🚨 A NIS2 já está em vigor. A conscientização sobre segurança é agora uma exigência legal na UE.

Verificar a conformidade
Inicie sua avaliação gratuita
Voltar ao Centro de Recursos

O que é vishing? Como funciona o phishing por voz e como proteger sua organização

A maioria das pessoas foi treinada, ou pelo menos alertada, para desconfiar de e-mails que solicitam senhas, dados bancários ou ações urgentes. Os invasores sabem disso. É em parte por isso que o vishing tem se tornado cada vez mais comum: ele usa o telefone, em vez do e-mail, para manipular as vítimas, aproveitando-se da confiança e da pressão em tempo real que uma conversa ao vivo gera. Entender o que é o vishing, como ele funciona e por que é eficaz é o primeiro passo para tornar seus funcionários resistentes a ele.

Significado de “vishing”: o que esse termo significa?

Vishing é uma palavra composta formada a partir de “voice” (voz) e“phishing”. Refere-se a ataques de engenharia social realizados por telefone, seja por meio de uma ligação tradicional, de uma ligação VoIP ou, cada vez mais, por meio de mensagens de voz geradas por IA, com o objetivo de induzir a vítima a revelar informações confidenciais, transferir dinheiro ou conceder acesso a sistemas.

O significado de “vishing” é essencialmente o mesmo que o de “phishing”: enganar alguém para que faça algo que não faria se compreendesse o que realmente está acontecendo. A diferença está no canal. Enquanto o phishing utiliza e-mail e o smishing utiliza SMS, o vishing utiliza a voz, e a voz transmite uma percepção de legitimidade que o texto não transmite.

Uma pessoa que liga ao telefone e parece confiante, usa a terminologia correta e cria um cenário plausível — seja uma verificação de segurança do banco, uma ligação para o suporte técnico de TI ou um fornecedor confirmando detalhes de pagamento — pode convencer funcionários que, se recebessem a mesma solicitação por e-mail, perceberiam a fraude em questão de segundos.

Como funciona um ataque de vishing

Os ataques de vishing raramente são aleatórios. Os invasores geralmente pesquisam seu alvo antes de ligar, utilizando o LinkedIn, sites de empresas, dados de violações anteriores ou informações coletadas por meio de tentativas anteriores de phishing. Quanto mais um invasor souber sobre o alvo e sua organização, mais convincente a ligação poderá ser.

Um cenário típico de vishing segue um padrão reconhecível:

  1. Falsificação de identidade. A pessoa que liga se faz passar por alguém em quem a vítima tem motivos para confiar: um funcionário de banco, um técnico de suporte de TI, uma autoridade fiscal, um colega sênior ou um fornecedor.
  2. Urgência ou autoridade. A pessoa que liga cria pressão, alegando que há um problema que precisa ser resolvido imediatamente, ou invoca autoridade (“seu gerente me pediu para ligar”). Isso contorna o instinto do destinatário de fazer uma pausa para verificar a situação.
  3. Solicitação. A pessoa que liga pede algo: uma senha, um código de uso único, a confirmação de dados bancários, acesso a um sistema ou uma transferência de pagamento.
  4. Saída. Assim que a informação ou a ação é obtida, a ligação é encerrada rapidamente. Quando a vítima percebe que algo deu errado, o dano já está feito.

O vishing funciona porque é difícil aplicar, em uma conversa telefônica ao vivo, os mesmos filtros críticos que você usaria ao ler um e-mail suspeito. A pressão social de uma interação em tempo real supera a cautela, e é exatamente com isso que os invasores contam.

Vishing, phishing e smishing: qual é a diferença?

O vishing é uma das várias técnicas de engenharia social baseadas em chamadas e mensagens. Compreender como elas se diferenciam ajuda as organizações a treinar seus funcionários para reconhecer cada uma delas.

Técnica Canal Cenário comum Por que isso funciona
Phishing E-mail Página de login falsa, aviso urgente sobre a conta Volume e ilusão de ótica
Vishing Telefone / voz Ligação fraudulenta em nome de um banco, suplantação de identidade do suporte técnico de TI Pressão em tempo real, autoridade de voz
Smishing SMS / aplicativo de mensagens Aviso falso de entrega, link de pagamento Contexto móvel, formato conciso, os links parecem naturais
Spear phishing E-mail (direcionado) E-mail personalizado com informações conhecidas A especificidade parece legítima porque conhece você

Na prática, essas técnicas costumam ser combinadas. Um invasor pode enviar primeiro um e-mail de phishing e, em seguida, fazer uma ligação de vishing fingindo ser do suporte de TI para falar sobre o e-mail que o alvo acabou de receber. Cada canal reforça a credibilidade do outro.

