How can scammers make text messages appear from legitimate company numbers?

Scammers use SMS spoofing technology that allows them to manipulate the sender ID displayed on your phone, making messages appear from recognized company shortcodes or phone numbers. This technique exploits vulnerabilities in the SMS infrastructure that doesn't verify sender authenticity. Always verify suspicious messages through official channels rather than trusting the displayed sender information.

What should I do if I already clicked a link in a smishing text?

Immediately disconnect your phone from Wi-Fi and cellular data to prevent malware transmission, then change passwords for all accounts using a different secure device. Contact your bank and credit card companies to monitor for fraudulent activity, run a mobile security scan if you have antivirus software installed, and consider doing a factory reset if you entered personal information. Report the incident to the FTC at IdentityTheft.gov and your local authorities.

Can I get malware just from receiving a smishing text without clicking anything?

Simply receiving a smishing text cannot install malware on modern smartphones, but you should still delete suspicious messages immediately. However, clicking embedded links or downloading attachments can install spyware, keyloggers, or banking trojans that steal information. Some sophisticated attacks exploit zero-day vulnerabilities in messaging apps, though these are rare and typically patched quickly through operating system updates.

Why do legitimate companies send text messages if it's so risky for phishing?

Companies use SMS for legitimate purposes like appointment reminders, delivery notifications, and two-factor authentication because texts have high engagement rates and customer preference. Legitimate messages will never ask for passwords, payment information, or urgent action through links. Reputable organizations are implementing authenticated messaging standards like RCS and branded sender verification to help distinguish real communications from scams.

How do smishing scams specifically target different age groups?

Scammers tailor smishing messages based on demographic research: younger victims receive fake package delivery and social media security alerts exploiting online shopping habits, while older adults get targeted with Social Security suspension, Medicare fraud, and grandparent scam texts exploiting less familiarity with digital fraud tactics. Middle-aged victims often receive employment, tax, and banking scams. Understanding your risk profile helps recognize targeted attacks designed specifically for your demographic vulnerabilities.

Alto risco Perda média: $800 Duração típica: 1-3 days

Smishing (Phishing por SMS): Golpes por Mensagem de Texto Explicados

Smishing, um acrônimo de SMS e phishing, representa uma das ameaças de cibercrime que mais cresce, com a Comissão Federal de Comércio relatando um aumento de 146% em denúncias de fraude baseada em SMS entre 2020 e 2023. Esses ataques exploram a imediatidade e a confiança associadas às mensagens de texto, com vítimas perdendo uma média de R$ 4.000 por incidente. Ao contrário do phishing por e-mail, que frequentemente é filtrado, as mensagens de texto têm uma taxa de abertura de 98% e são lidas dentro de três minutos após o recebimento, tornando-as vetores de ataque excepcionalmente eficazes. Os golpistas enviam mensagens de texto fraudulentas se passando por bancos, serviços de entrega, agências governamentais ou empregadores para criar urgência e pânico. Essas mensagens geralmente contêm links maliciosos que levam a sites falsos projetados para capturar credenciais de acesso, números de cartão de crédito, números de CPF ou outras informações sensíveis. O Centro de Reclamações de Crimes da Internet do Federal Bureau of Investigation recebeu mais de 52.000 denúncias de smishing apenas em 2023, com perdas totais superior a R$ 210 milhões. O que torna o smishing particularmente perigoso é sua capacidade de contornar medidas de segurança tradicionais. Dispositivos móveis frequentemente carecem de filtros de spam robustos e software de segurança presentes em computadores, e os usuários tendem a confiar mais em mensagens de texto do que em e-mails. Os invasores aproveitam a tecnologia de falsificação para fazer as mensagens aparecerem de números de telefone legítimos ou códigos abreviados de empresas, e exploram gatilhos psicológicos como medo do encerramento de contas, falhas na entrega de pacotes ou problemas fiscais para incitar ação imediata sem pensamento crítico.

Táticas comuns Como identificar Como se proteger Casos reais Onde denunciar

Táticas comuns

• Golpes de entrega de pacotes onde fraudadores enviam textos alegando que um pacote está atrasado, não entregue ou requer ação imediata, com links para sites falsos da FedEx, UPS, Correios ou Amazon projetados para roubar informações de pagamento ou credenciais de acesso.
• Alertas falsos de segurança de conta bancária que afirmam atividade suspeita, contas bloqueadas ou verificação necessária, usando números falsificados que correspondem ao banco real da vítima para parecer legítimo e direcionam usuários para sites de captura de credenciais.
• Mensagens de representação fiscal ou governamental alegando impostos não pagos, suspensão do CPF, elegibilidade de pagamento de benefício ou ameaças de mandado que exigem pagamento imediato através de cartões-presente, transferências bancárias ou criptomoedas para resolver problemas fabricados.
• Ataques de contorno de autenticação de dois fatores onde golpistas enviam códigos que parecem ser de serviços legítimos, enganando vítimas para encaminhar códigos de autenticação que concedem acesso a contas reais minutos após a interceptação.
• Notificações falsas de prêmios e sorteios alegando vitórias em loteria, recompensas em cartões-presente ou prêmios de concurso que exigem que as vítimas paguem taxas de processamento, forneçam detalhes bancários ou cliquem em links maliciosos para reivindicar ganhos inexistentes.
• Golpes de emprego e folha de pagamento que visam funcionários com mensagens falsas de departamentos de RH ou executivos solicitando informações de imposto de renda, alterações de depósito direto ou transferências bancárias urgentes, frequentemente sincronizadas durante períodos ocupados quando a verificação é menos provável.

