O que é a SMS Spoofing?

A falsificação de SMS envolve a alteração de informações do remetente para fins fraudulentos, tais como um número de telefone e nome de contacto. Um texto falso não pode ser respondido ou bloqueado. A falsificação baseia-se inteiramente na falsificação de identidade.

Recebe-se um texto de alguém que se acredita conhecer, mas algo não parece bem após uma inspecção mais atenta. O nome e o número de telemóvel não são idênticos aos das listas de contactos das pessoas; são apenas semelhantes.

Os ataques de ciber-segurança estão a aumentar rapidamente. O phishing e fraudes similares como o spoofing foi o tipo de crime cibernético mais prevalecente reportado aos EUA. Internet Crime Complaint Center em 2021, afectando quase 324 mil pessoas.

Interessante? Talvez, sim. Por muito emocionante que pareça, esta capacidade é inquestionavelmente prejudicial quando usada incorrectamente.

Como funciona o SMS Spoofing?

Pode pensar que a falsificação de SMS é uma questão do século XXI, mas pode ficar surpreendido ao saber que se acredita que as suas origens remontam a muitas décadas. Um comandante egípcio chamado Sultan Baybars levou com sucesso o poderoso Krak des Chevaliers em 1271, dando aos cavaleiros sitiados uma carta falsa do seu comandante e ordenando-lhes que a apresentassem. No final, os cavaleiros desistiram e descobriram que a carta era falsa.

A falsificação de SMS funciona disfarçando o número de telefone do verdadeiro remetente numa mensagem SMS para que pareça vir de um dispositivo diferente. Isto pode ser feito de duas maneiras:

  • Pode enviar uma mensagem SMS do telefone da sua vítima para alguém com quem deseja comunicar. Isto enganará o destinatário a pensar que a mensagem vem de alguém que conhece, tal como um amigo ou colega.
  • Pode enviar uma mensagem SMS a partir do número de telefone de outra pessoa para alguém com quem deseja comunicar. Isto também enganará o destinatário a pensar que a mensagem vem de outra pessoa, tal como um amigo ou colega.

Smishing e SMS Spoofing: Qual é a diferença?

Os SMS spoofing e smishing são dois tipos de esquemas que utilizam mensagens de texto para obter informações sensíveis de vítimas insuspeitas. Ambos dependem de técnicas de engenharia social, mas diferem na forma como se dirigem a si.

SMS Spoofing

A falsificação de SMS ocorre quando um hacker envia uma mensagem SMS a partir de um número irreconhecível. A mensagem pode parecer ser de alguém que conhece, ou pode vir de uma empresa ou organização em que confia. Estes ataques têm como objectivo enganá-lo a responder ou clicar num link que irá descarregar malware no seu telefone ou computador.

Smishing

A falsificação é semelhante à falsificação de SMS, mas os hackers enviam e-mails falsos com links maliciosos neles incorporados em vez de utilizarem mensagens de texto. Se clicar no link, este tentará instalar malware no seu dispositivo ou levá-lo-á a um website falso onde lhe serão solicitadas informações pessoais como números de cartão de crédito e números da segurança social.

O que é um SMS Spoofing Attack Vector?

Os vectores de ataque de falsificação de SMS fingem ser mensagens de uma fonte fiável para enganar os utilizadores de telemóveis a divulgarem as suas informações pessoais. Uma mensagem de correio electrónico com um link ou ficheiro executável é tipicamente utilizada para espalhar este ataque. Assim que o botão é premido, o atacante pode aceder às mensagens da vítima e enviá-las em seu nome.

Para que as vítimas forneçam, enviem, ou divulguem informações confidenciais prontamente, é necessário fazê-las acreditar que estão a falar com um amigo ou membro da família de confiança. Esta técnica pode imitar várias pessoas em simultâneo, dependendo do número de receptores simultâneos e do vector de ataque falsificado.

Tipos de SMS Spoofing

Existem muitos tipos diferentes de spoofing de SMS, incluindo:

Identificações falsas do remetente

O tipo mais comum de falsificação é a substituição do verdadeiro ID do remetente por outro número ou nome. Isto permite aos golpistas aparecerem como outra pessoa - como o seu banco ou empresa de cartões de crédito - e enganá-lo a desistir de informações pessoais ou a descarregar software malicioso. Podem também identificação do interlocutor falso fazendo chamadas falsas, para além de mensagens de texto.

