As agências responsáveis pela aplicação da lei na Europa, Ásia e América do Sul alertam para o aumento de criminosos que utilizam os chamados “SMS Blasters” – dispositivos portáteis que podem enviar milhares de SMS falsos, contornando completamente as protecções da rede.
É uma ameaça crescente e uma vítima perdeu £ 2.000 em questão de minutos.
Chefe de Segurança Industrial da GSMA.
A tecnologia antes cara de “telefone mastro” agora pode ser comprada na dark web pelo preço de um laptop e sem cair na mochila de um criminoso.
Este não é apenas um problema público, eles estão sendo cada vez mais usados para ataques direcionados a redes corporativas e de funcionários, permitindo que criminosos se aproximem fisicamente de uma empresa, contornem a segurança da rede e induzam os funcionários a fornecer senhas e credenciais de segurança.
O perigo oculto no SMS comercial diário
Smishinga (ou phishing baseado em SMS) existia originalmente em pequenos volumes desde as primeiras redes móveis GSM, quando os fraudadores enganavam as vítimas para que ligassem para números gratuitos ou para que entregassem dados pessoais.
Mas hoje, a pilha de tecnologia custa aos criminosos apenas algumas centenas de libras, mas pode render enormes retornos. A Global Anti Scam Alliance relata que os fraudadores roubaram US$ 442 bilhões no ano passado, sendo o SMS o método de extorsão mais comum para os criminosos, à frente do e-mail.
A integração de SMS em processos de autenticação, como palavras-passe e autenticação de dois fatores, e a sua utilização como canal de comunicação comum para entrega de informações, como credenciais, links de pagamento e atualizações de serviços, está a aumentar esta ameaça.
Isto cria não apenas ameaças à reputação das empresas que exploram os clientes, mas também ameaças à segurança da empresa quando os funcionários são visados.
Os recursos de segurança limitados do SMS significam que as empresas precisam estar atentas a como e onde o implantam em seus processos de comunicação e autenticação. Caso contrário, correm o risco de perder a confiança dos consumidores nos serviços digitais.
Uma pesquisa recente da GSMA na Ásia-Pacífico mostra que mais de dois terços das pessoas (67%) estão muito preocupadas com o smishing, e com razão. À medida que os criminosos exploram a lacuna entre a finalidade original do SMS e a sua utilização atual, a linha entre o risco do consumidor e o risco empresarial tornou-se mais tênue.
A expansão dos SMS Blasters marca uma nova fase na sofisticação da fraude. Esses telefones portáteis falsos permitem que os invasores enviem milhares de SMS em segundos, muitas vezes se fazendo passar por empresas de entrega, bancos ou fornecedores, ou equipes internas de TI.
Como os SMS são transmitidos localmente, eles podem ignorar completamente as proteções legítimas da rede.
Mas os SMS Blasters são a única técnica usada para explorar essas vulnerabilidades de segurança do SMS. A maioria dos ataques smishing ainda explora canais de telecomunicações legítimos e convencionais: mensagens SMS falsas enviadas de fontes arbitrárias de spam ou através de redes através de interconexões internacionais.
O resultado é um ambiente de ameaças híbrido que mistura spam localizado com campanhas internacionais, tornando a coordenação de respostas mais complexa.
Como bloquear fraudes – não negócios
A proteção contra smishing requer um equilíbrio entre usabilidade e controle. Por exemplo, algumas operadoras na Ásia-Pacífico estão bloqueando todos os links clicáveis em SMS.
Mas embora isto possa eliminar muitas fraudes, também pode perturbar a comunicação empresarial legítima. As tecnologias de filtragem podem ajudar, mas são limitadas pela natureza fragmentada das redes globais de mensagens.
No Reino Unido, há uma pressão crescente por proteções mais consistentes. A Ofcom propôs recentemente novas regras que exigirão que as redes móveis bloqueiem proativamente SMS fraudulentos, colmatando as lacunas atuais na proteção dos consumidores e das empresas.
