O que é smishing: como funcionam os golpes por SMS e como se proteger
Golpes e Fraudes
O que é smishing e por que ele é tão perigoso
Smishing é uma modalidade de golpe digital que utiliza mensagens SMS para enganar vítimas. O nome vem da combinação de “SMS” com “phishing”, a técnica clássica de roubo de dados por meio de comunicações falsas. Enquanto o phishing tradicional opera por e-mail, o smishing explora a confiança que as pessoas ainda depositam nas mensagens de texto recebidas no celular.
Os números são alarmantes. Segundo a Febraban, os prejuízos financeiros causados por golpes digitais no Brasil saltaram de R$ 8,6 bilhões em 2023 para R$ 10,1 bilhões em 2024, um crescimento de 17%. Pesquisa da Norton divulgada em 2025 revelou que 54% das tentativas de fraude no país foram realizadas por SMS. Desses, 43% das pessoas que receberam as mensagens acabaram caindo no golpe, e 77% das vítimas sofreram perdas financeiras que variaram de R$ 1,2 mil a R$ 40 mil.
Em abril de 2026, o Serpro publicou alerta oficial sobre golpes que simulam comunicações do Governo Federal via aplicativos de mensagens. As mensagens informam suposto bloqueio de CPF, débitos pendentes ou risco de medidas judiciais, direcionando vítimas para links falsos que capturam dados pessoais ou induzem pagamentos indevidos.
Como o smishing funciona na prática
O golpe segue um roteiro previsível, mas eficaz. O criminoso envia uma mensagem SMS que simula uma comunicação legítima de bancos, operadoras de telefonia, Correios, Receita Federal ou outros órgãos. A mensagem traz linguagem de urgência: “Sua conta será bloqueada”, “Encomenda retida na alfândega” ou “CPF com pendência judicial”.
O texto sempre inclui um link. Ao clicar, a vítima é redirecionada para um site falso que imita com precisão o visual do site oficial. Ali, é solicitado que a pessoa informe CPF, senha bancária, número do cartão ou outros dados sensíveis. Em alguns casos, o link instala programas maliciosos no dispositivo que passam a monitorar tudo o que é digitado.
Izabella Matos, gerente do Departamento Técnico em Antifraude Cibernética do Serpro, explica que, embora envolva elementos tecnológicos, o smishing é “essencialmente um ataque de engenharia social, que explora a confiança e a atenção do usuário para induzir ações que acabam expondo informações sensíveis”.
Os tipos mais comuns de smishing no Brasil
Os golpes por SMS se adaptam ao contexto do momento. Entre os formatos mais frequentes em 2026 estão:
Falsa encomenda retida. Mensagens que fingem ser dos Correios ou transportadoras, informando que uma encomenda não pode ser entregue e solicitando o pagamento de uma taxa. Centenas de sites falsos foram criados com esse formato apenas no último ano.
Valores a receber. SMS que simula comunicação do Banco Central sobre supostos valores esquecidos em contas bancárias. O link direciona para páginas que coletam dados bancários completos.
Cassação de CNH. Mensagens que alertam sobre suposta cassação da Carteira Nacional de Habilitação, levando a vítima a informar dados pessoais em sites fraudulentos.
Pendências na Receita Federal. Em plena temporada de Imposto de Renda, golpistas enviam alertas falsos sobre irregularidades no CPF ou pendências no IRPF, aproveitando o medo do contribuinte.
Bloqueio de conta bancária. Mensagens que simulam comunicação de bancos sobre atividade suspeita, solicitando que a vítima “confirme” dados através de link falso.
Como identificar e evitar golpes por SMS
A primeira regra é desconfiar de qualquer mensagem SMS que contenha link, especialmente se usar linguagem de urgência ou ameaça. Órgãos oficiais como Receita Federal, Banco Central e Detran não enviam notificações por SMS com links para pagamento.
Verifique o remetente. Números curtos (short codes) podem ser legítimos, mas criminosos também os utilizam. Se receber uma mensagem supostamente de um banco ou órgão público, entre em contato diretamente pelo telefone oficial ou pelo site que você mesmo digita no navegador.
