O que é Smishing?
Smishing é um tipo de ataque de engenharia social que usa engano, suborno ou outras técnicas para levar a vítima a fazer o que o invasor deseja. O smishing é definido pelo fato de usar mensagens de texto SMS, que é a origem de seu nome (SMiShing).
O smishing se tornou mais prevalente como técnica de ataque cibernético nos últimos anos devido ao uso crescente de dispositivos móveis. Muitas organizações permitem o uso de dispositivos móveis para os negócios - telefones de propriedade da empresa ou sob um programa traga seu próprio dispositivo (BYOD) - tornando o SMS uma forma comum de comunicação.
Além disso, muitas empresas - incluindo provedores financeiros e marcas como Apple, Amazon e Netflix - estão usando cada vez mais o SMS para se comunicar com seus clientes. Isso é especialmente verdadeiro para comunicações urgentes, como problemas com a conta do cliente.
Os Smishers aproveitam esse fato para tornar seus ataques mais plausíveis. As mensagens de smisming geralmente se disfarçam de comunicações de um provedor legítimo e são projetadas para induzir o alvo a clicar em um link malicioso. Essa abordagem tira proveito de alguns recursos das comunicações por SMS, incluindo:
- Encurtamento de links: Muitas marcas legítimas usam serviços de encurtamento de links (como bit.ly) em mensagens SMS devido ao tamanho restrito das mensagens. Os smishers se aproveitam do fato de que esses serviços ocultam o URL de destino do usuário, facilitando a tentativa de induzir o usuário a visitar um site de phishing.
- Não passar o mouse sobre o link: Em um computador, passar o cursor sobre um link pode revelar seu destino. Esse não é o caso dos dispositivos móveis, o que torna mais difícil para o usuário validar um link antes de clicar nele.
- Mentalidade sempre ativa: A maioria das pessoas está constantemente conectada a seus telefones e acostumada a ler e responder instantaneamente a mensagens SMS. Essa mentalidade significa que as mensagens de smishing têm maior probabilidade de fazer com que o alvo aja sem pensar.
What is Phishing?
Assim como o smishing, o phishing é um ataque cibernético baseado em engenharia social. No entanto, ele não se limita a mensagens SMS, usando uma variedade de plataformas de mensagens diferentes para enviar mensagens maliciosas ao usuário.
Em geral, o phishing usa uma das duas principais técnicas para enganar o usuário. Como o smishing, ele pode usar links maliciosos que direcionam o alvo para sites de phishing que podem ser projetados para roubar credenciais do usuário ou outros dados confidenciais ou instalar malware no dispositivo do usuário. Como alternativa, as mensagens de phishing podem incluir anexos maliciosos projetados para infectar o computador com malware.
Embora o phishing seja mais comumente associado ao e-mail, é um termo geral para qualquer ataque desse tipo. Algumas formas de ataques de phishing incluem:
- Esmagando: phishing via mensagens SMS.
- Vistoria: Engenharia social realizada por telefone ("phishing por voz").
- phishinglança: Os ataques de phishing são direcionados com precisão a um indivíduo ou a um pequeno grupo.
- Baleeira: Ataques de spear phishing direcionados a executivos de alto nível em uma organização.
- Business Email Compromise, BEC (BEC): Ataques de phishing em que o invasor se faz passar por um CEO ou outro executivo para induzir os funcionários a enviar dinheiro ou dados para o invasor.
A diferença entre ataques de smishing e phishing
Smishing é um tipo específico de ataque de phishing que usa mensagens SMS para fornecer conteúdo malicioso. Embora o phishing seja frequentemente associado ao e-mail malicioso, esse ataque pode ser realizado usando qualquer plataforma de mensagens, incluindo e-mail, mídia social e aplicativos de comunicação corporativa, como o Slack, e SMS.
Prevenção de phishing e smishing com a Check Point
phishing e smishing são duas das ameaças cibernéticas mais comuns que as organizações enfrentam. Como esses ataques dependem da engenharia social - enganar, subornar ou coagir o alvo a fazer alguma coisa - em vez de explorar a vulnerabilidade, eles geralmente são mais fáceis de serem executados pelos invasores. Como resultado, os criminosos cibernéticos geralmente usam esses ataques para roubar informações confidenciais ou como o primeiro estágio de um ataque cibernético de várias fases.
A educação dos funcionários é importante para a prevenção de phishing e smishing, mas não é suficiente por si só. Os ataques de phishing estão ficando cada vez mais sofisticados, especialmente com o aumento da IA generativa, e até mesmo o funcionário mais cuidadoso pode não ser capaz de identificar e responder adequadamente a todos eles.
A Check Point oferece soluções de segurança projetadas para fornecer proteção abrangente contra todas as ameaças de phishing, independentemente do meio usado para enviar o conteúdo malicioso. O Check Point Harmony Email and Office oferece forte proteção contra ataques de phishing baseados em e-mail e foi nomeado líder no Forrester Wave 2023 para segurança de e-mail corporativo. Para gerenciar a ameaça do smishing, a Check Point oferece o Harmony Mobile, que pode lidar com esse risco de engenharia social, bem como com outros vetores de ataque focados em dispositivos móveis. Para saber mais sobre como a Check Point pode proteger contra phishing e smishing, inscreva-se para obter um demo gratuito do Check Point Harmony Email and Office e Harmony Mobile hoje mesmo.
Opinião