A falsificação de SMS envolve a alteração das informações do remetente para fins fraudulentos, como o número de telefone e o nome do contacto. Um texto falso não pode ser respondido ou bloqueado. A falsificação de SMS baseia-se inteiramente na representação.
Recebe uma mensagem de texto falsa de alguém que julga conhecer, mas algo não parece certo após uma inspecção mais atenta. O nome e o número de telemóvel não são idênticos aos que constam das listas de contactos das pessoas; são apenas semelhantes.
Os ataques de ciber-segurança estão a aumentar rapidamente. O phishing e fraudes similares como o spoofing foi o tipo de crime cibernético mais prevalecente reportado aos EUA. Internet Crime Complaint Center em 2021, afectando quase 324 mil pessoas.
Interessante? Talvez, sim. Por muito emocionante que pareça, esta capacidade é inquestionavelmente prejudicial quando usada incorrectamente.
Como funciona o SMS Spoofing?
Pode pensar que a falsificação de SMS é uma questão do século XXI, mas pode ficar surpreendido ao saber que se acredita que as suas origens remontam a muitas décadas. Um comandante egípcio chamado Sultan Baybars levou com sucesso o poderoso Krak des Chevaliers em 1271, dando aos cavaleiros sitiados uma carta falsa do seu comandante e ordenando-lhes que a apresentassem. No final, os cavaleiros desistiram e descobriram que a carta era falsa.
A falsificação de SMS funciona disfarçando o número de telefone do verdadeiro remetente numa mensagem de texto SMS, para que esta pareça vir de um dispositivo diferente. Há duas formas de o fazer:
- Pode enviar uma mensagem SMS do telefone da sua vítima para alguém com quem deseja comunicar. Isto enganará o destinatário a pensar que a mensagem vem de alguém que conhece, tal como um amigo ou colega.
- Pode enviar uma mensagem SMS a partir do número de telefone de outra pessoa para alguém com quem deseja comunicar. Isto também enganará o destinatário a pensar que a mensagem vem de outra pessoa, tal como um amigo ou colega.
Smishing e SMS Spoofing: Qual é a diferença?
O SMS spoofing e o smishing são dois tipos de burlas que utilizam mensagens de texto falsas para obter informações sensíveis de vítimas desprevenidas. Ambos se baseiam em técnicas de engenharia social, mas diferem na forma como o visam.
SMS Spoofing
A falsificação de SMS ocorre quando um hacker envia uma mensagem SMS a partir de um número irreconhecível. A mensagem pode parecer ser de alguém que conhece, ou pode vir de uma empresa ou organização em que confia. Estes ataques têm como objectivo enganá-lo a responder ou clicar num link que irá descarregar malware no seu telefone ou computador.
Smishing
A falsificação é semelhante à falsificação de SMS, mas os hackers enviam e-mails falsos com links maliciosos neles incorporados em vez de utilizarem mensagens de texto. Se clicar no link, este tentará instalar malware no seu dispositivo ou levá-lo-á a um website falso onde lhe serão solicitadas informações pessoais como números de cartão de crédito e números da segurança social.
O que é um vector de ataque de falsificação de SMS?
Os vectores de ataque de falsificação de SMS fingem ser mensagens de uma fonte fiável para enganar os utilizadores de telemóveis e fazê-los revelar as suas informações pessoais. Normalmente, é utilizada uma mensagem de correio eletrónico com uma ligação ou um ficheiro executável para disseminar este ataque. Assim que o botão é premido, o atacante pode aceder às mensagens da vítima e enviá-las em seu nome. Uma forma de evitar esta situação é aceitar mensagens apenas de empresas de confiança que utilizem um gateway de SMS e uma plataforma de marketing por correio eletrónico fiáveis.
Para que as vítimas forneçam, enviem, ou divulguem informações confidenciais prontamente, é necessário fazê-las acreditar que estão a falar com um amigo ou membro da família de confiança. Esta técnica pode imitar várias pessoas em simultâneo, dependendo do número de receptores simultâneos e do vector de ataque falsificado.
Tipos de SMS Spoofing
Existem muitos tipos diferentes de spoofing de SMS, incluindo:
1. Identificações de remetente falsas
O tipo mais comum de spoofing consiste em substituir a verdadeira identificação do remetente por outro número ou nome. Isto permite que agentes maliciosos se façam passar por entidades como o seu banco ou empresa de cartões de crédito, enganando-o para que divulgue informações pessoais ou descarregue software nocivo. Podem também falsificar o identificador de chamadas fazendo chamadas falsas, para além de falsificar mensagens de texto.
