Pular para o conteúdo
Ameaças e Ataques

O que é vishing (golpe por telefone)?

Vishing (junção de "voice" e "phishing", ou phishing por voz) é um golpe de engenharia social feito por ligação telefônica, no qual o criminoso se passa por alguém de confiança, o banco, um fornecedor, o suporte de TI ou o próprio chefe, para convencer a vítima a revelar senhas, aprovar pagamentos ou instalar um programa. É o phishing tirado do e-mail e levado para a voz, onde a pressão do tempo real e, cada vez mais, a clonagem de voz por inteligência artificial tornam o engano muito mais convincente.

Zamak TechnologiesAtualizado em 10 de julho de 2026

Como um golpe de vishing acontece

O vishing não depende de tecnologia sofisticada para começar: depende de confiança e de urgência. O golpe costuma seguir quatro etapas.

1

Preparação

O criminoso reúne informações públicas sobre a vítima e a empresa (site, redes sociais, um vazamento anterior) para soar convincente e citar nomes e detalhes reais.

2

A ligação

Ele liga mascarando o número (caller ID spoofing) para aparecer como um contato legítimo, e se apresenta como banco, fornecedor, suporte ou executivo da própria empresa.

3

A pressão

Cria um cenário urgente: uma fraude a conter, um pagamento atrasado, um acesso a confirmar agora. A pressa é a arma, porque impede a vítima de parar e verificar.

4

A ação

Sob pressão, a vítima entrega a senha, o código de verificação, autoriza a transferência ou instala o programa que o golpista pede, entregando o acesso sem perceber.

Fonte: Cyber Encyclopedia da N-able e CrowdStrike (Relatório Global de Ameaças).

Sinais de uma ligação de vishing

  • Urgência exagerada: exige uma ação imediata e desencoraja você a desligar e verificar
  • Pedido de dado sigiloso por telefone: senha, código de verificação de dois fatores, dados de cartão
  • A identidade não fecha: o número parece oficial, mas o pedido é estranho para aquele contato
  • Pressão para sigilo: "não comente com ninguém", "é confidencial", para evitar que você confirme
  • Instrução para instalar um programa ou acessar um site durante a própria ligação
  • Uma voz conhecida pedindo algo incomum: pode ser clonagem de voz por IA imitando um executivo

As variações do golpe por voz

  • Número mascarado (caller ID spoofing) O golpista falsifica o número que aparece no visor para se passar pelo banco, por um órgão oficial ou por um contato interno conhecido.
  • Clonagem de voz por IA Com poucos segundos de áudio público, a inteligência artificial imita a voz de um executivo para autorizar transferências, a chamada fraude do CEO.
  • Vishing híbrido (e-mail leva ao telefone) Um e-mail pede que você ligue para um número de "suporte": do outro lado, um operador de vishing conclui o golpe pela voz.
  • Falso suporte técnico O criminoso liga alegando ter detectado um problema no seu computador e pede acesso remoto ou a instalação de um programa para "corrigir".

Por que o vishing virou uma das ameaças que mais crescem

+442%
de aumento nas ligações de phishing por voz entre o 1º e o 2º semestre de 2024 (CrowdStrike, Relatório Global de Ameaças 2025)
$ 25,6 mi
o valor de uma única fraude por deepfake de voz e vídeo numa videochamada com o falso "diretor financeiro" (caso público, 2024)
15
transferências fraudulentas autorizadas em um só dia nesse ataque, antes de a fraude ser percebida

O vishing explodiu porque a inteligência artificial removeu o seu maior limite: a voz. As ligações de phishing por voz cresceram 442% entre o primeiro e o segundo semestre de 2024, e a clonagem de voz transformou a fraude do executivo de exceção em rotina. O caso mais conhecido mostra a escala do risco: em uma empresa global de engenharia, um funcionário do setor financeiro foi convencido a fazer quinze transferências que somaram cerca de $ 25,6 milhões, depois de participar de uma videochamada em que o "diretor financeiro" e outros colegas eram, todos, deepfakes gerados por IA a partir de gravações públicas. O que torna o vishing perigoso é que ele contorna a defesa técnica: não há anexo para o antivírus bloquear nem link para o filtro barrar, apenas uma pessoa pressionada a tomar uma decisão em segundos. Por isso a proteção passa por processo e treinamento, não só por tecnologia.