Nunca clique em links recebidos por SMS. Se a mensagem menciona uma encomenda, acesse diretamente o site dos Correios. Se fala de valores a receber, vá ao site oficial do Banco Central. Se menciona o Imposto de Renda, acesse o e-CAC da Receita Federal.
Mantenha o sistema operacional do celular atualizado. Atualizações frequentemente corrigem vulnerabilidades que malwares exploram. Ative a verificação em duas etapas em todas as contas importantes. E, principalmente, nunca compartilhe códigos de verificação recebidos por SMS com ninguém.
Por que apps de mensagens seguros são parte da solução
O smishing prospera porque o SMS é um canal sem criptografia, sem verificação de identidade e sem mecanismos de proteção contra fraudes. Qualquer pessoa pode enviar um SMS se passando por qualquer remetente.
A migração para aplicativos de mensagens com criptografia ponta a ponta e verificação de identidade reduz drasticamente a superfície de ataque. O PhizChat oferece exatamente esse nível de proteção. Com criptografia de ponta a ponta em todas as conversas, verificação de identidade dos contatos e conformidade total com a LGPD, o PhizChat elimina os vetores que tornam o smishing possível.
Diferentemente do SMS, onde qualquer criminoso pode se passar por uma instituição, no PhizChat a identidade dos remetentes é verificada. As mensagens trafegam criptografadas e os dados ficam sob controle do usuário, sem coleta para fins publicitários. Para quem busca um app de mensagens seguro e uma alternativa ao WhatsApp com foco real em privacidade, o PhizChat representa a evolução que a comunicação digital brasileira precisa.
Perguntas frequentes
O que fazer se eu cliquei em um link de smishing?
Troque imediatamente as senhas de contas que possam ter sido comprometidas. Se informou dados bancários, entre em contato com seu banco. Faça uma varredura com antivírus no celular e registre um boletim de ocorrência.
SMS de banco pedindo para confirmar dados é golpe?
Na maioria dos casos, sim. Bancos podem enviar SMS informativos, mas nunca pedem que o cliente clique em links ou informe senhas por mensagem. Na dúvida, ligue para o banco pelo número oficial do cartão.
Como denunciar smishing no Brasil?
Encaminhe a mensagem para o número 7726 (que soletra SPAM no teclado). Registre ocorrência na delegacia de crimes cibernéticos do seu estado ou pelo site da Polícia Civil.
Criptografia ponta a ponta protege contra smishing?
A criptografia ponta a ponta, como a do PhizChat, protege o conteúdo das mensagens e dificulta a interceptação. Combinada com verificação de identidade, ela reduz drasticamente o risco de receber comunicações fraudulentas dentro do aplicativo.
Golpes e Fraudes
O que é smishing e por que ele é tão perigoso
Smishing é uma modalidade de golpe digital que utiliza mensagens SMS para enganar vítimas. O nome vem da combinação de “SMS” com “phishing”, a técnica clássica de roubo de dados por meio de comunicações falsas. Enquanto o phishing tradicional opera por e-mail, o smishing explora a confiança que as pessoas ainda depositam nas mensagens de texto recebidas no celular.
Os números são alarmantes. Segundo a Febraban, os prejuízos financeiros causados por golpes digitais no Brasil saltaram de R$ 8,6 bilhões em 2023 para R$ 10,1 bilhões em 2024, um crescimento de 17%. Pesquisa da Norton divulgada em 2025 revelou que 54% das tentativas de fraude no país foram realizadas por SMS. Desses, 43% das pessoas que receberam as mensagens acabaram caindo no golpe, e 77% das vítimas sofreram perdas financeiras que variaram de R$ 1,2 mil a R$ 40 mil.
Em abril de 2026, o Serpro publicou alerta oficial sobre golpes que simulam comunicações do Governo Federal via aplicativos de mensagens. As mensagens informam suposto bloqueio de CPF, débitos pendentes ou risco de medidas judiciais, direcionando vítimas para links falsos que capturam dados pessoais ou induzem pagamentos indevidos.
