Guia completo para detecção e prevenção de fraudes em SMS
Os celulares são parte fundamental da nossa vida cotidiana, assim como a comunicação com nossos conhecidos, marcas e familiares. Dentro deste contexto, o SMS é um dos canais mais utilizados para essas interações – especialmente na relação entre marcas e consumidores.
Mas, infelizmente, criminosos e empresas desonestas sabem disso e estão sempre criando novas formas de utilizar os SMS para fraudes ou para conseguir nossas informações pessoais.
Neste conteúdo, vamos explicar como os cibercriminosos usam os SMS para nos atingir, os golpes mais comuns, como reconhecer essas ameaças, e o que as operadoras móveis podem fazer para proteger seus clientes.
Qual é o impacto das fraudes por SMS?
Todos os anos, o impacto gerado pelos golpes financeiros é enorme. No Brasil, uma estimativa do Banco Central aponta para perdas de R$2,5 bilhões ao longo de 2022 como consequência deste tipo de crime. E segundo a Federação de Bancos (Febraban) 31% dos brasileiros já foram vítimas de algum tipo de golpe financeiro.
Se você achou esses números alarmantes, saiba que mais de mil golpes financeiros virtuais são tentados a cada hora no Brasil. O principal deles é phishing, quando um link malicioso é enviado para um indivíduo e ao clicar nele um malware é instalado no dispositivo da pessoa. E apesar de a maior parte das ameaças serem direcionadas às pessoas físicas, empresas não estão imunes a este tipo de problema.
E não é só no Brasil: consumidores americanos perderam mais de U$ 5,8 bilhões em 2021 em fraudes, e no Reino Unidos os ataques de SMS smishing aumentaram 700% nos primeiros seis meses de 2021. Este pico pode ser, em parte, atribuído às restrições impostas pela pandemia e o consequente aumento das entregas a domicílio e das notificações SMS associadas às compras e cadastros online.
Mas, além das perdas monetárias diretas, existem outros impactos que são menos óbvios. Por exemplo, a desconfiança geral dos consumidores em relação aos canais de comunicação e especialmente em relação ao SMS. E este receio pode corroer as receitas dos operadores móveis, levando a aumentos de preços sobre os outros serviços que prestam.
O custo de medidas de segurança adicionais também será transferido para os consumidores a longo prazo, e estas medidas podem afetar a experiência dos usuários, por exemplo, através de etapas adicionais de autenticação.
Tipos de fraude de SMS
Os criminosos têm muitas maneiras de usar os SMS para fraudes. E, por isso, neste conteúdo vamos nos concentrar em exemplos em que o SMS é o principal canal para facilitar esses crimes, que incluem o smishing, o SMS spoofing, e o SIM Swap.
E, embora tenha menos impacto nos usuários de celulares, o tráfego de rotas cinzentas (SMS grey routes) também é um tipo de fraude importante de ser mencionada. A longo prazo, se ela não for detectada, ela pode afetar os usuários através do aumento das taxas de serviços e tarifas, à medida que as operadoras tentam recuperar as receitas perdidas com essas rotas não monetizadas.
Por último, existe o spam de SMS. Ele não causa um impacto financeiro propriamente dito, mas, convenhamos, é um incômodo enorme para os usuários! E no meio de tanto “lixo” é possível que alertas importantes sejam perdidos.
Smishing
O smishing é um tipo de fraude em que os criminosos contactam potenciais vítimas por SMS para convencê-las a passar informações pessoais ou informações sobre contas bancárias, clicando em links que instalam malware em seus telefones.
Smishing é, portanto, o equivalente para um SMS do tradicional phishing de e-mail. O mecanismo aqui é o mesmo – um link malicioso é enviado -, mas a “isca” é outra plataforma.
Os ataques de smishing – que estão cada vez mais sofisticados – utilizam táticas de engenharia social para recolher informações sobre potenciais vítimas, incluindo onde vivem, com quem interagem online, e de que bancos e empresas de cartões de crédito são clientes. Estas informações podem então ser utilizadas na criação de mensagens SMS falsificadas muito realistas que realmente tem a capacidade de enganar a vítima, fazendo-a acreditar que são de um negócio ou pessoa legítima.
Para os usuários é interessante ficar muito atento ao remetente das mensagens. SMS Verificados, por exemplo, são uma boa maneira de garantir que o remetente é verídico. E, claro, em caso de dúvidas, busque caminhos oficiais antes de clicar no link – como entrar no app da empresa diretamente ou contatar o serviço de atendimento ao cliente para checar aquela informação.
SMS spoofing
O SMS spoofing é uma forma de alterar a informação do remetente de uma mensagem para que o destinatário veja qualquer texto alfanumérico definido, em vez de um número de celular.
Essa “falsificação” de remetente de SMS não é de fato ilegal. Existem muitas aplicações válidas para ele e existem até serviços gratuitos de spoofing de SMS na Internet.