Como proteger a empresa contra vishing

Como o vishing ataca a pessoa, e não a máquina, a defesa combina processo e comportamento. Na ordem que mais reduz o risco:

  1. Verificação por um segundo canalDiante de qualquer pedido de dinheiro ou de dado sensível por telefone, desligue e confirme por um canal conhecido e independente (um número oficial, um contato já cadastrado), nunca pelo número que ligou.
  2. Regra de dupla aprovação para pagamentosNenhuma transferência relevante depende de uma única pessoa ou de um único canal. Uma segunda aprovação prevista em processo desarma a fraude do executivo.
  3. Segunda verificação de identidade (MFA)Se uma senha for entregue numa ligação, um segundo fator impede que ela sozinha abra a porta.
  4. Treinamento e simulaçãoUma equipe que já viu o golpe de perto, incluindo simulações, reconhece a pressão e a incoerência antes de agir.
  5. Combinar a voz com o e-mailComo o vishing costuma vir junto de e-mail e mensagem, a segurança de e-mail gerenciada e a filtragem cortam o gancho que leva a vítima ao telefone.

Na prática

A pergunta que revela o risco real: se alguém ligasse agora com a voz do diretor financeiro pedindo uma transferência urgente e sigilosa, existe na empresa uma regra que obrigaria a confirmar por outro canal antes de pagar, ou a decisão dependeria do sangue-frio de uma pessoa sob pressão?

Como a Zamak reduz o risco de vishing na sua empresa

A Zamak Technologies trata o vishing como um risco de pessoas e processos, e não apenas de tecnologia. O programa combina treinamento e simulação de engenharia social, segurança de e-mail gerenciada (que corta o gancho híbrido que leva a vítima ao telefone) e a segunda verificação de identidade, tudo apoiado por um centro de operações de segurança que monitora sinais de comprometimento. A tecnologia sustenta a defesa, mas quem desarma o golpe é uma equipe preparada. Um bom ponto de partida é a simulação de phishing, que mostra em um teste seguro como a sua equipe reagiria a um pedido fraudulento.

Perguntas frequentes sobre vishing

Qual a diferença entre phishing, vishing e smishing?
São variações do mesmo golpe de engenharia social, mudando o canal. Phishing usa e-mail, vishing usa ligação telefônica ("voice phishing") e smishing usa mensagem de texto ou aplicativos de mensagem. Muitos ataques combinam os três: um e-mail que pede para ligar, uma mensagem que confirma a "ligação do banco".
Como funciona a clonagem de voz nos golpes?
Com poucos segundos de áudio público de uma pessoa (um vídeo, uma palestra, uma reunião gravada), ferramentas de inteligência artificial conseguem gerar uma imitação convincente da voz dela. O golpista usa essa voz clonada para se passar por um executivo e autorizar transferências, a chamada fraude do CEO.
O identificador de chamadas garante que a ligação é legítima?
Não. Criminosos usam uma técnica chamada caller ID spoofing para fazer aparecer no visor o número de um banco, de um órgão oficial ou de um contato interno. Ver um número conhecido não prova nada: a única garantia é desligar e ligar de volta por um número que você mesmo procurou.
O que fazer se eu suspeitar de uma ligação de vishing?
Não forneça nenhum dado nem tome nenhuma ação durante a ligação. Desligue e confirme por um canal independente e conhecido. Avise a equipe de segurança ou de TI, porque uma tentativa costuma vir em série contra vários funcionários.
Empresa pequena também é alvo de vishing?
Sim, e muitas vezes é alvo preferencial, porque costuma ter menos controles de processo. A fraude do executivo e o falso suporte técnico funcionam bem quando uma única pessoa consegue aprovar um pagamento ou dar acesso sem uma segunda verificação.
Só treinamento resolve o vishing?
Treinamento é essencial, mas não basta sozinho. Ele reduz a chance de a pessoa cair, e o processo (dupla aprovação de pagamentos, verificação por segundo canal) garante que, mesmo se alguém for enganado, o golpe não se complete. Defesa em camadas de comportamento e processo, não uma medida única.

Termos relacionados

Continue explorando

Ver o índice completo →
Endpoint e Identidade
MFAPAM (acesso privilegiado)SSO (login único)
Detecção e Resposta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operações)
Rede e Acesso
ZTNAFirewallVPNSASE
Governança e Conformidade
LGPDISO 27001SOC 2NIST CSFShadow ITAvaliação de maturidade cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestão de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidade)FedRAMPGRC (governança, risco, conformidade)vCIOvCISO
Conceitos e Fundamentos
Deep webZero TrustDefesa em profundidadeSuperfície de ataqueEndpointMenor privilégio
IA e Segurança
Shadow AIGovernança de IAInjeção de promptOWASP LLM Top 10Deepfake