Por Dana Smith, Senior Communication Specialist, Information Security na BCD Travel
À medida que as ameaças cibernéticas continuam evoluindo, o mesmo acontece com a nossa compreensão de como os ataques acontecem. A maioria de nós está familiarizada com o phishing – aqueles e-mails sorrateiros que fingem ser de fontes legítimas. Mas já ouviu falar de mishing?
O que é o mishing?
Mishing é a abreviatura de mobile phishing. Especificamente, refere-se a ataques de phishing efetuados através de chamadas telefônicas, textos SMS ou mensagens de correio de voz (daí o “m” de “mobile” ou “messaging”). Os cibercriminosos utilizam o mishing para se fazerem passar por instituições de confiança – como bancos, apoio técnico, departamentos de RH ou mesmo agências governamentais. O seu objetivo? Enganar as vítimas para que revelem informações confidenciais, como senhas, detalhes financeiros ou acesso à conta. Existem várias formas de mishing, incluindo:
- Smishing (phishing por SMS)
- Quishing (phishing por código QR)
- Vishing (phishing por voz)
- Ataques baseados em Wi-fi (Evil Twin)
O smishing é comum neste momento e é algo que provavelmente já aconteceu com você. Nos Estados Unidos, milhares de utilizadores de celulares têm recebido mensagens de texto, dizendo que devem dinheiro. A nível mundial, prevalecem fraudes semelhantes, como mensagens de texto que prometem oportunidades de emprego incríveis para trabalho remoto ou mensagens sobre uma encomenda que não pode ser entregue porque o endereço é inválido. Esta tática está tornando-se mais comum a cada dia.
Riscos de mishing para quem viaja à negócios
Para os viajantes corporativos, o mishing apresenta riscos únicos. Os viajantes em movimento podem ter mais probabilidades de responder rapidamente a mensagens sem verificar a sua autenticidade:
- Organização de viagens: Um viajante pode receber uma mensagem de texto alegando que o seu voo foi cancelado, o que o leva a clicar em um hiperlink malicioso para fazer uma nova reserva.
- Gestão de despesas: Os autores de fraudes podem se passar pelo departamento financeiro de uma empresa, pedindo aos viajantes que verifiquem os dados do cartão de crédito para os relatórios de despesas. O viajante pode também receber uma mensagem de alguém que alega ser uma instituição bancária, alertando-o para uma atividade suspeita. Em pânico, o viajante pode telefonar ou enviar uma mensagem de volta e, sem saber, entregar as suas credenciais bancárias.
- Reservas de hotel: Uma mensagem pode parecer ser de um hotel, pedindo aos viajantes que confirmem os detalhes da reserva através de um site falso.
Como detetar e impedir o mishing
- Seja cético em relação à urgência. Os golpistas utilizam frequentemente ameaças ou prazos apertados para criar pânico. As organizações legítimas raramente transmitem mensagens urgentes por correio de voz ou texto.
- Nunca compartilhe informações sensíveis por ligação ou texto. Isto inclui senhas, números da segurança ou detalhes financeiros – mesmo que o autor da chamada pareça legítimo.
- Verifique de forma independente. Se uma mensagem pedir uma chamada de retorno, não utilize o número fornecido. Em vez disso, fale com a instituição utilizando um número conhecido e de confiança.
- Utilize a autenticação multifactor (MFA). Mesmo que as credenciais sejam comprometidas, a MFA pode bloquear o acesso não autorizado.
