS “smishing” para aqueles ao seu redor.
Obviamente, mensagens de texto falsas não estão vinculadas apenas a entregas de encomendas. Eles exploram as notícias e, atualmente, a crise obriga, jogam nessa corda em vários níveis. Por exemplo, em agosto de 2020, uma onda de smishing atingiu as VSEs (empresas muito pequenas), prometendo-lhes “assistência financeira” diante da crise. Do lado privado, o smishing também vem de bandidos que fingem ser da Previdência Social (Ameli), para impostos, para estabelecimentos bancários, para operadoras de telecomunicações, ou para redes sociais. Inclusive, para o Ministério da Saúde. Foi o que aconteceu em dezembro de 2020: quando o governo enviou um SMS a todos os espanhóis aconselhando-os a instalar o aplicativo TousAntiCovid, os criminosos cibernéticos aproveitaram a chance, enviando às massas uma cópia perfeita, mas fraudulenta, desta mensagem. Para isso, os hackers fizeram uma cópia/cola do SMS oficial, à vírgula. Mas eles inseriram um link para uma página falsa da Google Play Store, convidando a vítima a instalar um aplicativo TousAntiCovid falso, novamente na forma de um arquivo APK. Desta vez, o objetivo do malware, uma vez instalado, é coletar nomes de usuário e senhas, a fim de usar autenticação dupla para invadir sua conta bancária; mas também suas contas do Facebook, WhatsApp ou Instagram. Segundo Numerama, o programa malicioso, da família “Alien”, seria capaz de “gravar tudo o que é digitado no teclado, e capturar tudo o que acontece na tela”… 230 aplicativos Android.
Observe que outro tipo de smishing pode levar você a instalar Trojans genuínos. Como observa Pradeo, o malware Android “sofisticado” às vezes finge ser uma atualização do sistema, às vezes para o Google Chrome (e também oferece uma atualização). "Uma vez instalados, eles podem assumir o controle total do dispositivo e roubar seus dados." Também aqui “tudo começa com um SMS” que diz respeito à entrega de uma encomenda…
Outros SMS fraudulentos finalmente levam ao ransomware, ou “ransomware”. Em julho de 2019, os pesquisadores da ESET ecoaram uma campanha de ransomware para Android espalhada pelo catálogo de endereços das vítimas. Essa “nova família” de ransomware, Android/Filecoder.C, é baseada no envio de SMS falsos. O Filecoder criptografa uma grande variedade de arquivos (.jpg, .doc, .xls, .zip, .rar, .mp4, .mkv, .odt…) e exige, como você pode imaginar, um resgate (em criptomoeda) contra o chave para descriptografar e abri-los.
Saiba como identificar um SMS falso
Não imagine que todos os SMS smishing estão cheios de erros de ortografia e, portanto, facilmente detectáveis. Como aponta a plataforma Cybermalveillance.gouv, as mensagens agora são muito melhor escritas e cada vez mais difíceis de detectar com base em sua construção gramatical. Mesmo que, de fato, a maioria desses falsos SMS tenha formulações um pouco estranhas, que não soam verdadeiras; como se fossem traduzidos de outro idioma. Portanto, não recomendamos que você procure erros ortográficos e gramaticais e fórmulas complicadas.
Cuidado também com mensagens de texto que usam termos como “informar” ou “urgente”. As mensagens de texto Smishing são baseadas no senso de urgência, que o leva a agir sem pensar muito. Não exclua necessariamente a mensagem, mas feche-a (sem clicar no link, é claro) e dê um passo atrás. Se depois de cerca de vinte minutos você realmente tiver uma dúvida, seria bom simplesmente ir ao site em que fez um pedido ou, mais geralmente, ao serviço que supostamente lhe escreveu. Para verificar diretamente se um pacote realmente será entregue a você ou se sua conta do Facebook foi comprometida.
Esteja ciente de que em nenhum momento um serviço de entrega o forçará a baixar um aplicativo para rastrear seu pacote, e muito menos de um aplicativo de uma fonte que não seja a Google Play Store. Da mesma forma, o Facebook nunca lhe enviará um SMS com um link para pedir que você se identifique... A mesma coisa se a mensagem parece vir de Ameli, ou de impostos: as autoridades públicas nunca entrarão em contato com você por SMS. Além disso, cuidado também com os pedidos de informações pessoais: por e-mail, já é estranho, mas por SMS, é ainda mais duvidoso.
Cuidado com os links
Outra forma de identificar esses falsos SMS é justamente olhar para o link ao qual ele se refere. No caso de mensagens falsas de entrega de pacotes, como o aplicativo falso TousAntiCovid, assim como no caso do Filecoder ransomware, a URL usada não é apenas diferente da URL oficial, mas também é um atalho de link. Criado via Bit.ly e Tinyurl.com, neste caso. Dois serviços ao consumidor que reduzem os endereços da web que são muito longos para que uma mensagem caiba no limite de caracteres de um tweet ou SMS. Mas você realmente imagina o governo, os Correios ou mesmo a FedEx, usando encurtadores de links?
Também é possível testar a legitimidade de qualquer link sem precisar clicar nele. Vários serviços de fato oferecem saber se um site é suspeito sem ir até ele: basta copiar e colar o endereço do link no Ushorten, urlscan.io ou mesmo no VirusTotal.
Não instale o APK
Obviamente, o fato de oferecer a instalação de um arquivo APK, portanto não validado pelo Google por ser externo à sua Play Store, é outro sinal forte. O que também deve colocá-lo em alerta são as solicitações de autorização para o aplicativo que você está prestes a instalar. Ela realmente precisa de acesso às suas mensagens de texto e contatos?
Como regra geral, é melhor não instalar APKs, especialmente quando você não está na iniciativa. Porque uma vez em cada duas, além de smishing, lembre-se de que um APK será corrompido e que o malware se esconderá atrás dele.
Tenha cuidado, finalmente, quando você receber uma atualização: é melhor adquirir o hábito de verificar as atualizações do seu dispositivo diretamente nas configurações, assim como as de seus aplicativos diretamente nas configurações. Usar um antivírus também pode ser útil para limitar os riscos. Mas a maneira mais fácil é ativar as atualizações automáticas e manter seu dispositivo e aplicativos atualizados.
Se você teve uma mordida smishing
Você clicou e instalou um APK ou preencheu algumas informações pessoais? Se for esse o caso, notifique seu banco e o serviço vinculado aos identificadores fornecidos. Em seguida, desinstale o aplicativo infectado: isso é suficiente para se livrar dele. Se o malware assumiu a aparência do Google Chrome, observe o tamanho do aplicativo: o malware pesa apenas alguns kilobytes, enquanto o aplicativo real tem vários megabytes.Se você quiser correr o mínimo de risco possível, pode finalmente redefinir seu smartphone para as configurações de fábrica. Em seguida, altere as senhas de todas as suas contas, incluindo as do seu banco online. E não se esqueça de avisar seus contatos que eles podem receber um SMS fraudado...
Denunciar a tentativa de phishing
Finalmente, diante do flagelo do phishing, cabe a você. As plataformas de denúncia foram criadas por autoridades públicas e operadoras de telecomunicações, e não dizem respeito apenas a e-mails. Assim, se recebeu um SMS fraudulento, ou se lhe parece que o recebeu, não clique no link, não instale nada e denuncie esta mensagem em Internet-Signement.gouv (PHAROS). Ou encaminhe o SMS em questão para o número 33700. Ao agir no seu nível, você pode evitar que outra pessoa tenha uma experiência ruim. E você também receberá menos SMS falsos no futuro, quem sabe.