O que é Smishing e como se proteger contra isso?

Smishing, uma abreviação de phishing por SMS, é uma tática de cibercrime em que golpistas usam mensagens de texto enganosas para induzir indivíduos a compartilhar informações sensíveis. Essas mensagens frequentemente parecem vir de entidades confiáveis, como bancos, plataformas de criptomoedas ou agências governamentais. O smishing pode levar a acessos não autorizados a contas pessoais, perda financeira e até roubo de identidade.

 

Golpes de smishing representam riscos significativos no mercado cripto. Golpistas podem se passar por exchanges de cripto ou provedores de carteira para atrair vítimas a revelar chaves privadas, senhas ou frases-semente. Este artigo irá ajudá-lo a entender o que é smishing, como funciona, exemplos da vida real e medidas práticas para se proteger.

 

As várias etapas de um ataque de smishing | Fonte: Terranova Security

 

Smishing baseia-se na engenharia social, uma tática de manipulação que explora a psicologia humana ao invés de vulnerabilidades técnicas. Veja como geralmente se desenrola:

 

1. A Isca: A vítima recebe uma mensagem de texto que parece legítima. Ela pode alertar sobre atividade suspeita em uma conta, prometer uma recompensa ou solicitar ação urgente para proteger fundos. Exemplos incluem:

• “Sua conta foi comprometida. Clique aqui para verificar suas informações: [link malicioso].”

• “Você ganhou um cartão-presente de $500! Reivindique agora: [link malicioso].”

• “Login incomum detectado na sua carteira. Proteja-a imediatamente: [número de suporte falso].”

2. O Disfarce: Mensagens de smishing frequentemente parecem vir de fontes confiáveis. Os golpistas podem falsificar nomes de remetentes para fazer com que a mensagem pareça ser do seu banco, de uma agência governamental ou de uma plataforma de criptomoeda. Isso aumenta a probabilidade de as vítimas caírem no golpe.

3. O Gancho: A mensagem inclui um link ou número de telefone instando o destinatário a agir. Clicar no link leva a um site de phishing que imita um site legítimo. As vítimas são solicitadas a fazer login ou fornecer detalhes sensíveis, que são capturados pelo golpista.

4. O Resultado: Uma vez que a vítima compartilha informações, os golpistas ganham acesso às contas, realizam transações não autorizadas ou até vendem os dados roubados na dark web.

 

Embora o smishing seja uma ameaça significativa, é apenas um método em um cenário mais amplo de ciberataques projetados para enganar e roubar. Vamos analisar as diferenças entre smishing, phishing, vishing e pharming para ajudá-lo a reconhecer e se proteger contra esses golpes.

 

Smishing vs. outros golpes de criptomoeda | Fortinet

 

1. Smishing (SMS Phishing)

O smishing usa mensagens de texto (SMS) para enganar as vítimas a revelarem informações sensíveis ou clicarem em links maliciosos. Os golpistas costumam se passar por entidades confiáveis, como plataformas de criptomoeda ou bancos, e enviam mensagens urgentes para criar pânico ou urgência.

Exemplo:
“Você precisa verificar sua conta imediatamente para evitar suspensão. Clique aqui: [link malicioso].”

 

Características Principais dos Ataques de Smishing

• Entregue via mensagens de texto.

• Frequentemente inclui um link ou número de suporte falso.

• Alvo são usuários móveis que podem ser menos vigilantes.

2. Phishing (Phishing por Email)

Phishing usa e-mails para enganar as vítimas a compartilharem informações pessoais, credenciais de login ou dados financeiros. Esses e-mails frequentemente imitam comunicações oficiais de organizações conhecidas.

 

Exemplo:
Um e-mail que parece vir de uma exchange de criptomoedas afirma: “Atividade suspeita detectada em sua conta. Faça login para proteger seus fundos: [link de phishing].”

 

Características Principais dos Golpes de Phishing

• Entregue via e-mail.

• Frequentemente contém logos falsos, linguagem formal e solicitações urgentes.