Algumas aplicações válidas para esse recurso são:
- Mensagens de serviço em massa: essas são mensagens enviadas a clientes que deram autorização para este contato e tratam de transações de negócio legítimas. Por exemplo: “Sua fatura está disponível para download”.
- Alertas por SMS: Notificações importantes de empresas ou agências governamentais, por exemplo ‘Alerta de tsunami – vá para um terreno elevado’.
- Denúncias: Mensagens que exponham o comportamento errado de uma pessoa ou empresa em que o remetente queira permanecer anônimo.
Como funciona o SMS spoofing
Como já vimos, o spoofing de SMS pode ser usado para fins legítimos. O problema é que ele também é frequentemente utilizado por criminosos para imitar mensagens de empresas como parte de ataques de “smishing”.
Eles podem fingir ser de um banco, uma empresa de entregas, uma instituição de confiança ou até mesmo o próprio empregador do destinatário no caso de ataques direcionados.
Não percebendo que a mensagem é falsa, os destinatários podem baixar a guarda e clicar em links, o que poderia instalar malwares em seus telefones ou levá-los a páginas web falsas concebidas para extrair deles informações privadas.
Outra tática engenhosa dos criminosos é utilizar o SMS spoofing para falsificar confirmações de pagamento para a compra de itens caros. Nela, eles afirmam que vão pagar por um produto por transferência bancária, mas ao invés de efetuarem o pagamento, falsificam um SMS de confirmação de pagamento e enviam para o vendedor.
Esta fraude é particularmente comum em sites que não têm verificações de identidade rigorosas. Uma boa dica se você for vender através desses sites é sempre conferir no banco se o dinheiro foi transferido antes de entregar o produto aos compradores.
Troca de SIM (SIM Swap)
Assim como o SMS spoofing, a troca de SIM surge de uma necessidade legítima. Afinal, ela nada mais é do que a portabilidade do seu número de celular de um cartão SIM para outro. Esse procedimento pode ser muito útil quando o usuário quer:
- manter o número de telefone no caso de troca de operadora;
- manter seu número de telefone quando teve seu aparelho foi roubado/perdido;
- manter o número se tiver que trocar para um chip menor/maior.
No entanto, este procedimento se tornou tão comum que os criminosos passaram a explorá-lo para assumir o controle de números de telefone celular das pessoas. Eles fazem isso simplesmente entrando em contato com a operadora e informando dados pessoais através de táticas de engenharia social e efetuando a troca de SIM.
Uma vez que a conta tenha sido assumida, o criminoso terá acesso a todos os dados pessoais da pessoa e à sua caixa de entrada de mensagens para receber as notificações de 2FA necessárias para alterar as senhas dos bancos e dos cartões de crédito.
Os serviços de detecção de troca de SIM utilizam uma série de inputs para avisar tanto tentativas como procedimentos bem sucedidos de troca, por exemplo, verificando o registo do IMSI para quaisquer alterações depois da data de ativação do SIM. Os operadores móveis que implementam estas soluções são capazes de proteger os seus usuários dessa fraude também conhecida como SIM Swap e de todo o stress envolvido em um roubo de identidade.
SMS grey routes
Como já mencionámos, o grey routing não afeta tão diretamente os usuários como outros tipos de ataques de cibercriminosos.
Mas perturba o equilíbrio do ecossistema, elevando os preços globalmente e criando uma experiência desarticulada devido às medidas preventivas que são necessárias.
O que é o tráfego nas rotas cinzentas?
O grey routing SMS representa um tipo de fraude cometida por operadores móveis desonestos em que as mensagens SMS A2P, que deveriam ser cobradas a uma tarifa premium, são passadas como tráfego P2P pela totalidade ou parte da sua viagem para se beneficiar de tarifas reduzidas.
Isto faz com que os fornecedores de telecomunicações, que facilitam a entrega das mensagens através da sua infraestrutura de rede, não sejam compensados pelos serviços que prestam de forma correta.
Em resumo, existem três tipos de grey routing:
- De operador para operador: neste cenário, o Operador 1 tem um acordo de roaming com o Operador 2 para mensagens de pessoa a pessoa (P2P). A proporção de mensagens recebidas e enviadas é normalmente a mesma, e na qual os operadores concordam em não cobrar um ao outro pelo tráfego. No entanto, o operador 2 (desonesto) mascara deliberadamente o tráfego comercial A2P como P2P, pelo que recebem uma compensação pelas mensagens sem terem de pagar nada ao operador 1.
- Agregadores A2P: neste cenário, as telecoms utilizam agregadores A2P locais num país estrangeiro para evitar o pagamento de tarifas de roaming premium. Por exemplo, a Telecom A utiliza um agregador, que tem melhores taxas de SMS com a Telecom B, para entregar tráfego A2P através de rotas SMPP. A Telecom A é o vilão neste caso, uma vez que evita pagar a taxa de mercado acordada à Telecom B, que é quem realmente entrega a mensagem ao destinatário.