As propostas incluem o bloqueio de nomes de remetentes falsos, a imposição de limites de volume em SIMs pré-pagos e a realização de due diligence em remetentes de e-mail comerciais. No entanto, estas proteções terão um efeito mais limitado nas mensagens geradas pelo SMS blaster.
O progresso também vem das evoluções da rede, como a introdução da criptografia Rich Communication Services (RCS) e da autenticação mais forte, que reduzem o risco de SMS falsos.
A implementação contínua de redes 2G e 3G simplifica as defesas e limita as oportunidades de ataques do lado do rádio. Enquanto isso, nós, como indústria, devemos trabalhar em estreita colaboração com os governos e as autoridades policiais para erradicar os SMS Blasters.
A iniciativa Open Gateway da GSMA é outro desenvolvimento importante. Através de APIs federadas baseadas em padrões, operadoras e empresas de tecnologia podem oferecer recursos de identidade e autenticação para empresas que substituem processos mais antigos baseados em SMS.
APIs como SIM Swap e Number Verification permitem que as empresas verifiquem alterações de identidade móvel em tempo real, reduzindo oportunidades de fraude após transferências de dispositivos ou números. APIs baseadas em identidade também podem ajudar bancos e provedores de serviços a autenticar usuários sem serem expostos a SMS propensos a phishing.
A importância do compartilhamento de inteligência
A tecnologia por si só não consegue acompanhar o ritmo da engenharia social.
Outra iniciativa importante são os mecanismos de compartilhamento de informações, como o Centro de Compartilhamento e Análise de Informações de Telecomunicações (T-ISAC) da GSMA, que permite às operadoras trocar dados sobre ameaças quase em tempo real e compartilhar informações do setor com as autoridades policiais.
Por exemplo, quando um operador detecta uma nova campanha smishing ou um domínio malicioso, outros operadores podem bloqueá-lo antes que se espalhe.
Este modelo colaborativo tem se mostrado essencial à medida que os invasores reutilizam scripts, domínios e infraestrutura entre regiões. Cada ponto de dados partilhado através do T-ISAC encurta a janela de vulnerabilidade para todo o ecossistema. A cooperação interindustrial também é muito importante.
Bancos, retalhistas e fornecedores de telecomunicações estão cada vez mais a unir forças através de iniciativas regionais, como o Grupo de Trabalho do Sector Antifraude da Ásia-Pacífico (ACAST). É uma ação conjunta entre setores que revela precocemente padrões em grande escala e ajuda as autoridades a interromper as operações antes que cheguem aos consumidores ou às empresas.
A higiene cibernética ainda importa: o treinamento é a primeira linha de defesa
Mesmo os filtros e APIs mais avançados falharão se os funcionários não estiverem cientes da ameaça.
A formação de sensibilização e a higiene cibernética devem evoluir com a tecnologia, com o pessoal a reconhecer que as organizações legítimas raramente (ou nunca) enviam pedidos urgentes de credenciais por SMS e que todos os links em SMS devem ser tratados como suspeitos, a menos que o destinatário tenha verificado totalmente a validade de tais pedidos através dos canais oficiais.
As empresas também devem analisar onde e por que o SMS está sendo usado. Se a autenticação ou a comunicação permanecerem críticas, salvaguardas adicionais deverão ser padrão, como ferramentas de gerenciamento de dispositivos, segundas camadas de verificação e monitoramento contínuo.
Smishing expôs um ponto fraco nas defesas corporativas que não pode ser resolvido apenas com a tecnologia. Exige uma resposta coordenada entre operadores, empresas e consumidores, através de iniciativas como Open Gateway e T-ISAC.
O smishing pode ter começado como um inconveniente para os consumidores, mas é agora uma séria ameaça para as empresas. Ao compreender a ameaça e as ferramentas disponíveis para a combater, as empresas podem proteger-se melhor contra este risco silencioso mas significativo.
Apresentamos o melhor curso online de segurança cibernética.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
