Cibercriminosos têm uma nova maneira de enviar milhões de mensagens de texto de fraude para as pessoas. Tipicamente, quando os fraudadores enviam ondas de mensagens de phishing para celulares—como golpes de pedágio ou entrega—eles podem usar uma enorme lista de números de telefone e automatizar o envio das mensagens. Mas à medida que as empresas telefônicas e os serviços de telecomunicações têm implementado mais ferramentas para detectar fraudes em mensagens de texto, os criminosos começaram a dirigir por cidades com torres de celular falsas que enviam mensagens diretamente para os telefones próximos.
No último ano, houve um aumento acentuado no uso dos chamados “blasters de SMS” por golpistas, com a polícia em vários países detectando e prendendo pessoas que usavam o equipamento. Os blasters de SMS são dispositivos pequenos, que foram encontrados na parte de trás dos carros de criminosos e, às vezes, em mochilas, que imitam torres de celular e forçam os telefones a usar conexões inseguros. Em seguida, eles empurram as mensagens de golpe, que contêm links para sites fraudulentos, para os telefones conectados.
Embora não seja um tipo novo de tecnologia, o uso de blasters de SMS em fraudes foi inicialmente detectado em países do Sudeste Asiático e se espalhou cada vez mais para a Europa e América do Sul—na semana passada, o Centro Nacional de Cibersegurança da Suíça emitiu um aviso sobre os blasters de SMS. Os dispositivos são capazes de enviar enormes volumes de mensagens de texto de fraude indiscriminadamente. A agência suíça disse que alguns blasters são capazes de enviar mensagens para todos os telefones em um raio de 1.000 metros, enquanto relatórios sobre um incidente em Bangkok dizem que um blaster foi usado para enviar cerca de 100.000 mensagens de SMS por hora.
“Esta é essencialmente a primeira vez que vemos o uso em larga escala de dispositivos de transmissão de rádio móvel por grupos criminosos”, diz Cathal Mc Daid, VP de tecnologia da empresa de telecomunicações e cibersegurança Enea, que tem monitorado o uso de blasters de SMS. “Embora alguma experiência técnica possa ajudar no uso desses dispositivos, aqueles que realmente operam os dispositivos não precisam ser especialistas. Isso foi demonstrado por relatos de detenções de pessoas que foram basicamente pagas para dirigir por áreas com blasters de SMS em carros ou vans.”
Os blasters de SMS atuam como mastros de telefone ilegítimos, muitas vezes conhecidos como simuladores de estação celular (CSS). Os blasters não são muito diferentes dos chamados captadores de IMSI, ou “Stingrays”, que as autoridades de aplicação da lei têm usado para capturar dados de telefone das pessoas. Mas, em vez de serem usados para vigilância, eles transmitem sinais falsos para dispositivos-alvo.
Os telefones próximos a um blaster podem ser forçados a se conectar a seus sinais 4G ilegítimos, antes que o blaster empurre os dispositivos a rebaixar para a rede 2G menos segura. “A estação base falsa 2G é então usada para enviar (explodir) mensagens SMS maliciosas para os telefones móveis inicialmente capturados pela estação base falsa 4G”, explica Mc Daid. “Todo o processo—captura 4G, rebaixamento para 2G, envio de SMS e liberação—pode levar menos de 10 segundos”, explica. É algo que as pessoas que recebem as mensagens podem não perceber.
O crescimento dos blasters de SMS acontece em um momento em que as fraudes estão em alta. Nos últimos anos, empresas de tecnologia e operadores de redes móveis têm implementado cada vez mais proteções contra mensagens de texto fraudulentas—de melhores filtragens e detecções de possíveis mensagens de fraude a bloquear milhões de mensagens por mês. Neste mês, a operadora de telecomunicações do Reino Unido Virgin Media O2 disse que bloqueou mais de 600 milhões de mensagens de texto de fraude durante 2025, mais do que seus totais combinados dos últimos dois anos. Mesmo assim, milhões de mensagens de fraude conseguem passar, e cibercriminosos estão rápidos em tentar evadir os sistemas de detecção.
