Inegavelmente desde o uso massivo da Internet nos smartphones, a quantidade de mensagens de texto (SMS) que são enviadas e recebidas tem diminuído de forma significativa, enquanto os usuários estão cada vez mais voltados às plataformas online. No entanto, ainda continuam sendo uma ferramenta usada, mas pouco sabemos sobre os aspectos de segurança e autenticidade da origem dessas mensagens.
Como mencionamos em outras ocasiões, os cibercriminosos estão se profissionalizando, acompanhando os avanços tecnológicos e inovando com o uso de diferentes técnicas e canais. A capacidade do spoofing SMS (falsificação do SMS) é um claro exemplo de como os cibercriminosos utilizam tecnologias emergentes para realizar os métodos de Engenharia Social como a antiga, mas vigente, técnica de falsificação de identidade em emails.
O que é o spoofing do SMS?
Como já adiantamos, o spoofing SMS é o envio de mensagens de texto sem uma verdadeira origem, o que significa que o cibercriminoso falsifica ou torna anônimo o endereço do remetente. Muitas vezes esse processo é utilizado para o envio de campanhas publicitárias, embora em muitos países esse tipo de publicidade seja ilegal.
Como consequência, os fornecedores de serviços telefônicos começaram a filtrar estas mensagens; no entanto, estas técnicas ainda continuam vigentes no mundo do cibercrime.
O spoofing SMS funciona em todo o mundo e em quase todas as redes móveis. Europa e Austrália são dois dos lugares onde é mais fácil falsificar mensagens SMS. Em troca, nos Estados Unidos ou Canadá são provavelmente os países onde, por protocolos de segurança, é bem mais difícil falsificar mensagens aplicando as técnicas usuais.
Então, é possível receber mensagens de texto de um número conhecido sem que realmente esse número a tenha enviado?
Hoje em dia, a falsificação do SMS não é tão simples como era há alguns anos atrás. No entanto, navegando pela Internet, como veremos na seguinte imagem, é possível encontrar muitos serviços que por alguns centavos de dólar permitem este tipo de envio.
A efetividade da recepção da mensagem varia muito, considerando as tecnologias aplicadas no país e a companhia telefônica envolvida.
É necessário ter um cuidado muito especial ao utilizar estes serviços, pois muitos realmente não funcionam, são na realidade uma armadilha: apenas capturam um número de telefone válido para, em seguida, enviar spam. Deste modo, esse tipo de serviço é utilizado em muitas ocasiões para gerar bases de dados contendo números telefônicos válidos.
Também existem vários aplicativos tanto no Google Play como no Apple Store, que prometem aos usuários esse tipo de técnica, seja alterando a origem do SMS por um anônimo ou pelo número que o usuário deseje. Particularmente, este caso é mais crítico que o uso de serviços, pois é necessário instalar um tipo de aplicativo (que muitas vezes estão fora de lojas oficiais), correm muitos riscos de infectar-se com um malware.
O que acontece com o WhatsApp ou Telegram?
Nestas plataformas também existe a possibilidade de aplicar técnicas semelhantes, embora com certeza são ataques tecnicamente mais complexos: estão relacionados com ataques Man–In–The-Middle (MITM), a obtenção do IMEI e algumas chaves do usuário.
Apesar desse tipo de ataque ser possível, é pouco provável ser vítima destas técnicas, pois atualmente não se tem registro de casos na América Latina. Também se encontram serviços na Internet que tem muitas semelhanças com os mencionados anteriormente, relacionados ao SMS spoofing, que em muitos casos são apenas um meio para coletar números de telefones válidos.
Quais são os riscos de cair neste tipo de ataque?
Como você pode imaginar, estes ataques podem ser utilizados para realizar o roubo de identidade. Por exemplo, um atacante pode enviar mensagens de texto fazendo-se passar por sua operadora telefônica com o intuito de instalar algum programa ou te inscrever em algum serviço Premium (sem que você se dê conta) que podem gerar mais gastos imprevistos em sua fatura.
Além disso, também podem aplicar técnicas de Engenharia Reversa, onde o atacante se faz passar por uma entidade ou pessoa conhecida para realizar diferentes fraudes financeiras e, inclusive, propagar códigos maliciosos para telefones celulares ou trojans no Android.
Por serem ténicas que exigem serviços de baixo custo, se tornou conveniente para os cibercriminosos utilizarem este tipo de propagação; por isso, é de vital importância estar atento ao receber um SMS estranho.
Como proteger-se?
A principal medida neste caso é a educação e conscientização: conhecendo esse tipo de perigo e compartilhando essa informação, você terá uma das formas mais efetivas para evitar ser vítima de fraudes que existem por trás desse tipo de técnica.
Também é importante ter uma solução de segurança atualizada para dispositivos móveis e não responder mensagens estranhos de números desconhecidos.
Autor: Lucas Paus, da ESET.
Adaptação: Francisco de Assis Camurça, da ESET.