O que é vishing (golpe por telefone)?
Vishing (junção de "voice" e "phishing", ou phishing por voz) é um golpe de engenharia social feito por ligação telefônica, no qual o criminoso se passa por alguém de confiança, o banco, um fornecedor, o suporte de TI ou o próprio chefe, para convencer a vítima a revelar senhas, aprovar pagamentos ou instalar um programa. É o phishing tirado do e-mail e levado para a voz, onde a pressão do tempo real e, cada vez mais, a clonagem de voz por inteligência artificial tornam o engano muito mais convincente.
Como um golpe de vishing acontece
O vishing não depende de tecnologia sofisticada para começar: depende de confiança e de urgência. O golpe costuma seguir quatro etapas.
Preparação
O criminoso reúne informações públicas sobre a vítima e a empresa (site, redes sociais, um vazamento anterior) para soar convincente e citar nomes e detalhes reais.
A ligação
Ele liga mascarando o número (caller ID spoofing) para aparecer como um contato legítimo, e se apresenta como banco, fornecedor, suporte ou executivo da própria empresa.
A pressão
Cria um cenário urgente: uma fraude a conter, um pagamento atrasado, um acesso a confirmar agora. A pressa é a arma, porque impede a vítima de parar e verificar.
A ação
Sob pressão, a vítima entrega a senha, o código de verificação, autoriza a transferência ou instala o programa que o golpista pede, entregando o acesso sem perceber.
Fonte: Cyber Encyclopedia da N-able e CrowdStrike (Relatório Global de Ameaças).
Sinais de uma ligação de vishing
- Urgência exagerada: exige uma ação imediata e desencoraja você a desligar e verificar
- Pedido de dado sigiloso por telefone: senha, código de verificação de dois fatores, dados de cartão
- A identidade não fecha: o número parece oficial, mas o pedido é estranho para aquele contato
- Pressão para sigilo: "não comente com ninguém", "é confidencial", para evitar que você confirme
- Instrução para instalar um programa ou acessar um site durante a própria ligação
- Uma voz conhecida pedindo algo incomum: pode ser clonagem de voz por IA imitando um executivo
As variações do golpe por voz
- Número mascarado (caller ID spoofing) O golpista falsifica o número que aparece no visor para se passar pelo banco, por um órgão oficial ou por um contato interno conhecido.
- Clonagem de voz por IA Com poucos segundos de áudio público, a inteligência artificial imita a voz de um executivo para autorizar transferências, a chamada fraude do CEO.
- Vishing híbrido (e-mail leva ao telefone) Um e-mail pede que você ligue para um número de "suporte": do outro lado, um operador de vishing conclui o golpe pela voz.
- Falso suporte técnico O criminoso liga alegando ter detectado um problema no seu computador e pede acesso remoto ou a instalação de um programa para "corrigir".
Por que o vishing virou uma das ameaças que mais crescem
O vishing explodiu porque a inteligência artificial removeu o seu maior limite: a voz. As ligações de phishing por voz cresceram 442% entre o primeiro e o segundo semestre de 2024, e a clonagem de voz transformou a fraude do executivo de exceção em rotina. O caso mais conhecido mostra a escala do risco: em uma empresa global de engenharia, um funcionário do setor financeiro foi convencido a fazer quinze transferências que somaram cerca de $ 25,6 milhões, depois de participar de uma videochamada em que o "diretor financeiro" e outros colegas eram, todos, deepfakes gerados por IA a partir de gravações públicas. O que torna o vishing perigoso é que ele contorna a defesa técnica: não há anexo para o antivírus bloquear nem link para o filtro barrar, apenas uma pessoa pressionada a tomar uma decisão em segundos. Por isso a proteção passa por processo e treinamento, não só por tecnologia.
Como proteger a empresa contra vishing
Como o vishing ataca a pessoa, e não a máquina, a defesa combina processo e comportamento. Na ordem que mais reduz o risco:
- Verificação por um segundo canalDiante de qualquer pedido de dinheiro ou de dado sensível por telefone, desligue e confirme por um canal conhecido e independente (um número oficial, um contato já cadastrado), nunca pelo número que ligou.
- Regra de dupla aprovação para pagamentosNenhuma transferência relevante depende de uma única pessoa ou de um único canal. Uma segunda aprovação prevista em processo desarma a fraude do executivo.
- Segunda verificação de identidade (MFA)Se uma senha for entregue numa ligação, um segundo fator impede que ela sozinha abra a porta.
- Treinamento e simulaçãoUma equipe que já viu o golpe de perto, incluindo simulações, reconhece a pressão e a incoerência antes de agir.
- Combinar a voz com o e-mailComo o vishing costuma vir junto de e-mail e mensagem, a segurança de e-mail gerenciada e a filtragem cortam o gancho que leva a vítima ao telefone.
Na prática
A pergunta que revela o risco real: se alguém ligasse agora com a voz do diretor financeiro pedindo uma transferência urgente e sigilosa, existe na empresa uma regra que obrigaria a confirmar por outro canal antes de pagar, ou a decisão dependeria do sangue-frio de uma pessoa sob pressão?
Como a Zamak reduz o risco de vishing na sua empresa
A Zamak Technologies trata o vishing como um risco de pessoas e processos, e não apenas de tecnologia. O programa combina treinamento e simulação de engenharia social, segurança de e-mail gerenciada (que corta o gancho híbrido que leva a vítima ao telefone) e a segunda verificação de identidade, tudo apoiado por um centro de operações de segurança que monitora sinais de comprometimento. A tecnologia sustenta a defesa, mas quem desarma o golpe é uma equipe preparada. Um bom ponto de partida é a simulação de phishing, que mostra em um teste seguro como a sua equipe reagiria a um pedido fraudulento.