🚨 A NIS2 já está em vigor. A sensibilização para a segurança é agora uma obrigação legal na UE.

Verificar a conformidade
Inicia o teu teste gratuito
Voltar ao Centro de Recursos

O que é o vishing? Como funciona o phishing por voz e como proteger a tua organização

A maioria das pessoas já recebeu formação, ou pelo menos foi alertada, para desconfiar de e-mails que pedem palavras-passe, dados bancários ou uma ação urgente. Os atacantes sabem disso. É em parte por isso que o vishing tem vindo a tornar-se cada vez mais comum: recorre ao telefone, em vez do e-mail, para manipular as vítimas, aproveitando-se da confiança e da pressão em tempo real que uma conversa ao vivo cria. Compreender o que é o vishing, como funciona e por que razão é eficaz é o primeiro passo para tornar os teus colaboradores resistentes a esta tática.

Significado de «vishing»: o que significa este termo?

«Vishing» é uma palavra composta formada por «voice» (voz) e«phishing». Refere-se a ataques de engenharia social realizados por telefone, seja através de uma chamada tradicional, de uma chamada VoIP ou, cada vez mais, através de mensagens de voz geradas por IA, com o objetivo de induzir a vítima a revelar informações confidenciais, transferir dinheiro ou conceder acesso a sistemas.

O significado de «vishing» é basicamente o mesmo que o de «phishing»: enganar alguém para que faça algo que não faria se percebesse o que se está realmente a passar. A diferença está no canal. Enquanto o phishing usa o e-mail e o smishing usa SMS, o vishing usa a voz, e a voz transmite uma sensação de legitimidade que o texto não transmite.

Uma pessoa que liga e que parece confiante, usa a terminologia certa e cria um cenário plausível — seja uma verificação de segurança do banco, uma chamada para o serviço de assistência informática ou um fornecedor a confirmar detalhes de pagamento — pode convencer os funcionários que, se tivessem visto o mesmo pedido num e-mail, teriam percebido a fraude em segundos.

Como funciona um ataque de vishing

Os ataques de vishing raramente são aleatórios. Normalmente, os atacantes pesquisam o alvo antes de ligarem, usando o LinkedIn, sites da empresa, dados de violações anteriores ou informações recolhidas em tentativas de phishing anteriores. Quanto mais um atacante souber sobre o alvo e a sua organização, mais convincente a chamada pode ser.

Um cenário típico de vishing segue um padrão reconhecível:

  1. Falsificação de identidade. Quem liga faz-se passar por alguém em quem a vítima tem motivos para confiar: um funcionário de um banco, um técnico de suporte informático, uma autoridade fiscal, um colega mais experiente ou um fornecedor.
  2. Urgência ou autoridade. Quem liga cria pressão, diz que há um problema que precisa de ser resolvido já, ou invoca a autoridade («o teu chefe pediu-me para ligar»). Isto contorna o instinto da pessoa a quem se dirige de fazer uma pausa e verificar.
  3. Pedido. Quem liga pede alguma coisa: uma palavra-passe, um código único, a confirmação de dados bancários, acesso a um sistema ou uma transferência bancária.
  4. Fim. Assim que a informação ou a ação é obtida, a chamada termina rapidamente. Quando a vítima percebe que algo correu mal, o mal já está feito.

O vishing funciona porque é difícil aplicar numa conversa telefónica ao vivo os mesmos filtros críticos que usarias ao ler um e-mail suspeito. A pressão social de uma interação em tempo real faz com que a cautela passe para segundo plano, e é precisamente com isso que os atacantes contam.

Vishing, phishing e smishing: qual é a diferença?

O vishing é uma das várias técnicas de engenharia social baseadas em chamadas e mensagens. Compreender as diferenças entre elas ajuda as organizações a formar os colaboradores para que consigam reconhecer cada uma delas.

Técnica Canal Situação comum Por que é que funciona?
Phishing Correio eletrónico Página de login falsa, aviso urgente sobre a conta Volume e ilusão ótica
Vishing Telefone / voz Chamada falsa de um banco, suplantação de identidade do serviço de assistência informática Pressão em tempo real, autoridade na voz
Pesca SMS / aplicação de mensagens Aviso de entrega falso, link de pagamento Contexto móvel, formato conciso, os links parecem naturais
Lança phishing E-mail (direcionado) E-mail personalizado com base em dados conhecidos A especificidade parece legítima porque te conhece

Na prática, estas técnicas são frequentemente combinadas. Um atacante pode enviar primeiro um e-mail de phishing e, em seguida, fazer uma chamada de vishing, fingindo ser do suporte informático, sobre o e-mail que o alvo acabou de receber. Cada canal reforça a credibilidade do outro.

