Capa do Ebook gratuito Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Novo curso

23 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Smishing: fraudes por SMS e mensageria com links e códigos

Capítulo 6

Tempo estimado de leitura: 12 minutos

+ Exercício

O que é smishing e por que ele funciona

Smishing é uma fraude que usa SMS e aplicativos de mensageria (como mensagens de texto, RCS e chats) para induzir a vítima a clicar em um link, responder com dados, instalar um aplicativo, ou informar um código recebido por SMS. A lógica é simples: a mensagem chega em um canal que as pessoas costumam tratar como “mais direto” e “mais confiável” do que e-mail, muitas vezes associado a comunicações de bancos, operadoras, entregas e serviços do dia a dia.

O smishing pode ter vários objetivos práticos: roubo de credenciais (captura de login e senha), roubo de dados pessoais (CPF, data de nascimento, endereço), sequestro de contas (tomada de WhatsApp/Telegram por código), fraude financeira (pagamento de boleto/PIX para golpista), instalação de malware (aplicativos falsos), ou redirecionamento para atendimento fraudulento (link que abre chat ou número para ligação).

O diferencial do smishing é a combinação de três fatores: mensagens curtas, contexto cotidiano e ação imediata. Em poucas palavras, o atacante tenta levar você a uma ação rápida: “clique”, “confirme”, “atualize”, “regularize”, “retire”, “evite bloqueio”.

Canais e formatos comuns: SMS, RCS e mensageria

SMS tradicional

O SMS é limitado em tamanho e não permite muita formatação, então o golpe costuma usar frases curtas e um link encurtado ou um domínio parecido com o real. Muitas vezes o remetente aparece como um nome (spoofing de remetente alfanumérico), o que pode dar aparência de mensagem “oficial”.

RCS (mensagens com recursos avançados)

Em alguns aparelhos e operadoras, o RCS permite cartões, imagens e botões. Isso pode aumentar a credibilidade do golpe, porque a mensagem parece mais “moderna” e parecida com comunicações legítimas. O risco é maior quando o usuário confia em elementos visuais (logo, botão “Acompanhar pedido”) sem validar o destino do link.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

Apps de mensageria

Em aplicativos, o atacante pode usar perfis com foto, nome e descrição que imitam empresas, além de enviar áudios, PDFs e links. Também é comum o golpe começar com uma mensagem e migrar para outro canal: “clique para falar com o suporte”, “chame no WhatsApp”, “acesse o portal”.

Principais categorias de smishing (com exemplos práticos)

1) “Entrega pendente” e taxa de liberação

Mensagem típica: “Seu pacote está retido. Pague a taxa para liberar: http://…”. O link leva a uma página que imita transportadora ou serviço de logística e solicita pagamento via PIX ou cartão. Em alguns casos, após o pagamento, o site ainda pede dados adicionais “para confirmação”.

2) “Conta bloqueada” ou “atividade suspeita”

Mensagem típica: “Detectamos acesso incomum. Confirme agora: http://…”. O objetivo costuma ser capturar credenciais em uma página falsa. Outra variação direciona para um chat/telefone fraudulento, onde o golpista conduz a vítima a instalar um app de acesso remoto ou a fazer transferências.

3) “Multa, imposto, restituição, benefício”

Mensagem típica: “Pendência no seu CPF. Regularize hoje: http://…”. O golpe explora medo de restrição e pode pedir pagamento imediato ou dados pessoais. Em mensageria, pode vir com um PDF falso de “notificação” contendo link ou QR code.

4) “Promoção, cupom, brinde”

Mensagem típica: “Você ganhou um voucher. Resgate: http://…”. O link pode levar a um formulário para coletar dados e, em seguida, pedir uma “taxa de entrega”. Em alguns casos, o site tenta induzir instalação de aplicativo fora da loja oficial.

5) Sequestro de conta por código (OTP)

Mensagem típica: “Seu código é 123456. Não compartilhe.” O atacante, em paralelo, tenta registrar sua conta em outro aparelho e precisa do código. Ele então envia uma mensagem fingindo ser suporte ou um contato conhecido: “Me manda o código que chegou aí, é para confirmar seu cadastro”. Se a vítima repassa o OTP, a conta pode ser tomada.

6) “Atualize seu cadastro” com link para app

Mensagem típica: “Atualização obrigatória do app. Baixe aqui: http://…”. O link pode entregar um APK malicioso (Android) ou direcionar para páginas que simulam lojas. O malware pode capturar SMS, notificações, teclado, ou sobrepor telas para roubar senhas.

Links e códigos: o núcleo do golpe

Links: como o atacante esconde o destino

O link é o principal gatilho operacional do smishing. Para aumentar a taxa de clique, o atacante usa técnicas como encurtadores, domínios parecidos (typosquatting), subdomínios enganosos e redirecionamentos múltiplos.

  • Encurtadores: escondem o domínio final e dificultam a avaliação rápida.

