Vishing (abreviação de voice phishing) é um tipo de ataque de engenharia social realizado através de chamadas telefónicas, no qual o atacante se faz passar por uma entidade legítima para enganar a vítima e obter informação sensível ou dinheiro.
No contexto da segurança na internet, o vishing é particularmente perigoso porque explora a confiança na comunicação por voz, a pressão psicológica em tempo real e a dificuldade em verificar a identidade de quem liga.
Como funciona um ataque de vishing
Um ataque de vishing segue normalmente estas etapas:
- Contacto telefónico A vítima recebe uma chamada aparentemente legítima.
- Falsa identidade O atacante finge ser:
- Banco
- Segurança social
- Finanças
- Operadora
- Empresa conhecida
- Suporte técnico
- Diretor ou gestor
- Criação de urgência É apresentado um problema grave:
- Conta bloqueada
- Tentativa de fraude
- Pagamento pendente
- Acesso suspeito
- Multa ou penalização
- Pedido de ação imediata A vítima é pressionada a:
- Confirmar dados pessoais
- Dizer códigos SMS
- Fornecer dados bancários
- Autorizar transferências
- Instalar software remoto
- Fraude consumada O atacante obtém acesso, dados ou dinheiro.
Tudo acontece rapidamente, dificultando a análise racional.
Exemplos comuns de ataques de vishing
- Chamada a fingir ser do banco, pedindo confirmação de dados
- Falso suporte técnico, alegando vírus no computador
- Pedido de códigos de autenticação recebidos por SMS
- Falsa tentativa de fraude com cartão
- Chamada para “regularizar” pagamento urgente
- Fingir ser superior hierárquico a pedir ação confidencial
Em empresas, estes ataques são frequentemente direcionados a áreas financeiras.
Porque o vishing é eficaz
O vishing funciona bem porque:
- A voz transmite autoridade e urgência
- A vítima não tem tempo para verificar
- O atacante responde a dúvidas em tempo real
- Explora medo, stress e respeito hierárquico
- Não depende de links ou emails
Mesmo pessoas com boa literacia digital podem ser enganadas.
Diferença entre vishing, phishing e smishing
| Tipo | Meio utilizado | Forma de contacto |
|---|---|---|
| Phishing | Escrita | |
| Smishing | SMS / mensagens | Escrita |
| Vishing | Chamada telefónica | Voz |
Todos exploram engenharia social, mas o vishing atua em tempo real.
Riscos associados ao vishing
As consequências podem ser graves:
- Roubo de identidade
- Fraude bancária
- Transferências não autorizadas
- Comprometimento de contas
- Instalação de malware
- Acesso a sistemas empresariais
- Violação de dados pessoais
Em empresas, pode resultar em perdas financeiras elevadas.
Sinais de alerta de vishing
Alguns indicadores importantes:
- Pedido de dados sensíveis por telefone
- Tom urgente ou ameaçador
- Pedido de segredo ou confidencialidade
- Pressão para agir imediatamente
- Número desconhecido ou mascarado
- Recusa em permitir verificação posterior
Entidades legítimas não pedem códigos nem passwords por telefone.
Como prevenir ataques de vishing
Medidas de prevenção eficazes incluem:
- Nunca fornecer dados sensíveis por telefone
- Desligar a chamada e ligar para o número oficial
- Não divulgar códigos SMS ou MFA
- Confirmar pedidos com outro contacto
- Formação de colaboradores
- Procedimentos internos claros
- Regra da dupla validação para pagamentos
A verificação independente é essencial.
Vishing e empresas / lojas online
Em contexto empresarial, o vishing é usado para:
- Enganar departamentos financeiros
- Autorizar transferências fraudulentas
- Obter acessos administrativos
- Contornar políticas de segurança
É uma técnica comum em Business Email Compromise (BEC), combinada com phishing.
Conclusão
Vishing é um ataque de phishing realizado por chamadas telefónicas, que explora a confiança na voz humana para roubar dados, dinheiro ou acessos. É simples, eficaz e difícil de detetar em tempo real.
A melhor defesa é desconfiar de chamadas inesperadas, validar sempre por canais oficiais e nunca agir sob pressão.