• Links redirecionam as vítimas para sites de phishing.

Saiba mais sobre como identificar golpes de phishing em criptomoedas e como se proteger deles. 

 

3. Vishing (Phishing por Voz)

Vishing envolve chamadas de voz de golpistas fingindo ser representantes de bancos, suporte técnico ou plataformas de criptomoedas. Esses golpistas usam medo ou urgência para manipular as vítimas a compartilhar informações ou fazer pagamentos.

 

Exemplo:
Um chamador afirma ser do provedor de sua carteira de criptomoedas, dizendo: “Sua carteira está comprometida. Compartilhe seu código 2FA para proteger seus fundos.”

 

Aqui está mais sobre como se proteger de golpes de vishing no mercado de criptomoedas. 

 

Como Funcionam os Golpes de Vishing

• Realizados por meio de chamadas telefônicas.

• Frequentemente usam números de telefone falsificados para parecer legítimos.

• Dependem de táticas de engenharia social, como intimidação ou urgência.

4. Pharming (Redirecionamento de Websites)

Pharming manipula o tráfego da web para redirecionar as vítimas a sites falsos, mesmo que elas digitem o URL correto. Isso é realizado explorando vulnerabilidades em servidores DNS (Sistema de Nomes de Domínio) ou por meio de malware no dispositivo da vítima.

 

Exemplo:
Você insere a URL da sua exchange de criptomoedas, mas um malware o redireciona para um site semelhante onde suas credenciais de login são capturadas.

 

Características Principais de um Ataque de Pharming

• Redireciona usuários para sites falsos sem seu conhecimento.

• Não depende de ações do usuário, como clicar em links.

• Requer expertise técnica para ser executado.

Estar ciente é um dos primeiros passos para se proteger e proteger seus ativos de golpes como smishing no mercado de criptomoedas. Aqui estão alguns exemplos para ajudá-lo a entender melhor como é um golpe de smishing: 

 

1. Alerta Falso de Segurança de Conta

Um usuário recebe uma mensagem afirmando:
“Alerta: Login suspeito detectado em sua conta KuCoin. Proteja seus fundos agora: [link malicioso].”

 

O link direciona a vítima para um site que parece idêntico à plataforma oficial da KuCoin. Na página, os usuários são solicitados a inserir suas credenciais de login e um código 2FA. O golpista então usa essas informações para acessar a conta e transferir fundos para uma carteira externa. 

 

Como a mensagem apareceu na mesma conversa que notificações legítimas da KuCoin, a vítima acreditou que era autêntica.

 

2. Phishing Através da Verificação KYC

 

Um SMS fraudulento informa a vítima:
“Ação necessária: Sua conta será suspensa a menos que os detalhes KYC sejam atualizados imediatamente. Verifique aqui: [link malicioso].”

 

O usuário, temendo a desativação da conta, clica no link e faz upload de informações sensíveis, incluindo identidades emitidas pelo governo e dados pessoais. Os golpistas usam esses dados para realizar roubo de identidade, o que pode levar a transações não autorizadas de criptomoedas ou até mesmo criar contas em nome da vítima.

 

3. Golpe do Número de Suporte Falso

 

Uma vítima recebe um texto afirmando:
“Sua conta KuCoin está em risco. Entre em contato com nossa equipe de suporte imediatamente pelo [número de telefone falso].”

 

Acreditando ser legítimo, o usuário liga para o número e é persuadido a compartilhar seus detalhes de conta e códigos de verificação por SMS. Uma vez que os golpistas obtêm acesso, eles iniciam retiradas, esvaziando o saldo da conta.

 

4. Notificação de Recompensa Falsa

Uma mensagem afirma:
“Parabéns! Você ganhou 0.2 BTC em nosso sorteio. Reivindique sua recompensa aqui: [link malicioso].”

 

Animado com a possível fortuna, o usuário clica no link e é solicitado a fazer login em sua carteira. O site, projetado para imitar uma plataforma legítima, captura suas credenciais de login. Os golpistas usam essas informações para esvaziar a carteira da vítima.

