Ataques às contas bancárias de usuários que utilizam serviços móveis para guardar suas finanças e realizar transações têm aumentado consideravelmente, com técnicas como o SMiShing (phishing enviado por SMS), com domínios registrados para esse tipo de invasão, de acordo com um relatório do iMasters.

Em 2015, bancos brasileiros registraram perdas de R$ 1,8 bilhão com cibercrimes. Até então, uma das práticas comuns foi o trojan bancário, e o Brasil está entre os países onde há maiores índices de ocorrências nessa área. São programas maliciosos instalados nas máquinas que permitem o roubo de dados no ato de compras online. Porém, outra técnica comumente utilizada tem aumentado. O phishing consiste no roubo de informações através de sites falsos, e isso tem sido feito via SMS.

O Brasil tem um cenário apropriado para esse tipo de ataque. Em 2015, o uso dos bancos através de serviços móveis chegou à marca de 11,2 bilhões de transações no país. Esse número representa crescimento de 138% em relação a 2014 e atualmente o internet banking é o segundo canal bancário mais acessado.

Esse tipo de golpe é simples e barato - principalmente se utilizado cartão de crédito clonado para pagar alguns custos. Basta criar um site móvel para o phishing, contratar um serviço de envio de SMS em massa e, se possível, conseguir uma boa lista de números de telefone de potenciais vítimas.

Com a ausência de serviços de proteção nos dispositivos móveis de grande parte da população, fica mais fácil realizar o golpe nessas plataformas. Além disso, os próprios bancos não exigem plugins de segurança instalados nos smartphones e tablets, como ocorre no PC (embora estes também possuam falhas perigosas).

Por fim, boa parte dos bancos usam SMS para se comunicar com seus clientes e trocar informações sobre saques e compras no cartão. Esse tipo de prática torna mais fácil realizar ataques por SMiShing pois fica mais difícil identificar mensagens autênticas e fraudulentas.

Levando esse cenário em consideração, os hackers têm desenvolvido técnicas para levar os usuários a acessar as páginas falsas através dos dispositivos móveis. Caso a página seja acessada no desktop, uma mensagem como essa pode aparecer:

O iMasters relata que "phishers estão criando páginas falsas de vários bancos, em todas as cores e formas ... A maioria desses domínios impede o acesso a partir de IPs fora do Brasil.

Isso acontece para limitar o acesso aos usuários brasileiros e manter o ataque por mais tempo ar, além de ser mais efetivo, uma vez que companhias de segurança sem presença local irão demorar mais para bloquear o ataque."

Uma lista com os domínios de sites falsos foi publicada para que usuários possam se precaver, mas ainda assim todo o cuidado é pouco. Certifique-se de visitar as páginas corretas e evitar troca de informações por SMS, a menos que se tenha garantias de que o contato é autêntico.