O que é smishing e como evitá-lo

O que é smishing?

Smishing é phishing por meio de uma mensagem de texto SMS: é um golpe de engenharia social onde alguém envia uma mensagem fingindo ser alguém confiável, como seu banco ou um ente querido, para convencer você a revelar informações pessoais, enviar dinheiro para golpistas ou clicar em links perigosos.

Existem muitos golpes de smishing e eles podem sair caros. Em 2024, os americanos perderam quase meio bilhão de dólares em golpes de smishing. E no primeiro semestre de 2025, o número de relatos de smishing mais que dobrou em comparação com o mesmo período de 2024. Assim, educar-se sobre eles é vital para o seu bem-estar financeiro.

Como funciona o smishing

O smishing funciona enganando os alvos para que cliquem em links perigosos incorporados em mensagens de texto. O objetivo é fazer com que você revele informações pessoais, como credenciais de acesso, ou envie dinheiro diretamente para um golpista.

Para enviar mensagens de smishing, tudo o que um golpista precisa é do seu número de telefone. E muitas vezes é muito fácil conseguirem: seu número de telefone pode estar listado em suas páginas de mídia social, sites de data brokers ou pode ter vazado em uma violação de dados.

Assim que um golpista tem seu número, ele compõe uma mensagem para te enganar e fazer você agir sem pensar. Ele pode usar táticas emocionais como medo e urgência para conseguir isso. Por exemplo, pode dizer que sua conta do Instagram será bloqueada permanentemente se você não agir agora. Ou pode dizer que uma grande quantia em dinheiro foi deduzida da sua conta bancária.

Clicar em um link em uma mensagem de smishing pode levar você a uma página de login falsa ou portal de pagamento que captura suas credenciais ou informações de cartão de crédito. Ou pode desencadear o download de um malware que instala spyware no seu dispositivo, sequestrando suas informações pessoais e enviando-as para o invasor. Alternativamente, um golpista de smishing pode se passar por um ente querido e pedir que você envie dinheiro por meio do Cash App ou Venmo.

Os golpistas podem falsificar o identificador do remetente para fazer parecer que a mensagem é de uma fonte confiável. Isso é chamado de spoofing de telefone e pode fazer uma mensagem parecer que é da sua mãe ou do seu serviço de streaming favorito.

Tipos de golpes de smishing

Golpes de smishing comuns incluem mensagens bancárias falsas, golpes de verificação de conta, notificações sobre prêmios, golpes de entrega, taxas de pedágio falsas e golpes de agências tributárias.

Falsificação de identidade de instituição financeira

Os golpistas se passam por bancos, administradoras de cartão de crédito, cobradores de dívidas e outros para assustar você e fazer com que você aja. Eles podem relatar uma transação suspeita em seu cartão ou ameaçar fechar sua conta, a menos que você aja imediatamente.

Em um caso recente na Austrália, golpistas se passaram pelo Commonwealth Bank, uma importante instituição financeira com milhões de clientes. Os alvos recebiam mensagens de texto informando que seus pontos de recompensa estavam prestes a expirar. Para resgatar os pontos, as vítimas eram induzidas a clicar em um link malicioso.

Verificação de conta e ameaças de cancelamento de serviço

A maioria das pessoas está acostumada com mensagens de verificação de conta, então não parece fora do comum receber uma de uma conta de mídia social, serviço de streaming ou outra entidade confiável. Os golpistas se aproveitam da tendência das pessoas a clicar automaticamente em links nessas mensagens.

Eles também podem enviar mensagens sobre cancelamento de serviços ou assinaturas, que podem ser de ferramentas essenciais que você precisa para o trabalho ou para administrar suas finanças. Ou podem ser alertas que aparentemente vêm de apps de entretenimento.

Em 2025, a Netflix alertou seus 90 milhões de assinantes nos EUA e Canadá sobre mensagens de smishing de cancelamento de serviço. As mensagens de golpe ameaçavam os usuários de que suas contas seriam fechadas se eles não atualizassem suas informações de pagamento.

Golpes de prêmios, loterias e recompensas

Em vez de usar o medo, esses golpes de smishing usam a esperança para convencer as vítimas a clicarem em busca de uma recompensa. Os golpistas prometem de vales-presente do Starbucks a prêmios de loteria que mudam a vida. A mensagem pede às vítimas informações pessoais ou que paguem uma taxa de processamento ou frete para reivindicar um prêmio. Se a pessoa concordar, os golpistas levam o dinheiro e desaparecem.

