2 de julho de 2026 • Segurança cibernética
A maioria das pessoas já recebeu formação, ou pelo menos foi alertada, para desconfiar de e-mails que pedem palavras-passe, dados bancários ou uma ação urgente. Os atacantes sabem disso. É em parte por isso que o vishing tem vindo a tornar-se cada vez mais comum: recorre ao telefone, em vez do e-mail, para manipular as vítimas, aproveitando-se da confiança e da pressão em tempo real que uma conversa ao vivo cria. Compreender o que é o vishing, como funciona e por que razão é eficaz é o primeiro passo para tornar os teus colaboradores resistentes a esta tática.
Significado de «vishing»: o que significa este termo?
«Vishing» é uma palavra composta formada por «voice» (voz) e«phishing». Refere-se a ataques de engenharia social realizados por telefone, seja através de uma chamada tradicional, de uma chamada VoIP ou, cada vez mais, através de mensagens de voz geradas por IA, com o objetivo de induzir a vítima a revelar informações confidenciais, transferir dinheiro ou conceder acesso a sistemas.
O significado de «vishing» é basicamente o mesmo que o de «phishing»: enganar alguém para que faça algo que não faria se percebesse o que se está realmente a passar. A diferença está no canal. Enquanto o phishing usa o e-mail e o smishing usa SMS, o vishing usa a voz, e a voz transmite uma sensação de legitimidade que o texto não transmite.
Uma pessoa que liga e que parece confiante, usa a terminologia certa e cria um cenário plausível — seja uma verificação de segurança do banco, uma chamada para o serviço de assistência informática ou um fornecedor a confirmar detalhes de pagamento — pode convencer os funcionários que, se tivessem visto o mesmo pedido num e-mail, teriam percebido a fraude em segundos.
Como funciona um ataque de vishing
Os ataques de vishing raramente são aleatórios. Normalmente, os atacantes pesquisam o alvo antes de ligarem, usando o LinkedIn, sites da empresa, dados de violações anteriores ou informações recolhidas em tentativas de phishing anteriores. Quanto mais um atacante souber sobre o alvo e a sua organização, mais convincente a chamada pode ser.
Um cenário típico de vishing segue um padrão reconhecível:
- Falsificação de identidade. Quem liga faz-se passar por alguém em quem a vítima tem motivos para confiar: um funcionário de um banco, um técnico de suporte informático, uma autoridade fiscal, um colega mais experiente ou um fornecedor.
- Urgência ou autoridade. Quem liga cria pressão, diz que há um problema que precisa de ser resolvido já, ou invoca a autoridade («o teu chefe pediu-me para ligar»). Isto contorna o instinto da pessoa a quem se dirige de fazer uma pausa e verificar.
- Pedido. Quem liga pede alguma coisa: uma palavra-passe, um código único, a confirmação de dados bancários, acesso a um sistema ou uma transferência bancária.
- Fim. Assim que a informação ou a ação é obtida, a chamada termina rapidamente. Quando a vítima percebe que algo correu mal, o mal já está feito.
O vishing funciona porque é difícil aplicar numa conversa telefónica ao vivo os mesmos filtros críticos que usarias ao ler um e-mail suspeito. A pressão social de uma interação em tempo real faz com que a cautela passe para segundo plano, e é precisamente com isso que os atacantes contam.
Vishing, phishing e smishing: qual é a diferença?