2. Mensagens em massa não solicitadas (UBMs)
UBMs são textos não solicitados que parecem vir de alguém que se conhece mas que provêm de uma fonte desconhecida. Estas mensagens podem incluir links para websites maliciosos, ataques de phishing, e outros esquemas concebidos para roubar informação pessoal de dispositivos móveis.
3. Assédio
Este tipo de falsificação de SMS envolve normalmente o envio de mensagens ameaçadoras ou inapropriadas a outras pessoas. Alguns assediadores utilizam este método para tentar extorquir dinheiro às suas vítimas, ameaçando-as com consequências se não pagarem.
4. Transferências de dinheiro falsas
Isto pode envolver o envio de um e-mail que afirma ter ganho um prémio para que possa transferir algum dinheiro para uma conta para que possa ser dado à caridade, por exemplo. Ou pode ser um tipo de esquema mais sinistro em que os hackers tentam roubar as suas informações pessoais alegando que ganhou um prémio, mas depois pedem os seus dados bancários para que possam depositá-lo na sua conta.
5. Espionagem empresarial
Neste ataque, um hacker enviará uma mensagem SMS para o seu telemóvel com um link para um website malicioso. Ao clicar nesse link, este redireccioná-lo-á para outro site e roubará as suas informações pessoais e credenciais, que o atacante poderá utilizar para aceder aos recursos da empresa ou roubar-lhe dinheiro.
SMS Spoofing: Quais são os usos legítimos?
As utilizações legítimas da falsificação de SMS incluem serviços de mensagens em massa, mensagens oficiais, e protecção da identidade.
Serviços de mensagens em massa
O SMS spoofing pode enviar mensagens em massa para vários destinatários de uma só vez. Isto é particularmente útil para as empresas que pretendem utilizar software de SMS em massa para chegar aos clientes de forma económica.
Mensagens Oficiais
As agências governamentais também utilizam o SMS spoofing para enviar notificações importantes, tais como prazos fiscais ou avisos sobre catástrofes naturais. Ao enviar estas mensagens, elas devem vir de uma fonte oficial para que as pessoas saibam que são legítimas e não esquemas.
Protecção de Identidade
Empresas como a Equifax utilizam esta tecnologia para proteger as identidades dos seus clientes. Suponha que alguém tenta ligar ou enviar-lhe um e-mail fingindo ser da Equifax com um número de chamada de retorno. Nesse caso, pode facilmente verificar se é ou não real ligando para o número do seu telefone em vez de colocar qualquer informação pessoal através do telefone ou da Internet.
O que é que os utilizadores devem fazer para se protegerem da falsificação de SMS?
- Tenha cuidado com quaisquer mensagens de texto não solicitadas que receba no seu dispositivo móvel e não abra quaisquer ligações nessas mensagens. Se abrir uma hiperligação, certifique-se de que visita o sítio Web real do qual afirma ser, escrevendo o URL no seu browser. Para garantir a autenticidade das comunicações, a implementação de uma verificação eficaz da ID do remetente é crucial para estabelecer uma ligação segura entre o remetente e o destinatário.
- Não responda a mensagens de texto a pedir informações pessoais tais como números de conta ou palavras-passe. Se receber uma destas mensagens, apague-a imediatamente sem responder.
- Contacte o seu fornecedor de serviços móveis se receber uma mensagem SMS a pedir dinheiro ou informações pessoais.
Embrulho
Ninguém está completamente seguro contra a falsificação. Deve sempre denunciar os golpistas que o assediam ou utilizam o seu número para falsificar à sua transportadora e à polícia para que possam descobrir de onde vieram as mensagens. Ao fazer isto, a falsificação de SMS pode ser evitada no futuro. Para garantir que não receberá outro SMS do burlão, pode utilizar bloqueadores de SMS descarregados.
Além disso, é necessário estar atento e proteger-se contra outros riscos de falsificação, incluindo a falsificação de e-mails e ataques directos de falsificação de domínios que possam prejudicar a sua reputação. Consulte o nosso guia completo para segurança de spoofing de e-mail para estar a salvo de futuros ataques.
- DMARC torna-se obrigatório para a indústria de cartões de pagamento a partir de 2025 - 12 de janeiro de 2025
- Alterações do NCSC Mail Check e o seu impacto na segurança do correio eletrónico do sector público do Reino Unido - 11 de janeiro de 2025
- Guia de explicação da etiqueta DMARC aspf - 7 de janeiro de 2025