Como o smishing funciona na prática
O golpe segue um roteiro previsível, mas eficaz. O criminoso envia uma mensagem SMS que simula uma comunicação legítima de bancos, operadoras de telefonia, Correios, Receita Federal ou outros órgãos. A mensagem traz linguagem de urgência: “Sua conta será bloqueada”, “Encomenda retida na alfândega” ou “CPF com pendência judicial”.
O texto sempre inclui um link. Ao clicar, a vítima é redirecionada para um site falso que imita com precisão o visual do site oficial. Ali, é solicitado que a pessoa informe CPF, senha bancária, número do cartão ou outros dados sensíveis. Em alguns casos, o link instala programas maliciosos no dispositivo que passam a monitorar tudo o que é digitado.
Izabella Matos, gerente do Departamento Técnico em Antifraude Cibernética do Serpro, explica que, embora envolva elementos tecnológicos, o smishing é “essencialmente um ataque de engenharia social, que explora a confiança e a atenção do usuário para induzir ações que acabam expondo informações sensíveis”.
Os tipos mais comuns de smishing no Brasil
Os golpes por SMS se adaptam ao contexto do momento. Entre os formatos mais frequentes em 2026 estão:
Falsa encomenda retida. Mensagens que fingem ser dos Correios ou transportadoras, informando que uma encomenda não pode ser entregue e solicitando o pagamento de uma taxa. Centenas de sites falsos foram criados com esse formato apenas no último ano.
Valores a receber. SMS que simula comunicação do Banco Central sobre supostos valores esquecidos em contas bancárias. O link direciona para páginas que coletam dados bancários completos.
Cassação de CNH. Mensagens que alertam sobre suposta cassação da Carteira Nacional de Habilitação, levando a vítima a informar dados pessoais em sites fraudulentos.
Pendências na Receita Federal. Em plena temporada de Imposto de Renda, golpistas enviam alertas falsos sobre irregularidades no CPF ou pendências no IRPF, aproveitando o medo do contribuinte.
Bloqueio de conta bancária. Mensagens que simulam comunicação de bancos sobre atividade suspeita, solicitando que a vítima “confirme” dados através de link falso.
Como identificar e evitar golpes por SMS
A primeira regra é desconfiar de qualquer mensagem SMS que contenha link, especialmente se usar linguagem de urgência ou ameaça. Órgãos oficiais como Receita Federal, Banco Central e Detran não enviam notificações por SMS com links para pagamento.
Verifique o remetente. Números curtos (short codes) podem ser legítimos, mas criminosos também os utilizam. Se receber uma mensagem supostamente de um banco ou órgão público, entre em contato diretamente pelo telefone oficial ou pelo site que você mesmo digita no navegador.
Nunca clique em links recebidos por SMS. Se a mensagem menciona uma encomenda, acesse diretamente o site dos Correios. Se fala de valores a receber, vá ao site oficial do Banco Central. Se menciona o Imposto de Renda, acesse o e-CAC da Receita Federal.
Mantenha o sistema operacional do celular atualizado. Atualizações frequentemente corrigem vulnerabilidades que malwares exploram. Ative a verificação em duas etapas em todas as contas importantes. E, principalmente, nunca compartilhe códigos de verificação recebidos por SMS com ninguém.
Por que apps de mensagens seguros são parte da solução
O smishing prospera porque o SMS é um canal sem criptografia, sem verificação de identidade e sem mecanismos de proteção contra fraudes. Qualquer pessoa pode enviar um SMS se passando por qualquer remetente.
A migração para aplicativos de mensagens com criptografia ponta a ponta e verificação de identidade reduz drasticamente a superfície de ataque. O PhizChat oferece exatamente esse nível de proteção. Com criptografia de ponta a ponta em todas as conversas, verificação de identidade dos contatos e conformidade total com a LGPD, o PhizChat elimina os vetores que tornam o smishing possível.