Mensagens de texto com notificações de entrega e envio

Cerca de 75% dos estadunidenses recebem pelo menos uma encomenda pelo correio por semana. A maioria das pessoas está acostumada a receber notificações de envio e entrega por SMS.

Para os golpistas, é fácil inserir mensagens fraudulentas junto com as legítimas. Eles se passam pela agência de serviços postais dos EUA (USPS) e por transportadoras privadas como FedEx e UPS. As mensagens frequentemente informam sobre tentativas de entrega frustradas, pedindo que você clique em um link para atualizar seus dados pessoais ou escolher uma nova data de entrega. Ou alegam que você precisa pagar uma taxa pendente para receber a encomenda.

Cobranças falsas de pedágio

Se você receber uma mensagem de texto sobre pedágios não pagos ou evasão, é muito provável que seja um golpe. A maioria das estradas com pedágio não entrará em contato com você por texto sobre questões de pagamento. Essas mensagens fraudulentas normalmente incluem um link para uma página de pagamento falsa. Se você receber uma mensagem e achar que pode ser legítima, faça login na sua conta através do site oficial ou ligue para a central de atendimento para confirmar. Nunca clique em um link no texto.

Golpes de órgãos governamentais e tributários

Receber uma mensagem do governo pode ser estressante e os golpistas sabem que você provavelmente vai clicar nessas mensagens e ler com atenção.

Algumas mensagens podem ameaçar com multas ou auditorias, pedindo que você faça um pagamento para evitar medidas adicionais. Outras podem informar sobre incentivos fiscais não resgatados que você pode obter clicando em um link e fornecendo seu número de identidade ou dados bancários.

Os golpes de impostos da Receita Federal geralmente aumentam no início do ano, à medida que as pessoas começam a preparar suas declarações de imposto de renda. Em 2025, essas mensagens de golpe saltaram 77% em janeiro.

Golpes de suporte técnico e recuperação de conta

Mensagens de smishing de suporte técnico imitam empresas de tecnologia conhecidas como Apple, Microsoft e PayPal.

Eles podem alegar que seu dispositivo tem um vírus ou que sua conta está bloqueada por motivos de segurança. Golpes de suporte técnico geralmente aconselham você a “entrar em contato com o suporte imediatamente” ou “clique agora para recuperar sua conta”.

Golpe de falsificação de identidade de empresa ou colega de trabalho

Às vezes, golpistas se passam por um funcionário ou gerente da empresa para a qual você trabalha, solicitando informações ou pagamento.

Esses ataques de smishing podem ser altamente prejudiciais se derem aos hackers acesso aos dispositivos da empresa. Como resultado, os criminosos podem obter acesso a grandes quantidades de dados da empresa e de clientes.

Em um caso, um golpista se passou pelo CEO de uma empresa. Eles enviaram mensagens de texto para um funcionário pedindo para transferir a conversa para uma plataforma criptografada. Em seguida, era solicitado que a vítima fizesse grandes transferências em dinheiro para a conta do “CEO”.

Golpes de número errado ou de construção de relacionamento

Alguns golpistas tentarão ganhar sua confiança construindo uma amizade com você ao longo do tempo. Esses golpes se aproveitam de indivíduos solitários ou que confiam facilmente nas pessoas.

Eles geralmente começam com um texto de um número desconhecido. Se você responder, o golpista se desculpa e admite ter enviado a mensagem para a pessoa errada. Essa amizade virtual (ou falso romance) pode durar meses, enquanto o golpista coleta dados aos poucos e extrai suas informações confidenciais ou dinheiro.

Essa amizade virtual (ou romance falso) pode durar meses, enquanto o golpista coleta dados aos poucos e extrai suas informações confidenciais ou dinheiro.

Golpes de smishing “Hey Mom” (“oi, mãe”)

Em golpes do tipo “Hey Mom”, criminosos enviam mensagens de texto se passando por um filho com um telefone novo ou quebrado. Eles rapidamente mudam para pedir ajuda financeira urgente, muitas vezes alegando que não podem falar ao telefone.

Esses golpes funcionam explorando o instinto de um pai ou mãe de responder rápido. A pressão emocional faz com que o pedido pareça crível, levando as vítimas a enviar dinheiro antes de verificar se a mensagem é real.

