O smishing não é algo novo. Temos advertido aos leitores do WeLiveSecurity sobre os ataques de phishing por SMS (também conhecidos como smishing) durante anos.

No entanto, inclusive, embora não sejam novos, continuam sendo uma ameaça para muitos donos de smartphones e, em alguns casos, tem evoluído para que os golpistas consigam enganar a mais usuários com o intuito de convencê-los a proporcionar suas valiosas credenciais.

A grande popularidade da tecnologia da Apple, particularmente seus iPhone e iPad, tem convertido o smishing que busca senhas do ID Apple no principal objetivo para alguns criminosos.

Em uma campanha que é bem típica, as mensagens são enviadas de forma massiva e como spam para usuários do smartphones, contendo um link.

smishing-examples

Normalmente essas mensagens sugerem que seu ID Apple expirou, ou que sua conta foi temporariamente suspensa como medida de segurança até que você confirme que é o verdadeiro dono.

A tática do scammer é sempre a mesma: fazer com que o usuário clique em um link que o leva a uma página falsa de login do ID Apple, que pode parecer bastante semelhante com a original. Nessa página de phishing, caso ingresse, será roubada seu ID Apple e sua senha, e em alguns casos, os atacantes darão um passo a mais pedindo também os dados de seu cartão de crédito e outra informação pessoal.

Como você pode ver em algumas capturas, os sites de phishing não estão projetados para captar apenas a usuários da Apple que falem inglês, como também outros idiomas:

icloud-phishing-site

Mesmo assim, apenas um pequeno percentual de usuários são enganados e continuam as instruções das mensagens, os benefícios para o atacante podem ser consideráveis, já que ingressam a contas e podem obter o acesso a suas fotos e mensagens privadas.

No entanto, isso não significa que quem está por trás dos atacantes de smishing de ID Apple se esqueceram de continuar pensando em novas variantes para seus golpes.

No seguinte exemplo, compartilhado pelo usuário do Twitter Simon Rae-Scott, os golpistas parecem tentar que sua página pareça mais convincente incluindo instruções para que você cancele futuras alertas:

sms-optout

Em alguns casos de smishing, como o exemplo a seguir, enviado por meio do iMessage a um usuário de iPhone baseado na Alemanha, usa como gancho uma mensagem que diz ter encontrado um iPhone perdido.

sms-de

Claro que dar clique no link não te levará a uma página da Apple real.

O que é preciso, com certeza, é que exista mais consciência sobre o problema do smishing do ID Apple sobre campanhas semelhantes. Apenas educando ao público com relação ao que pode acontecer é que podemos esperar que vítimas inocentes possam estar prevenidas quando vejam suas contas comprometidas.

É por isso que me satisfez ver o comediante da TV britânica Al Murray, conhecido por seu personagem “Pub Landlord”, usando o Twitter para alertar a seus mais de 400.000 seguidores sobre uma mensagem de texto suspeita que havia recebido, que lhe pediam para dar clique no link ofuscado e ingressar suas credenciais de sessão no ID Apple.

Felizmente, Murray foi o suficientemente sensato para não seguir as instruções da mensagem:

al-murray-tweet

Então, se você receber um SMS estranho, o que deve fazer?

  • Relatar a URL incluída no scam ao equipamento Safe Browsing do Google. Caso encontre um link enganoso, te dará a certeza de que o Google Chrome e outros navegadores sejam atualizado para alertar aos usuários do risco.
  • Se for possível, denuncie o número que enviou o SMS para sua empresa de telefonia móvel. Algumas criaram números específicos por meio dos quais se podem enviar mensagens de phishing e spam recebidos. De novo, isso ajuda a proteger a todos os usuários.
  • Não responda e não clique na mensagem.

Minha recomendação para todos os que tem contas do ID Apple é que habilitem a autenticação em dois fatores, para ter uma camada adicional de proteção.

apple-2fa

Dessa forma, para os cibercriminosos, embora tenham conseguido roubar sua senha, será muito mais difícil acessar sua conta. Para saber mais sobre o tema, leia nosso artigo duplo fator de autenticação.

Embora provavelmente sempre tenha mais coisas que as empresas de telefonia podem estar fazendo para reduzir a prevalência das campanhas de smishing, tudo o que podemos fazer, como divulgar informações entre os usuários e ajuda-los a serem mais cuidadosos antes de dar clique em mensagens não solicitadas, já é um grande avanço.