Como identificar

Mensagens de texto inesperadas de números desconhecidos ou códigos abreviados alegando representar empresas familiares, especialmente se você não tem transações pendentes, entregas ou problemas de conta com essa organização.
Linguagem urgente criando pressão de tempo artificial como 'responda em 24 horas', 'ação imediata necessária' ou 'conta será encerrada' projetada para contornar seu ceticismo natural e forçar decisões precipitadas.
URLs encurtadas ou links suspeitos que não correspondem ao domínio oficial do remetente alegado, frequentemente usando bit.ly, tinyurl.com ou variações com erros ortográficos de sites legítimos de empresas.
Solicitações de informações sensíveis por texto incluindo senhas, números de CPF, detalhes de cartão de crédito ou PINs de conta, que organizações legítimas nunca solicitam através de comunicações SMS.
Saudações genéricas como 'Caro Cliente' ou 'Titular da Conta' em vez de seu nome real, indicando mensagens de golpe distribuídas em massa em vez de comunicação personalizada de empresas que conhecem sua identidade.
Erros de gramática e ortografia, formatação incomum ou fraseado estranho que difere do estilo de comunicação profissional de organizações legítimas, frequentemente indicando tradução de operações de golpe estrangeiras.

Como se proteger

Nunca clique em links em mensagens de texto não solicitadas, mesmo que pareçam legítimas; em vez disso, digite manualmente o site oficial da empresa em seu navegador ou use seu aplicativo oficial para verificar o status de sua conta diretamente.
Ative autenticação multifator usando aplicativos autenticadores em vez de códigos SMS sempre que possível, pois a autenticação de dois fatores baseada em SMS permanece vulnerável a troca de SIM e ataques de interceptação por criminosos sofisticados.
Verifique mensagens suspeitas entrando em contato direto com a organização usando números de telefone do seu site oficial ou do verso de seu cartão de crédito, nunca usando informações de contato fornecidas na mensagem de texto suspeita.
Denuncie tentativas de smishing à sua operadora de telefonia móvel encaminhando textos suspeitos para o número de denúncia de spam do seu operador, o que ajuda provedores a identificar e bloquear mensagens de golpe enquanto contribui para bancos de dados mais amplos de prevenção de fraude.
Instale software de segurança móvel que inclua proteção antiphishing e atualize regularmente o sistema operacional do seu telefone para corrigir vulnerabilidades que ataques de smishing exploram para instalar malware ou spyware.
Registre seu número de telefone em listas de exclusão de telemarketing e seja especialmente cauteloso com qualquer texto que alegue precisar de códigos de verificação, pois empresas legítimas nunca pedirão que você compartilhe códigos de autenticação através de qualquer método de comunicação.

Casos reais

Uma residente de São Paulo recebeu um texto que parecia ser dos Correios informando que seu pacote não era entregável devido a um endereço incorreto e fornecendo um link para atualizar as informações de entrega. O link levava a um site falso convincente dos Correios que solicitava as informações de seu cartão de crédito para uma taxa de reentrega de R$ 17. Após inserir seus dados, os golpistas imediatamente fizeram cobranças fraudulentas de R$ 12.000 e venderam as informações de seu cartão na dark web, resultando em meses de complicações de roubo de identidade.

Um proprietário de pequeno negócio no Rio de Janeiro recebeu um texto que parecia vir do código abreviado oficial de seu banco alertando sobre atividade de conta suspeita e instruindo-o a verificar sua identidade imediatamente clicando em um link. O site bancário falso capturou seu nome de usuário, senha e respostas a perguntas de segurança. Dentro de 45 minutos, golpistas iniciaram transferências bancárias totalizando R$ 90.000 para contas no exterior antes do proprietário descobrir a fraude ao verificar seu aplicativo bancário legítimo.

Um casal idoso em Recife recebeu textos alegando que devia R$ 4.235 em impostos não pagos e enfrentava prisão em 72 horas a menos que pagasse imediatamente através de cartões-presente. A mensagem incluía um número para retornar chamadas para um agente falso da Receita Federal que os pressionou durante uma ligação de três horas para comprar R$ 25.000 em cartões-presente iTunes e Google Play, ditando os números dos cartões ao telefone antes do casal perceber que nenhuma agência governamental legítima aceita pagamentos em cartões-presente.

Onde denunciar — Portugal / Brasil

Canais oficiais na sua região para denunciar este golpe.

Polícia Judiciária - Cibercrime (Portugal)

Cibercrime

Gabinete Cibercrime do Ministério Público — denúncias online.

Visitar →

CERT.PT (Portugal)

Denúncia

Centro Nacional de Cibersegurança — incidentes cibernéticos.

Visitar →

Polícia Federal - DENARC (Brasil)

Cibercrime

Canal de denúncia da Polícia Federal brasileira.

197 Visitar →

PROCON (Brasil)

Defesa do consumidor

Procon — defesa do consumidor (telefone varia por estado).

151 Visitar →

Acha que encontrou este golpe?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), smishing (phishing por sms): golpes por mensagem de texto explicados is described at https://scamlens.org/pt/encyclopedia/smishing-sms-phishing.

https://scamlens.org/pt/encyclopedia/smishing-sms-phishing

Comece aqui

Verificação de Segurança

Inteligência

Ferramentas e Relatórios

Serviços Premium

Extensão e API