Downloads gratuitos de apps maliciosos

Todo mundo gosta de ganhar algo de graça. Golpistas comumente oferecem downloads gratuitos de apps por mensagem de texto, sem pedir nada em troca. Em alguns casos, o app é real. Mas as vítimas não sabem que também estão baixando um malware.

Em outros casos, o app em si é malicioso. Por exemplo, um app de privacidade falso pode pedir que você insira detalhes pessoais para que ele possa “verificá-los na internet”. Em vez disso, os golpistas usam suas informações para roubar sua identidade. Você pode ajudar a evitar esses golpes baixando apps apenas de fontes oficiais, como a App Store e a Google Play Store.

Golpes de smishing automatizados com IA

A IA está facilitando para os golpistas cometerem fraudes em grande escala. A IA pode escrever e enviar milhares de mensagens de smishing em um instante. Ela pode até mesmo gerenciar campanhas inteiras com pouca intervenção humana.

Alguns chatbots de IA podem manter conversas realistas e de longo prazo por texto com humanos. Eles usam gramática e ortografia perfeitas, e conseguem adaptar seu tom para imitar marcas, agências governamentais e bancos.

Isso torna os golpes de smishing com IA muito difíceis de detectar. Mas não é impossível se proteger. Regras básicas simples, como nunca fornecer informações pessoais por texto ou clicar em links suspeitos, podem ajudar você a se manter seguro. Detectores de golpes com IA também podem ajudar a identificar smishing de IA, para que você nem mesmo se envolva.

Outros golpes de smishing emergentes

Os golpes de smishing estão em constante evolução. Os golpistas estão sempre procurando novas maneiras de enganar as pessoas para que respondam às suas mensagens e cliquem em links. Alguns tipos emergentes de golpes envolvem conselhos de investimento em criptomoedas ou pedidos de doação falsos.

Golpes de smishing oportunistas podem fazer referência a eventos atuais, como paralisações do governo, demissões em massa ou alterações nos benefícios governamentais.

Com o aumento dos golpes de smishing, mantenha-se cauteloso em relação a qualquer SMS que solicite dados pessoais ou peça para você clicar em um link. É sempre melhor jogar pelo seguro e não interagir. Se você tiver alguma dúvida, entre em contato com o remetente por outro canal.

Smishing, phishing e vishing

Smishing, phishing e vishing são formas de ataques de engenharia social que envolvem um golpista se passando por alguém para manipular as vítimas. A diferença entre eles está na forma como o golpista se comunica. Veja como os três tipos de ataque diferem:

• Phishing: Phishing originalmente se referia a golpes por e-mail. Hoje, o termo também é usado como uma categoria ampla que abrange muitos golpes de falsificação de identidade, incluindo smishing, vishing, pharming, whaling e spear phishing.

• Smishing: Smishing (SMS + phishing) é um tipo de ataque em que um golpista envia mensagens de texto falsas imitando alguém em quem você confia, como uma agência governamental ou um familiar.

• Vishing: Vishing (voz + phishing) é um tipo de fraude que envolve chamadas telefônicas ou mensagens de voz. Os golpistas imitam a voz de uma pessoa confiável ou fingem ser alguém que não são, como um representante de suporte ao cliente ou um colega de um escritório diferente.

Como identificar e prevenir ataques de smishing

Há várias maneiras de se proteger contra ataques de smishing. Algumas ferramentas alertam sobre esses ataques ou os bloqueiam antes que cheguem ao seu telefone. Aprender a identificá-los pode ajudar a evitar aqueles que não são detectados.

Use as dicas a seguir para identificar e se proteger contra ataques de smishing.

Identifique mensagens suspeitas

Aprender a identificar mensagens suspeitas ajudará você a evitar os golpes que passam pela segurança. Veja alguns sinais comuns de mensagens de smishing:

• Mensagens de remetentes desconhecidos.

• Mensagens com links.

• Mensagens com tom urgente ou ameaçador.

• Qualquer solicitação de informações pessoais

• Qualquer solicitação de pagamento.

• Qualquer solicitação para você baixar alguma coisa.

• Ofertas boas demais para ser verdade.

• Prêmios, recompensas ou reembolsos inesperados.

• Gramática e ortografia ruins ou frases não naturais (embora os golpistas também possam usar IA para melhorar suas mensagens).

Se você receber uma mensagem suspeita de um remetente conhecido, pode ser uma mensagem com spoofing. Os invasores podem falsificar o identificador do remetente, fazendo com que pareça vir de um número ou empresa que você reconhece.