Diferentemente do SMS, onde qualquer criminoso pode se passar por uma instituição, no PhizChat a identidade dos remetentes é verificada. As mensagens trafegam criptografadas e os dados ficam sob controle do usuário, sem coleta para fins publicitários. Para quem busca um app de mensagens seguro e uma alternativa ao WhatsApp com foco real em privacidade, o PhizChat representa a evolução que a comunicação digital brasileira precisa.
Perguntas frequentes
O que fazer se eu cliquei em um link de smishing?
Troque imediatamente as senhas de contas que possam ter sido comprometidas. Se informou dados bancários, entre em contato com seu banco. Faça uma varredura com antivírus no celular e registre um boletim de ocorrência.
SMS de banco pedindo para confirmar dados é golpe?
Na maioria dos casos, sim. Bancos podem enviar SMS informativos, mas nunca pedem que o cliente clique em links ou informe senhas por mensagem. Na dúvida, ligue para o banco pelo número oficial do cartão.
Como denunciar smishing no Brasil?
Encaminhe a mensagem para o número 7726 (que soletra SPAM no teclado). Registre ocorrência na delegacia de crimes cibernéticos do seu estado ou pelo site da Polícia Civil.
Criptografia ponta a ponta protege contra smishing?
A criptografia ponta a ponta, como a do PhizChat, protege o conteúdo das mensagens e dificulta a interceptação. Combinada com verificação de identidade, ela reduz drasticamente o risco de receber comunicações fraudulentas dentro do aplicativo.
Golpes e Fraudes
O que é smishing e por que ele é tão perigoso
Smishing é uma modalidade de golpe digital que utiliza mensagens SMS para enganar vítimas. O nome vem da combinação de “SMS” com “phishing”, a técnica clássica de roubo de dados por meio de comunicações falsas. Enquanto o phishing tradicional opera por e-mail, o smishing explora a confiança que as pessoas ainda depositam nas mensagens de texto recebidas no celular.
Os números são alarmantes. Segundo a Febraban, os prejuízos financeiros causados por golpes digitais no Brasil saltaram de R$ 8,6 bilhões em 2023 para R$ 10,1 bilhões em 2024, um crescimento de 17%. Pesquisa da Norton divulgada em 2025 revelou que 54% das tentativas de fraude no país foram realizadas por SMS. Desses, 43% das pessoas que receberam as mensagens acabaram caindo no golpe, e 77% das vítimas sofreram perdas financeiras que variaram de R$ 1,2 mil a R$ 40 mil.
Em abril de 2026, o Serpro publicou alerta oficial sobre golpes que simulam comunicações do Governo Federal via aplicativos de mensagens. As mensagens informam suposto bloqueio de CPF, débitos pendentes ou risco de medidas judiciais, direcionando vítimas para links falsos que capturam dados pessoais ou induzem pagamentos indevidos.
Como o smishing funciona na prática
O golpe segue um roteiro previsível, mas eficaz. O criminoso envia uma mensagem SMS que simula uma comunicação legítima de bancos, operadoras de telefonia, Correios, Receita Federal ou outros órgãos. A mensagem traz linguagem de urgência: “Sua conta será bloqueada”, “Encomenda retida na alfândega” ou “CPF com pendência judicial”.
O texto sempre inclui um link. Ao clicar, a vítima é redirecionada para um site falso que imita com precisão o visual do site oficial. Ali, é solicitado que a pessoa informe CPF, senha bancária, número do cartão ou outros dados sensíveis. Em alguns casos, o link instala programas maliciosos no dispositivo que passam a monitorar tudo o que é digitado.
Izabella Matos, gerente do Departamento Técnico em Antifraude Cibernética do Serpro, explica que, embora envolva elementos tecnológicos, o smishing é “essencialmente um ataque de engenharia social, que explora a confiança e a atenção do usuário para induzir ações que acabam expondo informações sensíveis”.
Os tipos mais comuns de smishing no Brasil
Os golpes por SMS se adaptam ao contexto do momento. Entre os formatos mais frequentes em 2026 estão:
Falsa encomenda retida. Mensagens que fingem ser dos Correios ou transportadoras, informando que uma encomenda não pode ser entregue e solicitando o pagamento de uma taxa. Centenas de sites falsos foram criados com esse formato apenas no último ano.