  • Domínios parecidos: troca de letras, hífens, TLD diferente (ex.: “.com” vs “.com.br”).

  • Subdomínios enganosos: algo como “empresa.seguranca-exemplo.com” onde o domínio real é “seguranca-exemplo.com”.

  • Redirecionamento por rastreio: o primeiro link leva a uma página intermediária que redireciona para o golpe, dificultando bloqueios.

Códigos (OTP): por que são tão visados

Códigos de uso único (OTP) são usados para confirmar login, redefinir senha, registrar dispositivo e autorizar transações. Eles são valiosos porque, quando a vítima entrega o código, ela está efetivamente “assinando” a ação do atacante. Por isso, golpes de smishing frequentemente tentam obter o OTP em tempo real, com urgência.

Um ponto crítico: muitas pessoas entendem “não compartilhe este código” como “não publique”, mas acabam compartilhando com alguém que se apresenta como suporte. Na prática, qualquer pedido de OTP por mensagem, ligação ou chat deve ser tratado como suspeito.

Como identificar smishing: checklist de sinais técnicos e comportamentais

Sinais na mensagem

  • Pedido de ação imediata: “hoje”, “agora”, “última chance”.

  • Link fora do padrão: encurtado, domínio estranho, excesso de números, TLD incomum.

  • Inconsistência de contexto: você não fez compra, não tem entrega, não solicitou atualização.

  • Erros sutis: termos genéricos (“cliente”), formatação estranha, mistura de idiomas.

  • Solicitação de dados ou códigos: CPF, senha, token, OTP, “código de verificação”.

Sinais ao tocar no link (sem prosseguir)

Em muitos celulares, ao manter o dedo pressionado no link, é possível visualizar a URL completa antes de abrir. Se o domínio não for exatamente o oficial, pare. Em apps de mensageria, também é comum o preview mostrar um título genérico ou sem relação com a suposta empresa.

Sinais na página de destino

  • URL diferente do que a marca usa, mesmo que a página tenha logo e cores parecidas.

  • Formulários pedindo “dados demais” para uma ação simples (ex.: “liberar entrega” pedindo senha bancária).

  • Pressão para instalar app fora da loja oficial.

  • Pagamento com destinatário incoerente: chave PIX em nome de pessoa física quando deveria ser empresa (nem sempre é prova, mas é um alerta forte).

Passo a passo prático: o que fazer ao receber um SMS/mensagem suspeita

Passo 1: não clique e não responda

Evite clicar “só para ver”. Muitos golpes dependem de um único clique para iniciar redirecionamentos, abrir páginas de captura ou disparar tentativas de instalação. Responder também pode confirmar que seu número está ativo, aumentando novos ataques.

Passo 2: verifique o contexto por um canal independente

Se a mensagem fala de banco, entrega, conta ou benefício, valide por um caminho que você mesmo inicia: abra o aplicativo oficial já instalado (sem usar link), digite o endereço no navegador manualmente, ou use um contato salvo/impresso que você já conheça. A regra é: não use o link nem o número fornecido na mensagem.

Passo 3: inspecione o link com segurança (se necessário)

Se você precisa analisar para fins de trabalho ou para reportar, copie o link e verifique o domínio com cuidado. Em ambiente corporativo, use ferramentas internas de sandbox/isolamento de navegador. Em uso pessoal, prefira não abrir; a inspeção visual do domínio já elimina muitos golpes.

Passo 4: bloqueie e denuncie

No SMS, use as opções do aparelho para bloquear o remetente e marcar como spam quando disponível. Em apps de mensageria, denuncie o contato e bloqueie. Isso ajuda a reduzir a circulação do golpe e melhora filtros.

Passo 5: avise pessoas próximas (quando fizer sentido)

Se o golpe está circulando em um grupo (família, condomínio, empresa), um aviso curto pode evitar que outros cliquem. Foque em orientar: “não clicar”, “não informar código”, “validar pelo app oficial”.

Passo a passo prático: se você clicou no link

Cenário A: você clicou, mas não digitou nada

  • Feche a aba imediatamente.

  • Limpe dados do navegador (histórico e cookies) se você percebeu redirecionamentos estranhos.

  • Verifique permissões: se a página pediu notificações, localização ou downloads, negue e revise permissões do navegador.

  • Monitore contas: se a mensagem era de banco/serviço, acompanhe movimentações e logins recentes pelo app oficial.

Cenário B: você digitou dados (CPF, senha, cartão)

  • Troque senhas imediatamente pelo canal oficial, começando pela conta afetada e por qualquer outra onde a senha seja igual ou parecida.

  • Ative ou reforce autenticação (preferencialmente por aplicativo autenticador ou chave de segurança, quando disponível).

  • Contate a instituição por canal oficial para registrar ocorrência e bloquear transações suspeitas.

