Estes métodos de ataque, que exploram canais de comunicação alternativos, estão a tornar-se cada vez mais sofisticados e difíceis de detetar, representando uma ameaça significativa não só para cidadãos como para empresas de todos os setores, e em 2025 parecem não parar.
De acordo com o relatório de Phishing APWG de 2024, os ataques de vishing registaram um aumento de 442% no segundo trimestre de 2024, enquanto os incidentes de smishing têm vindo a crescer de forma constante desde o início da década .
Como funcionam o smishing e o vishing
O smishing e o vishing são variantes de phishing em que os cibercriminosos se fazem passar por entidades legítimas para enganar as vítimas, levando-as a divulgar informações sensíveis ou a realizar ações maliciosas. Isto pode incluir o download de malware, a alteração de dados de faturação ou a execução de outros esquemas fraudulentos.
Enquanto o phishing tradicional recorre sobretudo ao email, o smishing utiliza mensagens SMS e o vishing comunicações de voz, como chamadas telefónicas ou videochamadas. O processo é semelhante: os atacantes identificam os alvos, criam mensagens enganosas e tentam obter dados ou acesso. A grande diferença está no canal de entrega: ao contrário do email, validar números de telefone é muito mais difícil, o que torna estes ataques particularmente eficazes.
Por que razão estes ataques estão a aumentar?
A popularização dos dispositivos móveis e a confiança que os utilizadores depositam em mensagens e chamadas recebidas nos seus telemóveis tornam o smishing e o vishing métodos eficazes para os cibercriminosos. Além disso, a utilização de tecnologias avançadas, como a inteligência artificial, permite criar mensagens e chamadas de voz cada vez mais convincentes, dificultando a identificação de fraudes.
Principais Alvos de Smishing e Vishing
De acordo com o Relatório de Phishing da APWG 2024, as principais indústrias visadas pelos ataques de smishing e vishing são o retalho e os serviços financeiros.
No que toca aos setores mais frequentemente visados por estas ameaças estão os serviços SaaS/email, redes sociais, finanças e retalho.
Que os cibercriminosos tenham como alvo o setor financeiro não é, propriamente, uma surpresa. Enganar colaboradores ou clientes para que revelem dados que permitem aceder a contas bancárias é uma atividade altamente lucrativa.
Por outro lado, o foco no setor do retalho pode parecer menos óbvio, mas faz sentido se considerarmos o volume massivo de vendas online e a quantidade de dados sensíveis que os clientes frequentemente partilham com os retalhistas. Ao fazerem-se passar por representantes de marcas legítimas, os atacantes tentam obter informações confidenciais dos consumidores.
Contas falsas de redes sociais e contas de email/SaaS controladas por cibercriminosos aumentam a probabilidade de os consumidores caírem no engodo, ao partilharem conteúdos que dão uma aparência de legitimidade às campanhas de phishing.
Recomendações para Mitigação de Riscos
Para combater esta crescente ameaça, a Cyberint recomenda que as empresas implementem as seguintes medidas:
· Educação Contínua: formar colaboradores e cidadãos sobre os riscos associados ao smishing e vishing, ensinando-os a reconhecer sinais de alerta e a adotar práticas seguras de comunicação.
· Simulações de Ataques: Realizar campanhas simuladas de smishing e vishing para testar a prontidão e reforçar a capacidade de resposta a ataques reais.
· Tecnologias de Segurança: Implementar soluções de segurança que monitorizem e filtrem comunicações suspeitas, incluindo sistemas de deteção de chamadas fraudulentas e filtros de mensagens SMS.
· Políticas de Comunicação Claras: Estabelecer diretrizes claras que incluam procedimentos para a verificação de solicitações sensíveis recebidas por SMS ou telefone.
A prevenção é essencial para proteger as organizações e os indivíduos contra estas ameaças emergentes. Ao adotar uma abordagem proativa e abrangente à cibersegurança pode reduzir significativamente o risco de ser vítima de smishing e vishing.