Porque os blasters operam fora das redes móveis tradicionais, as mensagens que enviam não estão sujeitas às medidas de segurança que foram implementadas pelos provedores móveis. “Nenhum dos nossos controles de segurança se aplica às mensagens que os telefones recebem deles”, diz Anton Reynaldo Bonifacio, o diretor de segurança da informação e diretor de IA da empresa de comunicações das Filipinas Globe Telecom. “Uma vez que os telefones estão conectados a esses sites celulares falsos, eles podem falsificar qualquer ID ou número do remetente para enviar a mensagem de fraude.”
Em 2022, a Globe Telecom decidiu parar de entregar mensagens SMS que contêm URLs, e Bonifacio diz que acredita que os golpistas usam os blasters para “contornar” essas medidas. “A tecnologia costumava ser mais nicho, mas eu acho que as vendas e a montagem desses dispositivos captadores de IMSI se tornaram mais prevalentes para organizações criminosas”, afirma. Pesquisadores descobriram blasters de SMS sendo vendidos abertamente online por milhares de dólares.
Samantha Kight, chefe de segurança da indústria do grupo da operadora móvel GSMA, diz que a região da Ásia-Pacífico foi a mais impactada por blasters de SMS até agora, mas há casos surgindo na Europa Ocidental e América do Sul. “Pode ser um problema em uma ou duas regiões, mas depois tendemos a ver essas coisas surgindo em diferentes regiões”, diz Kight. Relatórios da Commsrisk e Risky Business destacaram relatos de blasters de SMS sendo usados na Tailândia, Vietnã, Japão, Nova Zelândia, Catar, Indonésia, Omã, Brasil, Hong Kong e mais nos últimos meses. Funcionários da polícia em Londres dizem que até agora apreenderam sete blasters de SMS, e em junho, um estudante da China foi condenado a mais de um ano de prisão após ser pego usando um dos dispositivos.
Kight afirma que lidar com blasters de SMS envolve operadores de telecomunicações e reguladores do governo estarem cientes dos dispositivos, agências de aplicação da lei tomando ações, bem como pessoas reconhecendo e relatando mensagens de fraude às autoridades competentes. “Como setor móvel, queremos ser capazes de encontrar esses, queremos que as pessoas confiem no que está em seus dispositivos e queremos conseguir protegê-las”, afirma Kight.
Yomna Nasser, uma engenheira de software no Android, diz que as pessoas podem impedir que seus telefones se conectem a redes 2G em suas configurações. “Uma vez habilitado, seu dispositivo não irá mais escanear ou se conectar a torres de celular 2G”, diz Nasser, acrescentando que a única exceção é se uma chamada de emergência estiver sendo feita e 3G, 4G e 5G não estiverem disponíveis. O modo de proteção avançada do Android também desabilitará automaticamente 2G em alguns telefones mais novos. A Apple não respondeu ao pedido de comentários da WIRED até a publicação, embora seu Modo de Bloqueio desative conexões 2G.
Em última análise, você pode não saber se um blaster de SMS está sendo usado para enviar uma fraude. Ben Hurley, sargento detetive da Unidade de Crime de Cartão e Pagamento da Cidade de Londres, que está investigando casos localmente, diz que enquanto a entrega é diferente, os próprios golpes não mudaram. Mensagens de phishing são frequentemente projetadas para fazer você clicar em um link malicioso e entregar suas informações pessoais. “É uma nova maneira de fazer a mesma coisa”, diz Hurley. “Mudou como precisamos investigar isso, mas na verdade não mudou o resultado final”, diz ele, acrescentando que as pessoas devem sempre ter cautela ao clicar em links em mensagens desconhecidas e levar um momento antes de agir se a mensagem parecer suspeita.
Como em todos os crimes cibernéticos, no entanto, existe a chance de que aqueles que operam os esquemas e os blasters possam evoluir suas táticas. “Os próprios dispositivos blaster de SMS que eles usam são relativamente não sofisticados até agora”, diz Mc Daid, acrescentando que o tipo de tecnologia originalmente veio do mundo dos governos, da aplicação da lei e das forças armadas. Se os criminosos conseguirem acesso a tecnologias e conhecimentos mais sofisticados, ele diz, “isso pode ser o começo de um jogo de gato e rato.”