Mensagens não solicitadas a granel (UBMs)

UBMs são textos não solicitados que parecem vir de alguém que se conhece mas que provêm de uma fonte desconhecida. Estas mensagens podem incluir links para websites maliciosos, ataques de phishing, e outros esquemas concebidos para roubar informação pessoal de dispositivos móveis.

Assédio

Este tipo de falsificação de SMS envolve normalmente o envio de mensagens ameaçadoras ou inadequadas a outras pessoas. É frequentemente utilizado por perseguidores, valentões e cyberbullies que querem intimidar as suas vítimas. Alguns assediadores usam este método para tentar extorquir dinheiro às suas vítimas, ameaçando-as com consequências se não pagarem.

Transferências de dinheiro falso

Isto pode envolver o envio de um e-mail que afirma ter ganho um prémio para que possa transferir algum dinheiro para uma conta para que possa ser dado à caridade, por exemplo. Ou pode ser um tipo de esquema mais sinistro em que os hackers tentam roubar as suas informações pessoais alegando que ganhou um prémio, mas depois pedem os seus dados bancários para que possam depositá-lo na sua conta.

Espionagem Empresarial

Neste ataque, um hacker enviará uma mensagem SMS para o seu telemóvel com um link para um website malicioso. Ao clicar nesse link, este redireccioná-lo-á para outro site e roubará as suas informações pessoais e credenciais, que o atacante poderá utilizar para aceder aos recursos da empresa ou roubar-lhe dinheiro.

SMS Spoofing: Quais são os usos legítimos?

As utilizações legítimas da falsificação de SMS incluem serviços de mensagens em massa, mensagens oficiais, e protecção da identidade.

Serviços de mensagens em massa

O SMS spoofing pode enviar mensagens em massa para múltiplos destinatários ao mesmo tempo. Isto é particularmente útil para as empresas que querem chegar aos clientes de forma rentável.

Mensagens Oficiais

As agências governamentais também utilizam o SMS spoofing para enviar notificações importantes, tais como prazos fiscais ou avisos sobre catástrofes naturais. Ao enviar estas mensagens, elas devem vir de uma fonte oficial para que as pessoas saibam que são legítimas e não esquemas.

Protecção de Identidade

Empresas como a Equifax utilizam esta tecnologia para proteger as identidades dos seus clientes. Suponha que alguém tenta ligar ou enviar-lhe um e-mail fingindo ser da Equifax com um número de chamada de retorno. Nesse caso, pode facilmente verificar se é ou não real ligando para o número do seu telefone em vez de colocar qualquer informação pessoal através do telefone ou da Internet.

O que é que os utilizadores devem fazer para se protegerem da falsificação de SMS?

  • Desconfie de quaisquer mensagens não solicitadas que receba no seu dispositivo móvel, e não abra quaisquer ligações nessas mensagens. Se abrir um link, certifique-se de que visita o website de onde afirma ser, digitando o URL no seu browser.
  • Não responda a mensagens de texto a pedir informações pessoais tais como números de conta ou palavras-passe. Se receber uma destas mensagens, apague-a imediatamente sem responder.
  • Contacte o seu fornecedor de serviços móveis se receber uma mensagem SMS a pedir dinheiro ou informações pessoais.

Embrulho

Ninguém está completamente seguro contra a falsificação. Deve sempre denunciar os golpistas que o assediam ou utilizam o seu número para falsificar à sua transportadora e à polícia para que possam descobrir de onde vieram as mensagens. Ao fazer isto, a falsificação de SMS pode ser evitada no futuro. Para garantir que não receberá outro SMS do burlão, pode utilizar bloqueadores de SMS descarregados.

Além disso, é necessário estar atento e proteger-se contra outros riscos de falsificação, incluindo a falsificação de e-mails e ataques directos de falsificação de domínios que possam prejudicar a sua reputação. Consulte o nosso guia completo para segurança de spoofing de e-mail para estar a salvo de futuros ataques.

Últimos posts de Ahona Rudra (ver todos)