- Caixas SIM: Também conhecidos como “máquinas de tráfego de rotas cinzentas”, estes dispositivos utilizam cartões SIM P2P pré-pagos para tratar fraudulentamente o tráfego A2P premium. Estes cartões têm um preço por SMS que é inferior aos preços diretos das telecomunicações A2P ou incluem um número definido de mensagens gratuitas como parte do pacote. A diferença entre os dois preços, que pode ser significativa, é puro lucro para os autores das fraudes.
SPAM de SMS
Há várias razões válidas (e até úteis) para receber mensagens SMS que não sejam diretamente solicitadas pelo usuário. Por exemplo: notificar a suspeita de uma fraude ou como forma de alertá-lo para um evento climático extremo ou uma campanha de vacinação obrigatória.
O spam de SMS, no entanto, não faz nada disso. Ele viola as leis de conformidade em quase todos os países a nível mundial e, infelizmente, isto não impede que empresas comprem listas de números e os bombardeiem com ofertas e promoções irrelevantes.
É bom lembrar que enviar uma comunicação para um usuário que não autorizou expressamente este tipo de mensagem é uma violação da Lei Geral de Proteção de Dados Pessoais (LGPD), a não ser que você tenha um motivo legal para isso (como é o caso dos exemplos citados acima.
O grande problema é que esse tipo de mensagem não desejada está aumentando, uma vez que as pessoas estão mais atentas em relação às ligações spam e não as atendem mais. Para se ter uma ideia, o Brasil recebeu a triste medalha de ouro (pela quarta vez seguida) como país em que sua população mais recebeu chamadas spam. Foram, em média, 32,9 chamadas por usuário por mês! Isso faz com que muitas empresas que compactuam com essas práticas estejam migrando para o SMS para continuar com essa “estratégia”.
Como parar com SMS spam
Do ponto de vista do usuário, há muito pouco que se possa fazer para parar completamente o spam dos SMS. O bloqueio e os pedidos de “saída”, quando disponibilizados, são ineficazes ou temporários no melhor dos cenários. Afinal, os spammers têm um vasto conjunto de números para usar, e o número que você reportar provavelmente já terá sido descartado.
Para os usuários finais, a ação mais efetiva é feita direto no aparelho, bloqueando notificações de números desconhecidos ou filtrando-as por uma caixa de entrada especial. Contudo, ao fazer isso, arrisca-se perder comunicações realmente relevantes.
Assim, a responsabilidade de reduzir os Spams de SMS e outras tentativas de fraude recai, em última análise, sobre os fornecedores de telecomunicações, antes mesmo de chegarem aos seus usuários.
Mas como eles podem fazer isto sem bloquear o tráfego genuíno?
Operadoras são os guardiões da experiência e segurança do cliente
As Telecoms têm um aliado na guerra contra os spammers e os fraudadores de SMS. Com a ajuda de empresas tecnológicas como a Infobip, elas podem avançar nas suas estratégias de segurança, implementando uma série de soluções concebidas para detectar e prevenir as fraudes de SMS.
Uma parte chave desta defesa são as firewalls SMS que fornecem:
- Conexão a uma base de dados continuamente atualizada de números e URLs maliciosos que podem ser automaticamente bloqueados em tempo real;
- Detecção proativa de ameaças utilizando machine learning para prevenir tentativas de fraude;
- Respostas automatizadas às ameaças identificadas;
- Detecção de MSISDNs que não são “clientes reais” com base na detecção de caixas SIM que podem fornecer análises de reputação MSISDN.
Num relatório recente que publicamos, descrevemos como o nosso firewall SMS foi o primeiro a detectar um tipo de fraude anteriormente desconhecido e que se espalhava a nível mundial. Ele identificou um padrão irregular de conteúdo de mensagens SMS que não parecia ser nem tráfego A2P, nem mensagens P2P legítimas. Também não era spam, uma vez que as mensagens eram rastreadas até aos remetentes legítimos.
As investigações mostraram que o tráfego estava sendo encaminhado através de uma aplicação particular de terceiros que era capaz de contornar as taxas internacionais de mensagens. Os operadores móveis foram informados para que pudessem ser tomadas medidas para proteger tanto os seus negócios como os usuários desta nova ameaça de fraude.
O firewall SMS da Infobip foi atualizado para detectar e bloquear automaticamente estas mensagens, e a informação sobre os usuários afetados foi transmitida a cada operador móvel, para que eles pudessem ajudar seus clientes a lidar com o problema.
A solução demonstrou ser extremamente precisa, com menos de 0,1% de casos falsos-positivos.
Este exemplo demonstra que a implementação de uma solução antifraude não deve ser encarado como apenas um exercício de “box ticking” para os fornecedores de telecomunicações.
É fundamental que eles unam forças com um parceiro tecnológico especializado que monitore e se adapte constantemente para garantir que as suas ferramentas sejam eficazes contra as últimas ameaças que correm no mercado.
Com uma presença global e uma equipe especializada em segurança SMS, a Infobip está qualificada e disposta a assumir este papel de co-guardiã do ecossistema de telefonia móvel. Entre em contato com um de nossos especialistas e saiba mais!