"A sua encomenda está retida nos correios. Regularize a taxa de 1,99 EUR." A mensagem chega ao fim da tarde, tens mesmo uma encomenda a caminho, e a ligação está ali, a um toque de distância. É exatamente assim que o smishing funciona.

O que é o smishing

Smishing é a burla por SMS. O nome junta "SMS" e "phishing", a pesca de dados. O esquema é sempre o mesmo: recebes uma mensagem curta com uma desculpa credível e uma ligação. Quem toca na ligação vai parar a uma página falsa que imita um site conhecido -- os correios, o banco, as Finanças, uma transportadora -- e que existe só para te roubar dados ou dinheiro.

Funciona porque um SMS tem um ar de urgência e de proximidade que um e-mail já perdeu. Lês as mensagens em segundos, muitas vezes de passagem, e raramente paras para analisar o remetente.

As burlas de SMS mais comuns em Portugal

As campanhas mudam de fachada, mas giram à volta de meia dúzia de pretextos. Conhecê-los faz com que os reconheças logo na primeira linha:

  • encomenda retida que exige o pagamento de uma pequena taxa alfandegária ou de reexpedição;
  • mensagem do "banco" sobre um movimento suspeito que tens de confirmar;
  • aviso das Finanças sobre um reembolso a receber ou uma dívida a pagar;
  • premio ou voucher de uma cadeia de lojas conhecida;
  • código de verificação que não pediste, seguido de uma chamada a pedir-te esse código.

A última situação merece um aviso à parte: um código que recebes por SMS seguido de uma chamada a pedi-lo é um esquema híbrido, que junta o smishing à burla por voz. Quem ligar vai pressionar-te para ditares o código -- e isso já é vishing, com regras próprias de defesa.

O denominador comum é a quantia pequena ou o ganho fácil. Pedir 1,99 EUR é uma jogada calculada: é tão pouco que muita gente paga sem pensar, e ao pagar entrega os dados do cartão. O valor do SMS nunca é o objetivo -- os dados do cartão é que são.

Sinais de que o SMS é falso

Antes de tocares em qualquer ligação, lê a mensagem com atenção. Um SMS de smishing costuma trair-se sozinho. A ligação raramente aponta para o site oficial: tem um endereço estranho, com palavras a mais, um domínio que nada tem a ver com a empresa ou um encurtador que esconde o destino real.

Repara também no tom. Mensagens verdadeiras de empresas não te metem pressão nem te ameaçam com prazos de poucas horas. E desconfia quando o remetente aparece como um número de telemóvel normal a fazer-se passar por uma instituição -- embora o nome do remetente também possa ser falsificado, tal como acontece nas chamadas. Essa falsificação é o spoofing, e é o que faz uma mensagem fraudulenta cair na mesma conversa dos SMS verdadeiros do teu banco.

O teste mais simples: não toques na ligação

Há uma regra que resolve a maioria dos casos. Nunca resolvas nada a partir da ligação de um SMS. Se a mensagem diz que tens uma encomenda retida, abre a aplicação oficial da transportadora ou o site escrito de tua mão no navegador. Se diz que é do banco, entra no homebanking como entras sempre.

Se a história for verdadeira, vais encontrá-la lá. Se não houver nada, era burla. Este hábito custa-te trinta segundos e fecha a porta a quase todas as campanhas de smishing, porque o ataque depende inteiramente de seres tu a usar a ligação deles.

Já abri a ligação ou inseri dados -- e agora?

Se apenas abriste a página, mas não escreveste nada, o risco é baixo: fecha-a, não preenchas campos e não instales nada. Se inseriste os dados do cartão ou as credenciais do banco, o tempo passa a contar a teu favor ou contra ti.

Liga imediatamente para o teu banco pelo número oficial e pede o cancelamento do cartão. Muda as palavras-passe que tenhas escrito na página falsa. O artigo sobre o que fazer depois de dar dados a um burlão descreve a sequência completa, passo a passo.

Denunciar para travar a campanha

Reportar um SMS de smishing tem efeito real. Podes reencaminhar a mensagem suspeita para o serviço de combate a fraude da tua operadora e reportar a página falsa ao Centro Nacional de Cibersegurança. Se houve prejuízo financeiro, apresenta queixa à Polícia Judiciária.

Apaga depois a mensagem para não tocares nela por engano mais tarde. E avisa as pessoas à tua volta -- familiares menos habituados à tecnologia são o alvo preferido destas campanhas. Um aviso a tempo vale mais do que qualquer página de ajuda.

Porque o smishing não vai desaparecer

Enviar SMS em massa é barato, rápido e quase anónimo. Enquanto bastar uma pequena percentagem de pessoas a tocar na ligação para o esquema compensar, as campanhas vão continuar a chegar. As fachadas mudam ao ritmo das estações -- na época de compras surgem as encomendas, na altura dos impostos surgem as Finanças -- mas o mecanismo é sempre o mesmo.

É por isso que a tua melhor proteção não é decorar cada burla nova, é interiorizar o reflexo de base: uma ligação dentro de um SMS nunca é o caminho. Resolve sempre o assunto pela aplicação oficial ou pelo site que escreves de tua mão. Com esse reflexo instalado, deixa de importar qual a desculpa do mês -- todas elas batem contra a mesma parede.