Valores a receber. SMS que simula comunicação do Banco Central sobre supostos valores esquecidos em contas bancárias. O link direciona para páginas que coletam dados bancários completos.
Cassação de CNH. Mensagens que alertam sobre suposta cassação da Carteira Nacional de Habilitação, levando a vítima a informar dados pessoais em sites fraudulentos.
Pendências na Receita Federal. Em plena temporada de Imposto de Renda, golpistas enviam alertas falsos sobre irregularidades no CPF ou pendências no IRPF, aproveitando o medo do contribuinte.
Bloqueio de conta bancária. Mensagens que simulam comunicação de bancos sobre atividade suspeita, solicitando que a vítima “confirme” dados através de link falso.
Como identificar e evitar golpes por SMS
A primeira regra é desconfiar de qualquer mensagem SMS que contenha link, especialmente se usar linguagem de urgência ou ameaça. Órgãos oficiais como Receita Federal, Banco Central e Detran não enviam notificações por SMS com links para pagamento.
Verifique o remetente. Números curtos (short codes) podem ser legítimos, mas criminosos também os utilizam. Se receber uma mensagem supostamente de um banco ou órgão público, entre em contato diretamente pelo telefone oficial ou pelo site que você mesmo digita no navegador.
Nunca clique em links recebidos por SMS. Se a mensagem menciona uma encomenda, acesse diretamente o site dos Correios. Se fala de valores a receber, vá ao site oficial do Banco Central. Se menciona o Imposto de Renda, acesse o e-CAC da Receita Federal.
Mantenha o sistema operacional do celular atualizado. Atualizações frequentemente corrigem vulnerabilidades que malwares exploram. Ative a verificação em duas etapas em todas as contas importantes. E, principalmente, nunca compartilhe códigos de verificação recebidos por SMS com ninguém.
Por que apps de mensagens seguros são parte da solução
O smishing prospera porque o SMS é um canal sem criptografia, sem verificação de identidade e sem mecanismos de proteção contra fraudes. Qualquer pessoa pode enviar um SMS se passando por qualquer remetente.
A migração para aplicativos de mensagens com criptografia ponta a ponta e verificação de identidade reduz drasticamente a superfície de ataque. O PhizChat oferece exatamente esse nível de proteção. Com criptografia de ponta a ponta em todas as conversas, verificação de identidade dos contatos e conformidade total com a LGPD, o PhizChat elimina os vetores que tornam o smishing possível.
Diferentemente do SMS, onde qualquer criminoso pode se passar por uma instituição, no PhizChat a identidade dos remetentes é verificada. As mensagens trafegam criptografadas e os dados ficam sob controle do usuário, sem coleta para fins publicitários. Para quem busca um app de mensagens seguro e uma alternativa ao WhatsApp com foco real em privacidade, o PhizChat representa a evolução que a comunicação digital brasileira precisa.
Perguntas frequentes
O que fazer se eu cliquei em um link de smishing?
Troque imediatamente as senhas de contas que possam ter sido comprometidas. Se informou dados bancários, entre em contato com seu banco. Faça uma varredura com antivírus no celular e registre um boletim de ocorrência.
SMS de banco pedindo para confirmar dados é golpe?
Na maioria dos casos, sim. Bancos podem enviar SMS informativos, mas nunca pedem que o cliente clique em links ou informe senhas por mensagem. Na dúvida, ligue para o banco pelo número oficial do cartão.
Como denunciar smishing no Brasil?
Encaminhe a mensagem para o número 7726 (que soletra SPAM no teclado). Registre ocorrência na delegacia de crimes cibernéticos do seu estado ou pelo site da Polícia Civil.
Criptografia ponta a ponta protege contra smishing?
A criptografia ponta a ponta, como a do PhizChat, protege o conteúdo das mensagens e dificulta a interceptação. Combinada com verificação de identidade, ela reduz drasticamente o risco de receber comunicações fraudulentas dentro do aplicativo.