Vishing na prática: cenários comuns

Os ataques de vishing não são ameaças abstratas. Trata-se de situações com as quais as organizações, incluindo empresas holandesas, se deparam regularmente:

  • A ligação para o suporte técnico de TI. A pessoa que liga afirma ser do suporte técnico interno, diz que há atividades suspeitas na conta do funcionário e pede que ele confirme sua senha ou instale uma ferramenta de acesso remoto “para resolver o problema”.
  • A ligação de “segurança bancária”. Uma pessoa que se faz passar por um funcionário do departamento de fraudes avisa que a conta bancária da empresa foi comprometida e pede à vítima que confirme os dados da conta ou autorize uma “transferência de teste”.
  • A ligação do CEO ou do CFO. Conhecida como “fraude do CEO” ou BEC (Business Email Compromise), essa prática envolve um autor da ligação que se faz passar por um executivo sênior e pressiona um funcionário do departamento financeiro a realizar uma transferência bancária urgente, geralmente numa sexta-feira à tarde.
  • A ligação de confirmação do fornecedor. Uma pessoa que liga alega ser de um fornecedor conhecido e pede para atualizar os dados da conta bancária para pagamentos futuros, redirecionando os pagamentos para uma conta controlada pelo invasor.
  • A ligação com deepfake gerada por IA. Usando tecnologia de clonagem de voz por IA, os invasores agora podem se passar por colegas ou executivos reais com uma precisão impressionante. Os funcionários recebem uma ligação que soa exatamente como a voz de seu gerente, solicitando credenciais de login ou aprovação urgente de um pagamento.

Como o treinamento de conscientização sobre segurança protege contra o vishing

Os controles técnicos não impedem o vishing. Filtros de spam, firewalls e ferramentas de segurança de terminais são irrelevantes quando um invasor pega o telefone. A única defesa eficaz é uma força de trabalho capaz de reconhecer táticas de manipulação e que saiba o que fazer quando algo parecer suspeito.

Isso se constrói por meio do treinamento, não de uma apresentação única, mas de uma prática recorrente que cria hábitos. Um treinamento eficaz de conscientização sobre segurança contra vishing abrange vários aspectos:

  • Reconhecer os fatores desencadeantes. Urgência, autoridade, solicitações incomuns, pedidos para contornar os procedimentos normais. Os funcionários que conseguem identificar esses padrões demoram mais para atendê-los.
  • O direito de verificar. Os funcionários precisam saber que é sempre aceitável dizer “Vou ligar de volta para o número que tenho registrado”, mesmo que quem esteja ligando seja o CEO. Para criar esse hábito, é necessária uma autorização explícita da gerência e reforço por meio de treinamento.
  • O que fazer depois. Se um funcionário suspeitar que foi alvo de uma ligação de vishing ou, pior ainda, tiver cedido a uma delas, ele precisa de um procedimento claro para escalar o caso. A denúncia deve ser uma prática comum, e não algo estigmatizado.
  • Acompanhar a evolução das táticas. A clonagem de voz por IA, os deepfakes e os ataques cada vez mais personalizados fazem com que o cenário de ameaças mude rapidamente. O treinamento precisa acompanhar esse ritmo, e é por isso que sessões curtas e frequentes são mais eficazes do que cursos de reciclagem anuais.

Proteja sua equipe hoje mesmo

Os cibercriminosos estão ligando. Sua equipe está preparada?

Solicite uma demonstração
Dinela Lokvancic
Dinela Lokvancic Especialista em Marketing Dinela mantém a presença online da Guardey atualizada. Ela cria conteúdos que tornam acessíveis temas complexos de segurança cibernética e ajuda as organizações a compreender por que a formação em consciencialização sobre segurança é importante para as suas equipes.
PRONTO PARA COMEÇAR?

Junte-se a mais de 500 empresas que já protegem suas equipes com o Guardey

Comece seu teste gratuito de 14 dias
14 dias grátis · Sem cartão de crédito · Acesso total · Configuração em 5 minutos
Ou agende uma demonstração personalizada