O vishing na prática: cenários comuns

Os ataques de vishing não são ameaças abstratas. São situações com as quais as organizações, incluindo as empresas holandesas, se deparam regularmente:

  • A chamada para o serviço de assistência informática. Quem liga diz ser do suporte informático interno, afirma que há atividade suspeita na conta do funcionário e pede-lhe para confirmar a palavra-passe ou instalar uma ferramenta de acesso remoto «para resolver o problema».
  • A chamada de segurança do banco. Alguém que se faz passar por um funcionário do departamento de fraude avisa que a conta bancária da empresa foi comprometida e pede à vítima para confirmar os dados da conta ou autorizar uma «transferência de teste».
  • A chamada do CEO ou do CFO. Conhecida como «fraude do CEO» ou BEC (Business Email Compromise), esta situação envolve alguém que se faz passar por um executivo sénior e pressiona um funcionário do departamento financeiro a fazer uma transferência bancária urgente, muitas vezes numa sexta-feira à tarde.
  • A chamada de confirmação do fornecedor. Quem liga diz ser de um fornecedor conhecido e pede para atualizar os dados da conta bancária para pagamentos futuros, redirecionando os pagamentos para uma conta controlada pelo cibercriminoso.
  • A chamada «deepfake» com IA. Com a tecnologia de clonagem de voz por IA, os atacantes já conseguem fazer-se passar por colegas ou executivos reais com uma precisão impressionante. Os funcionários recebem uma chamada que soa exatamente como a do seu chefe, a pedir credenciais de acesso ou a aprovação urgente de um pagamento.

Como a formação em sensibilização para a segurança protege contra o vishing

Os controlos técnicos não impedem o vishing. Os filtros de spam, as firewalls e as ferramentas de segurança dos terminais não servem de nada quando um atacante pega no telefone. A única defesa eficaz é uma equipa que reconheça as táticas de manipulação e saiba o que fazer quando algo parecer estranho.

Isso constrói-se através da formação, não com uma apresentação pontual, mas sim com a prática recorrente que cria hábitos. Uma formação eficaz em sensibilização para a segurança contra o vishing abrange vários aspetos:

  • Reconhecer os fatores desencadeantes. Urgência, autoridade, pedidos invulgares, pedidos para contornar os procedimentos normais. Os funcionários que conseguem identificar estes padrões demoram mais tempo a ceder a eles.
  • O direito de verificar. Os colaboradores têm de saber que é sempre aceitável dizer «Vou ligar-te de volta para o número que tenho registado», mesmo que quem ligue seja o CEO. Criar esse hábito requer autorização explícita da direção e reforço através de formação.
  • O que fazer a seguir. Se um colaborador suspeitar que foi alvo de uma chamada de vishing ou, pior ainda, se tiver cedido a uma, precisa de um procedimento claro para escalar o caso. A denúncia deve ser algo normal, não algo que leve a estigmatização.
  • Acompanhar a evolução das táticas. A clonagem de voz por IA, os deepfakes e os ataques cada vez mais personalizados fazem com que o panorama das ameaças mude rapidamente. A formação tem de acompanhar esse ritmo, e é por isso que sessões curtas e frequentes são melhores do que cursos de reciclagem anuais.

Protege a tua equipa hoje mesmo

Os cibercriminosos estão a atacar. A tua equipa está preparada?

Solicita uma demonstração
Dinela Lokvancic
Dinela Lokvancic Especialista em Marketing A Dinela mantém a presença online da Guardey atualizada. Ela cria conteúdos que tornam acessíveis temas complexos de cibersegurança e ajuda as organizações a entender por que a formação em consciencialização de segurança é importante para as suas equipas.
PRONTO PARA COMEÇAR?

Junta-te às mais de 500 empresas que já protegem as suas equipas com o Guardey

Começa o teu período de teste gratuito de 14 dias
14 dias grátis · Sem cartão de crédito · Acesso total · Configuração em 5 minutos
Ou marca uma demonstração personalizada