 

5. Explorando a Autenticação de Dois Fatores (2FA)

Uma vítima recebe um SMS urgente:
“Sua conta foi bloqueada devido a atividade suspeita. Verifique sua identidade usando este código: [código].”

 

O golpista liga para a vítima fingindo ser da plataforma de criptomoeda, pedindo o código para desbloquear a conta. A vítima, sem saber, fornece o código 2FA, que o golpista usa para finalizar transações não autorizadas.

 

Esses exemplos destacam como os golpistas se aproveitam da urgência, medo e ganância para enganar as vítimas a revelar informações sensíveis. Ao entender suas táticas e aprender a identificar os sinais, você pode se proteger melhor e proteger seus bens. 

 

Sempre verifique a autenticidade de qualquer mensagem que receber e lembre-se: organizações confiáveis nunca pedirão suas chaves privadas, frases-semente ou senhas.

 

O smishing funciona porque se aproveita da confiança, urgência e emoções. Estas mensagens:

 

• Parecer Autêntico: Nomes de remetentes falsificados e linguagem oficial aumentam a credibilidade.

• Criar Pânico: Avisos sobre violações de conta ou prazos urgentes pressionam as vítimas a agir sem pensar.

• Prometer Recompensas: A promessa de dinheiro grátis ou prêmios tenta as pessoas a tomar ações arriscadas.

Como identificar um golpe de smishing | Fonte: Palo Alto Networks

 

Para identificar uma tentativa de smishing, procure por estes sinais de alerta:

 

1. Mensagens Não Solicitadas: Se você receber uma mensagem de texto de uma fonte desconhecida alegando que você ganhou algo ou precisa proteger uma conta, seja cético.

2. Linguagem Urgente: Frases como “ação imediata necessária” ou “sua conta será suspensa” são projetadas para criar pânico.

3. Links Suspeitos: Passe o mouse sobre os links (se possível) para verificar seu URL real. Se não corresponder ao domínio oficial do remetente alegado, é provavelmente um golpe.

4. Solicitações de Informações Sensíveis: Nenhuma organização legítima pedirá senhas, chaves privadas ou frases-semente via mensagem de texto.

5. Pobre Gramática ou Erros de Ortografia: Muitas mensagens de smishing contêm erros perceptíveis que podem indicar um golpe.

Proteger-se de golpes de smishing requer vigilância e a adoção de práticas de segurança robustas. Aqui estão algumas medidas práticas, incluindo recomendações da KuCoin, para ajudar a proteger seus ativos:

 

1. Evite Clicar em Links Desconhecidos ou Contatar Suporte Não Oficial

Nunca clique em links não verificados ou responda a mensagens de texto suspeitas. Esses links podem redirecioná-lo para sites de phishing projetados para roubar suas credenciais de login ou instalar malware.

 

Sempre verifique a autenticidade de qualquer mensagem que você receba. Em caso de dúvida, entre em contato diretamente com a organização usando seu site oficial ou canais de suporte.

 

Evite ingressar em grupos fraudulentos no Telegram ou WhatsApp que afirmam ser suporte ao cliente. Para usuários da KuCoin, use sempre o Centro de Suporte oficial da KuCoin: https://www.kucoin.com/pt/support.

 

2. Use Ferramentas de Autenticação Multifator (MFA), como Chaves de Acesso

Habilitar MFA adiciona uma camada extra de segurança às suas contas. A KuCoin oferece funcionalidade de passkey, uma alternativa segura e conveniente às senhas tradicionais.

 

O Que São Passkeys?

Passkeys permitem a verificação de identidade em vários dispositivos e eliminam a necessidade de senhas sozinhas. Elas fornecem proteção robusta contra acesso não autorizado.

 

Como Adicionar Passkeys na KuCoin:

• Navegue até Centro do Usuário > Configurações de Segurança > Passkeys no aplicativo ou site da KuCoin.

