O cenário da cibersegurança tem enfrentado um novo desafio silencioso, mas em rápida ascensão: o avanço das fraudes por meio de mensagens de texto (smishing) e ligações telefônicas (vishing). Segundo levantamento recente da Cyberint, parte do grupo Check Point® Software Technologies, essas duas formas de engenharia social têm sido amplamente exploradas por cibercriminosos como alternativas eficazes ao tradicional phishing por e-mail, com destaque para o uso crescente de dispositivos móveis como porta de entrada para ataques.
Dados do relatório APWG 2024 revelam um crescimento alarmante de 442% nas campanhas de vishing apenas no segundo trimestre do ano anterior, enquanto o smishing mantém uma curva ascendente desde o início da década. Esses métodos se aproveitam da confiança excessiva dos usuários em seus celulares, dispositivos notoriamente mais difíceis de proteger com soluções convencionais de segurança digital.
A lógica é simples e perigosa: ao simular mensagens de bancos, empresas ou até líderes corporativos por SMS, ou ao realizar chamadas falsas em nome de setores de suporte técnico, os golpistas convencem as vítimas a fornecer dados sensíveis ou instalar programas maliciosos. O problema é ainda mais crítico entre colaboradores com menor formação em tecnologia ou segurança digital.
Setores mais vulneráveis e táticas sofisticadas
As áreas mais visadas incluem redes sociais, comércio varejista, serviços financeiros e plataformas de e-mail. No topo da lista, o setor bancário se destaca como o mais atrativo para os atacantes, devido ao alto valor das informações envolvidas. Já o varejo, impulsionado pelo crescimento do e-commerce, se tornou alvo recorrente por conta da vasta quantidade de dados pessoais compartilhados por consumidores. Em muitos casos, os golpistas reforçam o realismo das tentativas de fraude com contas falsas em redes sociais e endereços de e-mail forjados.
Geograficamente, os Estados Unidos continuam liderando a lista de países mais afetados, seguidos por outras nações desenvolvidas. Um dos episódios mais emblemáticos envolveu o grupo Scattered Spider, que usou o vishing para se infiltrar em redes corporativas no Reino Unido e nos EUA. As ações incluíram o uso de SIM swapping – técnica que consiste na clonagem de chips – e, em alguns casos, contou com a ajuda de cúmplices infiltrados em operadoras de telefonia.
A influência da IA e da automação nos golpes
Um dos fatores que mais contribuem para a escalada dessas ameaças é o uso da inteligência artificial. Ferramentas como a plataforma Xanthorox AI, construída especificamente para ciberataques automatizados, têm permitido a expansão e sofisticação de campanhas maliciosas em larga escala. Além disso, serviços legítimos de envio de mensagens como Textedly e ClickSend, embora legais, são frequentemente utilizados de forma indevida para disparar SMS e chamadas automatizadas com custo extremamente baixo.
Diante desse cenário, especialistas da Check Point alertam que a proteção contra smishing e vishing deve ser ativa e abrangente. Algumas estratégias recomendadas incluem:
-
Monitorar a dark web em busca de kits de phishing, domínios clonados e campanhas em canais como Telegram e WhatsApp;
-
Realizar simulações com apoio de IA para testar a capacidade de resposta dos centros de operações de segurança (SOC);
-
Reforçar a proteção de endpoints e limitar o acesso interno a dados sensíveis;
-
Investir em treinamentos contínuos para que os colaboradores saibam identificar e reagir a mensagens e chamadas suspeitas;
-
Remover credenciais desnecessárias de sistemas internos;
-
Atualizar constantemente sistemas de detecção por meio de técnicas de threat deception, com modelos de comportamento adaptados às novas abordagens multimodais (voz, imagem e código).
Como ressalta Eusebio Nieva, diretor técnico da Check Point para a Península Ibérica, “a combinação entre inteligência artificial e serviços de mensageria em massa torna o smishing e o vishing ameaças concretas à integridade digital de empresas e indivíduos. A única maneira de combater esses riscos é com vigilância proativa, tecnologia inteligente e, principalmente, educação contínua”.
Foto: Reprodução