  • Revise dispositivos conectados e encerre sessões ativas em “segurança”/“dispositivos” do serviço.

Cenário C: você instalou um aplicativo sugerido

  • Coloque o aparelho em modo avião para interromper comunicação enquanto você age.

  • Desinstale o app e verifique se há permissões perigosas concedidas (acessibilidade, administrador do dispositivo, leitura de SMS, sobreposição de tela).

  • Rode uma verificação com solução de segurança confiável e atualize o sistema.

  • Considere backup e restauração se houver sinais de persistência (apps reaparecendo, comportamento anormal, consumo alto, pop-ups).

  • Troque senhas a partir de outro dispositivo confiável, pois o telefone pode estar comprometido.

Passo a passo prático: se você compartilhou um código (OTP)

Compartilhar OTP é uma das situações mais críticas porque o atacante pode estar no meio de um processo de tomada de conta. A resposta precisa ser rápida.

  • Passo 1: tente recuperar a conta imediatamente pelo fluxo oficial (redefinição de senha, recuperação por e-mail, verificação de identidade).

  • Passo 2: encerre sessões e remova dispositivos conectados na área de segurança do serviço.

  • Passo 3: altere a senha e ative um método de autenticação mais resistente a interceptação (autenticador/chave, quando possível).

  • Passo 4: avise contatos que sua conta pode ter sido comprometida, para evitar que caiam em mensagens enviadas pelo golpista.

  • Passo 5: verifique redirecionamentos de e-mail, números de recuperação e chaves de segurança cadastradas, pois o atacante pode ter alterado esses itens.

Smishing em ambiente corporativo: riscos e controles práticos

Riscos típicos para empresas

  • Roubo de credenciais corporativas via páginas falsas de login (SSO, e-mail, VPN).

  • Comprometimento de dispositivos com malware móvel, abrindo caminho para acesso a e-mails, tokens e apps internos.

  • Fraude de pagamento quando mensagens simulam fornecedores, logística ou “aprovação urgente” com link para boleto/PIX.

  • Sequestro de contas de mensageria usadas para comunicação interna, facilitando golpes em cadeia.

Controles recomendados (aplicáveis)

  • Política clara sobre OTP: suporte nunca pede código; colaboradores nunca devem repassar códigos recebidos.

  • Treinamento com exemplos reais de mensagens curtas e links disfarçados, focando em validação por canal independente.

  • MDM/UEM para controlar instalação de apps, permissões, e aplicar atualizações em dispositivos corporativos.

  • Autenticação resistente a phishing (quando possível): chaves FIDO2/WebAuthn e políticas de acesso condicional.

  • Canal de reporte rápido: um botão ou fluxo simples para encaminhar mensagens suspeitas ao time de segurança.

Exercícios práticos de análise (para treinar detecção)

Exercício 1: identificar o ponto de decisão

Leia a mensagem: “Seu acesso foi bloqueado por segurança. Desbloqueie em 30 minutos: bit.ly/…”. Perguntas: qual é a ação pedida? Qual é o risco se você clicar? Qual seria o canal independente para validar? O objetivo é treinar a pausa antes do clique e a validação fora da mensagem.

Exercício 2: desmontar o link

Considere o link: “https://suporte-empresa.com/portal/atualizacao”. Agora compare com “https://empresa.com.suporte-atualizacao.net/portal”. Pergunta: qual é o domínio real em cada caso? O exercício treina a leitura da URL da direita para a esquerda, identificando o domínio registrável.

Exercício 3: simular resposta segura ao “código”

Você recebe um OTP e, logo depois, uma mensagem: “Sou do suporte, preciso do código para cancelar uma tentativa de acesso”. Escreva uma resposta segura que não forneça o código e que encerre a interação. Exemplo de resposta segura: “Não compartilho códigos. Vou verificar pelo aplicativo oficial.” O objetivo é praticar uma frase curta e firme, sem entrar em discussão.

Roteiro de resposta rápida (resumo operacional)

1) Recebeu mensagem com link/código: pare e não clique. 2) Valide pelo app/site digitado manualmente ou contato já conhecido. 3) Se clicou: feche, revise permissões, monitore contas. 4) Se digitou dados: troque senhas, encerre sessões, contate a instituição. 5) Se compartilhou OTP: recupere a conta imediatamente e avise contatos. 6) Bloqueie/denuncie a mensagem para reduzir recorrência.

Agora responda o exercício sobre o conteúdo:

Ao receber uma mensagem suspeita por SMS ou mensageria com link e senso de urgência, qual conduta reduz melhor o risco de smishing?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A ação mais segura é não clicar e não responder, pois isso evita redirecionamentos e confirmações de número ativo. Em seguida, valide pelo app oficial já instalado, digitando o endereço manualmente ou usando um contato conhecido, sem usar dados fornecidos na mensagem.

Próximo capitúlo

Business Email Compromise (BEC): comprometimento de contas e fraude de pagamento

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store