Verifique se é uma mensagem falsa entrando em contato com o remetente por outro meio, como redes sociais ou e-mail, ou procure o número de telefone no site oficial e ligue para ele.

Use os recursos de segurança integrados do seu telefone

Seu telefone tem recursos de segurança integrados para ajudar a proteger você de mensagens de spam. Mas você pode precisar ativá-los.

No iPhone, você pode configurar o dispositivo para filtrar mensagens de remetentes desconhecidos. Essas mensagens são colocadas em uma caixa de entrada separada, onde você pode visualizá-las com mais cuidado.

Para fazer isso, abra Ajustes no app Mensagens e ative a opção Filtrar Remetentes Desconhecidos.

Dispositivos Android não vêm com esse recurso, mas você pode ativar a Proteção contra golpes nas configurações do app de mensagens para ajudar a proteger sua caixa de entrada de SMS. Ou use um app dedicado que filtra números desconhecidos e spam, como o SpamHound.

Se você receber uma mensagem de texto falsa, deve denunciá-la. Na maioria dos telefones, você pode tocar e segurar a mensagem ou o remetente para abrir um menu pop-up e denunciar a mensagem como spam. Isso impedirá que o mesmo número entre em contato com você novamente.

Para se beneficiar da segurança do dispositivo, é importante atualizar o telefone regularmente. Configure a atualização automática para não se esquecer. As atualizações incluem patches de segurança que podem ajudar a prevenir os golpes mais recentes e corrigir vulnerabilidades.

Adicione segurança extra com autenticação multifator

A autenticação multifator (MFA) ou autenticação de dois fatores (2FA) pode ajudar a proteger suas contas se você for vítima de um ataque de smishing.

MFA é uma medida de segurança que exige que você forneça duas formas de autenticação para acessar uma conta (por exemplo, sua senha mais um código enviado para seu telefone).

Se você acidentalmente fornecer informações confidenciais a um golpista, como detalhes de login, os hackers ainda não conseguirão acessar suas contas porque eles só terão uma forma de autenticação. De acordo com a Microsoft, adicionar MFA pode prevenir 99,9% dos ataques a contas.

Use apps antiphishing e de segurança

Baixar apps de segurança, como software antiphishing e antivírus, pode dar ao seu telefone uma camada extra de proteção além dos seus recursos integrados.

Alguns apps podem verificar, filtrar e bloquear mensagens maliciosas antes que elas cheguem à sua caixa de entrada. Outros podem adicionar alertas de golpe a mensagens suspeitas, levando você a pensar duas vezes antes de abri-las.

Ferramentas de segurança também podem ajudar a proteger você caso se envolva por engano em golpes de smishing. O acesso a sites maliciosos pode ser bloqueado, e downloads que contenham malware podem ser verificados e colocados em quarentena antes que possam causar danos.

Proteja-se contra smishing com a Avast

Os ataques de smishing são comuns, e as novas tecnologias estão tornando as mensagens de golpe mais difíceis de detectar. O smishing pode comprometer seus dados pessoais, dispositivos e finanças. O Avast Free Antivirus vem com proteção contra malware e o Assistente Avast com IA. Basta enviar uma mensagem suspeita e ele analisará se é ou não um golpe.

Perguntas frequentes

Como posso reconhecer uma mensagem de smishing?

Mensagens de smishing quase sempre tentam pressionar você a clicar em um link ou responder com informações pessoais. Elas costumam usar uma linguagem urgente, ameaçadora e emotiva. Outros sinais reveladores de mensagens de smishing incluem ofertas boas demais para ser verdade, erros de ortografia e gramática, notificações inesperadas e brindes.

O que devo fazer se for vítima de um ataque de smishing?

Se você for vítima de smishing, a primeira coisa a fazer é parar de interagir com o remetente e bloqueá-lo. Se você baixou algo ou clicou em um link, desconecte-se da Internet imediatamente e execute uma verificação antivírus. Em seguida, altere suas senhas de quaisquer contas que possam ter sido comprometidas. Se suas contas financeiras estiverem em risco, ligue para o banco para protegê-las.

Existem ferramentas para ajudar a prevenir smishing?

Sim, existem ferramentas integradas no seu celular e apps de terceiros para ajudar a prevenir smishing. Você pode ativar a filtragem de mensagens ou a proteção contra golpes no menu de configurações dos apps de mensagem. O Assistente Avast, com IA, também pode ajudar você a identificar mensagens fraudulentas caso tenha alguma dúvida.