• Siga as instruções na tela para ativar passkeys para sua conta.
  Para um guia detalhado, consulte as instruções oficiais da KuCoin: Passkeys | KuCoin.

3. Nunca Compartilhe Informações Pessoais Sensíveis

Não divulgue detalhes sensíveis, como senhas, números de cartão de crédito, chaves privadas ou frases-semente. Organizações legítimas nunca solicitarão essas informações por mensagens de texto ou chamadas.

 

Seja cauteloso, mesmo com contatos aparentemente confiáveis, pois golpistas podem se passar por entidades oficiais.

 

4. Evite Clicar em Links Não Verificados

Links em mensagens de texto fraudulentas muitas vezes levam a sites de phishing ou downloads maliciosos. Sempre verifique a legitimidade dos links antes de tomar qualquer ação.

 

Se suspeitar que um link é malicioso, acesse o serviço diretamente através do aplicativo ou site oficial.

 

5. Eduque-se e Mantenha-se Informado

Atualize regularmente seu conhecimento sobre golpes comuns e melhores práticas de segurança. Use recursos confiáveis, como o blog da KuCoin, para se manter informado sobre ameaças emergentes.

 

Compartilhe dicas de segurança com amigos e familiares para criar consciência e ajudar a prevenir golpes em sua rede.

 

Seguindo estes passos e aproveitando ferramentas como a funcionalidade de chave de acesso da KuCoin, você pode reduzir significativamente o risco de cair em golpes de smishing e proteger melhor seus ativos no ecossistema Web3. Mantenha-se alerta e sempre priorize a segurança ao gerenciar seus investimentos em criptomoedas.

 

Se você suspeitar que caiu em um golpe de smishing, aja imediatamente:

 

1. Desconectar: Evite interagir mais com o golpista. Bloqueie o número dele.

2. Proteja Suas Contas: Altere as senhas e ative a autenticação em duas etapas em todas as contas conectadas às informações comprometidas.

3. Relate o Incidente: Notifique seu banco, a corretora de criptomoedas ou o provedor da carteira sobre o golpe. Relatar o problema ajuda a prevenir ataques futuros.

4. Monitore Suas Contas: Fique de olho nas suas contas financeiras e de criptomoedas para transações não autorizadas.

5. Congele Seu Crédito: Se detalhes pessoais foram compartilhados, considere congelar seu crédito para prevenir roubo de identidade.

Ferramentas Adicionais para Aumentar a Segurança

Além de seguir os passos listados acima, aqui estão algumas precauções adicionais que você pode tomar para proteger seus ativos de criptomoedas de golpes de smishing: 

 

• Carteiras de Hardware: Armazene seus ativos de criptomoedas offline para máxima segurança.

• Aplicativos Anti-Malware: Aplicativos como Kaspersky ou Norton podem bloquear links maliciosos e proteger contra tentativas de phishing.

• Navegadores Seguros: Use navegadores com recursos anti-phishing embutidos, como Brave ou Firefox.

Smishing é uma ameaça crescente, especialmente no espaço das criptomoedas. À medida que a indústria evolui, também evoluem as táticas dos golpistas. Manter-se informado, vigilante e proativo é crucial para proteger seus ativos.

 

Seguindo as dicas e estratégias delineadas neste guia, você pode identificar tentativas de smishing, proteger suas contas e ajudar a criar um ambiente online mais seguro para todos. Lembre-se, no mundo descentralizado do Web3, você é sua melhor defesa. Mantenha-se inteligente, seguro e proteja sua jornada cripto.

 

• Principais Carteiras Autocustodiais para Armazenar Suas Criptomoedas em 2025

• O Que é um Rug Pull de Criptomoeda e Como Evitar o Golpe?

• Principais 7 Carteiras ERC-20: Armazene e Gerencie Seus Ativos Ethereum

• O Que é um Rug Pull de Criptomoeda e Como Evitar o Golpe?

• Principais Golpes de Phishing em Cripto: Como Reconhecê-los e Ficar Seguro

• Como Proteger Seu Dispositivo Móvel de Golpes de Cripto