O vishing é uma das várias técnicas de engenharia social baseadas em chamadas e mensagens. Compreender as diferenças entre elas ajuda as organizações a formar os colaboradores para que consigam reconhecer cada uma delas.
| Técnica | Canal | Situação comum | Por que é que funciona? |
|---|---|---|---|
| Phishing | Correio eletrónico | Página de login falsa, aviso urgente sobre a conta | Volume e ilusão ótica |
| Vishing | Telefone / voz | Chamada falsa de um banco, suplantação de identidade do serviço de assistência informática | Pressão em tempo real, autoridade na voz |
| Pesca | SMS / aplicação de mensagens | Aviso de entrega falso, link de pagamento | Contexto móvel, formato conciso, os links parecem naturais |
| Lança phishing | E-mail (direcionado) | E-mail personalizado com base em dados conhecidos | A especificidade parece legítima porque te conhece |
Na prática, estas técnicas são frequentemente combinadas. Um atacante pode enviar primeiro um e-mail de phishing e, em seguida, fazer uma chamada de vishing, fingindo ser do suporte informático, sobre o e-mail que o alvo acabou de receber. Cada canal reforça a credibilidade do outro.
O vishing na prática: cenários comuns
Os ataques de vishing não são ameaças abstratas. São situações com as quais as organizações, incluindo as empresas holandesas, se deparam regularmente:
- A chamada para o serviço de assistência informática. Quem liga diz ser do suporte informático interno, afirma que há atividade suspeita na conta do funcionário e pede-lhe para confirmar a palavra-passe ou instalar uma ferramenta de acesso remoto «para resolver o problema».
- A chamada de segurança do banco. Alguém que se faz passar por um funcionário do departamento de fraude avisa que a conta bancária da empresa foi comprometida e pede à vítima para confirmar os dados da conta ou autorizar uma «transferência de teste».
- A chamada do CEO ou do CFO. Conhecida como «fraude do CEO» ou BEC (Business Email Compromise), esta situação envolve alguém que se faz passar por um executivo sénior e pressiona um funcionário do departamento financeiro a fazer uma transferência bancária urgente, muitas vezes numa sexta-feira à tarde.
- A chamada de confirmação do fornecedor. Quem liga diz ser de um fornecedor conhecido e pede para atualizar os dados da conta bancária para pagamentos futuros, redirecionando os pagamentos para uma conta controlada pelo cibercriminoso.
- A chamada «deepfake» com IA. Com a tecnologia de clonagem de voz por IA, os atacantes já conseguem fazer-se passar por colegas ou executivos reais com uma precisão impressionante. Os funcionários recebem uma chamada que soa exatamente como a do seu chefe, a pedir credenciais de acesso ou a aprovação urgente de um pagamento.
Como a formação em sensibilização para a segurança protege contra o vishing
Os controlos técnicos não impedem o vishing. Os filtros de spam, as firewalls e as ferramentas de segurança dos terminais não servem de nada quando um atacante pega no telefone. A única defesa eficaz é uma equipa que reconheça as táticas de manipulação e saiba o que fazer quando algo parecer estranho.
Isso constrói-se através da formação, não com uma apresentação pontual, mas sim com a prática recorrente que cria hábitos. Uma formação eficaz em sensibilização para a segurança contra o vishing abrange vários aspetos:
- Reconhecer os fatores desencadeantes. Urgência, autoridade, pedidos invulgares, pedidos para contornar os procedimentos normais. Os funcionários que conseguem identificar estes padrões demoram mais tempo a ceder a eles.
- O direito de verificar. Os colaboradores têm de saber que é sempre aceitável dizer «Vou ligar-te de volta para o número que tenho registado», mesmo que quem ligue seja o CEO. Criar esse hábito requer autorização explícita da direção e reforço através de formação.
- O que fazer a seguir. Se um colaborador suspeitar que foi alvo de uma chamada de vishing ou, pior ainda, se tiver cedido a uma, precisa de um procedimento claro para escalar o caso. A denúncia deve ser algo normal, não algo que leve a estigmatização.
- Acompanhar a evolução das táticas. A clonagem de voz por IA, os deepfakes e os ataques cada vez mais personalizados fazem com que o panorama das ameaças mude rapidamente. A formação tem de acompanhar esse ritmo, e é por isso que sessões curtas e frequentes são melhores do que cursos de reciclagem anuais.
Protege a tua equipa hoje mesmo
Os cibercriminosos estão a atacar. A tua equipa está preparada?
Solicita uma demonstração