Desde o surgimento, nos anos 1990, do serviço de mensagens curtas — popularmente conhecido como SMS (Short Message Service) — essa tecnologia foi rapidamente adotada por usuários e empresas. Ao mesmo tempo, chamou a atenção de golpistas que viam na brevidade e na onipresença dos “torpedos SMS” uma forma eficaz de alcançar milhares de pessoas de maneira quase instantânea.
No início, as fraudes SMS limitavam-se a propagandas enganosas: ofertas reais de “crédito fácil” ou promoções inexistentes que prometiam prêmios em dinheiro ou produtos eletrônicos. Mas, com o tempo, o modus operandi evoluiu para algo muito mais perigoso. Passou-se a falsificar remetentes, simulando bancos, operadoras de telefonia e até agências governamentais, em mensagens que causavam senso de urgência e, assim, induziam o destinatário a clicar em links maliciosos.
O que é smishing?
O termo smishing surgiu para designar especificamente esse tipo de ataque. É uma junção de “SMS” e “phishing” — técnica de engenharia social amplamente usada em e-mails para capturar dados pessoais ou financeiros das vítimas. Diferentemente do phishing clássico, porém, o smishing explora a credibilidade e a proximidade que as pessoas têm com seus celulares.
Hoje, entender o que é smishing é fundamental não apenas para reconhecer um golpe por SMS, mas também para se proteger contra uma ameaça que se renova constantemente.
No Brasil, os golpes por SMS ganharam força especialmente a partir do início dos anos 2000, quando o uso de celulares explodiu em todas as faixas etárias. Enquanto no mundo o smishing saltou com a popularização da internet móvel, no país acompanhou o crescimento das transações via mobile banking e de aplicativos de mensagens.
Relatórios de empresas de segurança indicam que as fraudes por SMS representaram uma parcela crescente das ocorrências de engenharia social em 2023, obrigando bancos e operadoras a investirem em filtros cada vez mais robustos. Em paralelo, surgiram variações que usam aplicativos de chat – um reflexo direto de como o smishing se adapta às plataformas mais populares do momento.
Como funciona o smishing: dinâmica de um golpe SMS
Para entender os riscos que o golpe SMS representa, é importante acompanhar passo a passo como ele costuma se desenrolar. Tudo começa com o envio de uma mensagem bem redigida, geralmente curta, mas suficiente para incitar a curiosidade ou o medo do usuário.
O remetente pode aparecer como “MeuBanco”, “Correios”, “Anatel” ou outra instituição reconhecida, graças a técnicas de “spoofing” que permitem falsificar o número de origem. A mensagem normalmente traz algum tipo de alerta urgente, como o exemplo abaixo:
"Cliente BancoXY, foi detectada atividade suspeita em sua conta. Atualize seu cadastro imediatamente em bit.ly/atualizeXY."
Quando o usuário clica no link — que muitas vezes é um link curto no WhatsApp ou em outro serviço de web — é redirecionado para uma página que imita com perfeição o layout e o design da instituição legítima.
Há campos para inserção de CPF, senha, código de token, dados de cartão de crédito, entre outras informações sensíveis. Como a página falsa costuma redirecionar automaticamente, após o envio dos dados, para o site real, o usuário mal percebe que foi vítima de uma fraude SMS.
Outras variações do smishing
Em outras ocasiões, o smishing envolve a instalação de malwares diretamente no dispositivo. A mensagem pode oferecer um “atualizador de segurança” ou um “app de consulta de fatura” que, na prática, instala um software capaz de capturar todas as senhas digitadas em aplicativos bancários ou em carteiras digitais. A vítima percebe algo estranho apenas quando notas de débitos não reconhecidos surgem em sua conta ou quando o banco solicita bloqueio de cartões.
Além do formato tradicional, os golpistas frequentemente adaptam o conteúdo com ofertas tentadoras: recarga de celular grátis, promoções de frete grátis em lojas online, cupons de desconto, supostos prêmios de rifas… Todo esse arsenal de engenharia social tem o objetivo de derrubar as defesas do usuário e levá-lo a clicar em um golpe por SMS que pode custar milhares de reais.
Golpe do WhatsApp e suas variantes
Com o crescimento exponencial do WhatsApp e de apps de bate-papo como Telegram, ganhou força uma nova vertente do smishing: o golpe do WhatsApp. Embora a técnica básica — engenharia social via mensagem com links maliciosos — seja a mesma, as características dos aplicativos ampliam o escopo e a sofisticação das fraudes.
Entre os principais tipos de golpes pelo WhatsApp, destacam-se:
- Suposta mensagem de amigo ou familiar: a vítima recebe uma mensagem de um número desconhecido dizendo ser um contato antigo que mudou de telefone. O texto convida a clicar em um link para “atualizar a lista de amigos” ou fornece um código de confirmação que, na verdade, serve para clonar a conta no dispositivo do golpista.
- Falso suporte ao cliente: contas fraudadas se passam por atendentes de empresas, enviando mensagens diretamente no WhatsApp. Pedem para a vítima fornecer o código de seis dígitos de verificação, alegando que é necessário para liberar um benefício. Com esse código, o golpista consegue sair da conta do usuário e migrar o WhatsApp para seu próprio aparelho.
