Digital Fraud

O que você está fazendo para proteger seus clientes do smishing?

Por Gabriel Silveira em
COMPARTILHAR

Não dá para negar: o celular e a internet móvel já ocupam grande parte das nossas vidas. Fazer compras, resolver assuntos no banco ou botar o papo em dia pode ser feito no transporte público ou na fila de espera de um consultório médico.

E cada vez mais pessoas estão se rendendo a esse mundo de conveniência. De acordo com estudo realizado pela GSMA, entidade que representa as empresas de comunicação móvel, a América Latina vai ganhar mais de 100 milhões de novos usuários de smartphones até 2020. Com isso, o consumo de dados móveis também vai aumentar, uma vez que as empresas da região estão investindo pesado em infraestrutura, tanto para aumentar a cobertura quanto para melhorar a qualidade do sinal.

 

O que você precisa de um banco, no seu bolso

Dados da Federação Brasileira de Bancos mostram a evolução do comportamento do usuário quando se trata de serviços bancários pelo celular. Em 2017, houve um grande crescimento na quantidade de agências digitais (aquelas com atendimento totalmente on-line), tanto que foram habilitadas três vezes mais contas mobile do que em 2016. E mais: o número de pessoas que usam mobile banking se igualou ao de usuários de internet banking pela primeira vez.

Tudo isso mostra que o brasileiro se sente bastante seguro em realizar transações bancárias usando dispositivos móveis. Confiança essa que, ainda de acordo com a Febraban, é um dos fatores que vai ajudar a impulsionar o número de usuários para os próximos anos.

 

Smishing: o outro lado da moeda

Como qualquer tecnologia que conquista o público, o aumento do uso de dispositivos mobile também atraiu a atenção de pessoas mal intencionadas. Um tipo de golpe específico para usuários de celulares e smartphones foi desenvolvido: o smishing.

Essa fraude é uma variação do phishing, mas que explora canais bastante associados ao mobile: SMS, WhatsApp, Facebook Messenger,  entre outros. Os cibercriminosos usam estratégias de engenharia social para chamar a atenção do usuário e convencê-lo da veracidade da mensagem. Para isso, podem ser usadas promoções de produtos e serviços ou até mesmo intimações de órgãos do governo e empresas financeiras, combinadas com palavras-chave e o nome de uma instituição verdadeira.

Disseminação Smishing

Só em 2018, a Axur, com a cooperação de empresas que oferecem serviços de disparo de mensagens, bloqueou mais de 17 mil ataques de smishing. A maioria deles usava o nome de instituições financeiras ou empresas de e-commerce e estavam para ser enviados a milhões de usuários de smartphones no Brasil.


E quem ganha com isso?

Fraudadores não agem sozinhos na internet. Existe um verdadeiro mercado negro de dados roubados de cartões de crédito, contas vazadas e até cursos de como montar esquemas de phishing e outras atividades fraudulentas. Mais do que isso, muitos criminosos também comercializam golpes prontos e ainda oferecem suporte 24 horas para que o comprador tenha certeza de que a página falsa estará funcionando perfeitamente.

Essa verdadeira rede do cibercrime usa até mesmo um linguajar próprio. Por exemplo, o termo Anti-Phishing é usado para informar que determinado golpe de phishing não pode ser aberto em um desktop. Ou seja, são páginas de smishing, que têm um código para identificar a plataforma usada para abri-la. Esse código valida as dimensões da tela no navegador e, caso a página seja aberta em um computador, ela não pode ser visualizada. Há situações em que o servidor que hospeda o golpe nem sequer responde se a página não for acessada de um dispositivo mobile.

Mas engana-se quem acredita que as vendas de fraudes como o Anti-Phishing só acontecem em sites da deep web. Os fraudadores que atuam nesse mercado se organizam de tal maneira que a venda já é feita inclusive pelo WhatsApp, como no exemplo abaixo:

Venda "Anti-Phishing" por Whatsapp

O que você pode fazer contra o smishing

Prevenção e monitoramento constante são os conceitos-chave para garantir a segurança dos seus clientes e manter a reputação da sua marca. Principalmente porque identificar ataques de smishing não é tarefa simples: a complexidade dos ataques e a criatividade dos fraudadores em escrever mensagens persuasivas é impressionante.

Por isso, ao encontrar uma página suspeita, a equipe responsável pela prevenção de riscos digitais deve acessar o conteúdo no browser de um desktop, mas como se estivesse usando um celular. Isso significa que o analista deve alterar o user agent utilizado no acesso para, então, poder visualizar o smishing.

Plataformas como a Axur One fazem a identificação de páginas fraudulentas automaticamente, dando agilidade ao processo. A velocidade no tempo de reação é fundamental, já que o crescimento no uso de dispositivos móveis, de transferências e serviços de pagamento mobile indicam que o interesse dos criminosos só tende a aumentar. Assim, 2019 promete ser um ano de grandes desafios não só para grandes e médias empresas, mas também para startups (independente da área de atuação).

Fontes

https://www.gsma.com/mobileeconomy/latam/https://cmsportal.febraban.org.br/Arquivos/documentos/PDF/febraban_2018_Final.pdfhttps://blog.axur.com/smishing-e-a-nova-onda-de-amea%C3%A7as-%C3%A0s-empresashttps://blog.axur.com/phishing-introdu%C3%A7%C3%A3o-aos-crimes-cibern%C3%A9ticos

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

Gabriel Silveira

Membro do time de Anti-Fraude e CSIRT da Axur. Formado em Segurança da Informação pela UNISINOS - Universidade do Vale do Rio dos Sinos. Profissional de TI há mais de 9 anos, sendo nos últimos 5 anos na Prevenção e Combate a Fraudes na Internet. Atualmente auxiliando as equipes na automatização de processos, análise de malware e identificação de novas estratégias para detecção de ameaças.