- Promoções e cupons falsos: mensagens em massa prometendo descontos ou prêmios, com links curtos no WhatsApp que levam a páginas falsas onde se solicita dados de cartão ou de identidade.
- Links maliciosos em status: golpistas criam perfis falsos que postam um link no status do WhatsApp, afirmando, por exemplo, que é possível assistir a um jogo de futebol ao vivo ou ganhar um sorteio.
Em todos esses casos, a confiança trazida pelo próprio WhatsApp — visto como um ambiente mais seguro do que o SMS por permitir criptografia de ponta a ponta — é explorada pelos criminosos.
As vítimas tendem a baixar a guarda ao receber uma mensagem via aplicativo, comparado a quando recebem um SMS inesperado. Por isso, entender cada variante do golpe do WhatsApp e reconhecer sinais de alerta é essencial para evitar prejuízos.
Ferramentas usadas pelos golpistas
Os criminosos que atuam em smishing investem em uma série de recursos para burlar filtros de segurança e enganar as vítimas. Entre as principais ferramentas usadas pelos golpistas, destacam-se:
- Encurtadores de URL: serviços como Bit.ly, TinyURL e Goo.gl são empregados para mascarar endereços longos e dificultar a identificação de sites maliciosos.
- Spoofing de remetente: tecnologias que permitem forjar o número de origem da mensagem, exibindo nomes de empresas ou órgãos oficiais.
- Redirecionamentos em cadeia: links que passam por múltiplos domínios antes de chegar à página final, complicando a análise por soluções de segurança e dando a impressão de legitimidade.
- Serviços de envio em massa: plataformas pagas ou gratuitas que disparam milhares de mensagens simultâneas, seja por SMS ou via listas de transmissão no WhatsApp.
- Templates personalizados: modelos de mensagem que imitam exatamente a comunicação oficial de bancos, operadoras e órgãos públicos, incluindo logotipos, cores e tom de voz.
Ao dominar essas ferramentas, os golpistas conseguem atingir um público muito maior e driblar mecanismos automáticos de bloqueio, tornando o smishing uma ameaça persistente e em constante mutação.
Como se proteger contra smishing
A melhor defesa contra smishing e fraudes por SMS é a informação. Conhecer o funcionamento do golpe e adotar medidas simples pode evitar prejuízos significativos. Veja abaixo algumas recomendações fundamentais:
Desconfie de mensagens urgentes: sempre que receber um SMS ou mensagem de WhatsApp solicitando atualização cadastral, confirmação de dados ou oferecendo promoções imperdíveis, desconfie.
Nunca clique em links suspeitos: passe o mouse (em PCs) ou segure o link (em celulares) para ver o endereço real antes de acessar. Evite encurtadores de URL e prefira digitar, manualmente, o site oficial da instituição.
Confirme em canais oficiais: ligue para o número oficial do banco, acesse o aplicativo institucional ou o site da empresa por meio de buscas seguras em mecanismos de pesquisa.
Mantenha sistemas atualizados: instale sempre as últimas versões do sistema operacional e de aplicativos, pois as atualizações costumam corrigir falhas de segurança exploradas por malwares.
Use autenticação em duas etapas: ative a verificação em duas etapas sempre que possível, seja em serviços de e-mail, WhatsApp ou aplicativos bancários. Isso dificulta o acesso mesmo que o golpista tenha obtido sua senha.
Bloqueie e denuncie: números suspeitos de SMS podem ser bloqueados diretamente no dispositivo ou reportados às autoridades competentes e às operadoras; o mesmo vale para contatos no WhatsApp, que permitem denúncias internas do aplicativo.
Eduque familiares e amigos: compartilhe informações sobre smishing com pessoas próximas, sobretudo idosos e quem tenha menos familiaridade com tecnologia. Quanto mais usuários conscientes, menor será a eficácia desse tipo de golpe.
A importância da conscientização
O smishing não é apenas mais uma modalidade de golpe: é o reflexo de uma ameaça que se molda aos canais de comunicação mais usados pela sociedade. Do tradicional SMS aos aplicativos de bate-papo, passando por plataformas emergentes como Telegram, os golpistas encontram novas maneiras de explorar a confiança do usuário e de driblar sistemas de defesa.
Por essa razão, entender o que é smishing, reconhecer sinais de alerta e adotar práticas de segurança digital são ações imprescindíveis no mundo conectado de hoje. Lembre-se de que não existe tecnologia infalível: filtros e sistemas de bloqueio ajudam, mas a última linha de defesa é sempre você.
A conscientização — saber identificar um golpe por SMS ou um golpe do WhatsApp — e a educação continuada são as melhores proteções contra qualquer tentativa de fraude.
Compartilhe este artigo, discuta o tema com colegas e familiares, e ajude a criar uma rede de usuários preparada para enfrentar o smishing e demais fraudes SMS. Afinal, informação e vigilância são as armas mais poderosas para manter nossos dados e nosso patrimônio seguros.
