Vishing – A perigosa ligação telefônica

Você atende o telefone e ouve uma voz familiar. O tom é urgente, profissional e, aparentemente, legítimo. O interlocutor sabe seu nome, talvez até os últimos dígitos do seu cartão. A pessoa menciona uma "falha de segurança" ou uma compra suspeita que precisa ser evitada.

Cuidado. Você pode estar no meio de um ataque de vishing.

O que é vishing?

O termo vishing é a fusão de voice (voz) e phishing. Enquanto o phishing tradicional usa iscas visuais em e-mails e sites falsos, o vishing utiliza o telefone para manipular suas emoções e extrair dados críticos.

É um crime de engenharia social projetado para criar confiança e medo simultaneamente. Os golpistas podem se passar por funcionários de bancos, agentes da Receita Federal ou suporte técnico, tudo para convencer você a entregar senhas, números de cartão de crédito ou tokens de acesso.

A engenharia por trás do golpe

1. VoIP e a facilidade de escala

A maioria dos ataques atuais utiliza a tecnologia VoIP (Voz sobre Protocolo de Internet). Isso permite que os criminosos façam chamadas baratas e em massa pela internet, muitas vezes automatizadas, dificultando o rastreamento real da localização física dos golpistas.

2. Número falso

Esta é talvez a técnica mais perigosa. Por meio de uma abordagem chamada spoofing, os golpistas manipulam o identificador de chamadas do seu celular. Eles podem fazer com que o número que aparece na sua tela seja idêntico ao do seu banco, de um hospital local ou de uma agência governamental legítima. Ao ver um número "conhecido", suas defesas naturais baixam instantaneamente.

3. Wardialing

Em muitos casos, os criminosos utilizam sistemas para escanear e discar automaticamente para milhares de números de uma região específica (uma técnica conhecida como Wardialing). Se você atende, a chamada é conectada a um golpe automatizado ou a um operador humano pronto para iniciar a fraude.

As faces do vishing

Para se proteger, é preciso reconhecer o roteiro do golpe. As fontes especializadas em segurança identificam variações frequentes:

• O "vishing híbrido": o ataque não começa no telefone. Você recebe primeiro um e-mail ou SMS (smishing) alertando sobre uma compra suspeita ou um problema na assinatura de um serviço. Em vez de um link, a mensagem oferece um número de telefone para "resolver o problema". Ao ligar, você acredita estar falando com uma central de atendimento real, mas caiu direto na armadilha.
• O golpe do suporte técnico: o fraudador liga alegando ser de uma grande empresa de tecnologia (como Microsoft ou Google) ou do departamento de TI da própria empresa onde você trabalha. Eles afirmam que seu computador está infectado e pedem acesso remoto à sua máquina para "consertar". Uma vez dentro, eles roubam dados ou instalam malwares.
• Fraudes governamentais e financeiras: é comum receber chamadas alegando que seu CPF ou benefício de previdência foi suspenso devido a atividades ilegais, exigindo confirmação de dados imediata para "limpar seu nome".

Por que a IA tornou o vishing assustadoramente real?

Aqui entramos em um território novo e complexo. Se antes a defesa contra o vishing era notar um sotaque estranho, um pedido inesperado ou uma qualidade de áudio ruim, a inteligência artificial generativa mudou as regras do jogo.

Relatórios de inteligência da IBM e McAfee apontam que a IA agora consegue clonar a voz de uma pessoa com apenas alguns segundos de áudio original, que podem ser facilmente capturados de um vídeo que você postou no LinkedIn, Instagram ou TikTok.

Isso torna o golpe muito mais crível:

• O golpe do CEO: imagine receber uma ligação do seu CEO, com a voz exata dele, pedindo que você solicite ao financeiro uma transferência urgente para um fornecedor específico a fim de fechar um negócio. A familiaridade da voz desarma a desconfiança.
• O "familiar": criminosos podem simular a voz de um familiar em apuros, pedindo dinheiro. A semelhança vocal gera um pânico emocional que bloqueia o raciocínio lógico.

O que fazer?

A proteção contra o vishing exige uma combinação de ceticismo saudável e boas práticas de segurança.

• Desligue e ligue: se receber uma chamada inesperada de uma instituição pedindo dados, desligue imediatamente. Busque o número oficial no site da empresa ou no verso do seu cartão e faça você mesmo a ligação para aquele número.
• Não confie no identificador de chamadas: lembre-se do spoofing. O número na tela pode ser uma miragem digital criada para enganá-lo.
• Jamais permita acesso remoto não solicitado: nenhuma empresa séria de tecnologia ligará para você de forma inesperada pedindo controle do seu dispositivo.
• Cuidado com a resposta "sim": alguns golpes buscam apenas gravar sua voz dizendo "sim" para autorizar transações fraudulentas ou alterações de serviços posteriormente. Evite responder perguntas simples como "você está me ouvindo?" com um "sim" direto.
• Não facilite: senhas, códigos de acesso e outros dados que possibilitem que outra pessoa faça algo em seu nome jamais devem ser compartilhados por telefone.
• Previna-se: combine uma palavra de segurança com seus familiares, pessoas próximas e com seu time no ambiente de trabalho para ser utilizada em casos de dúvida em uma ligação telefônica. Dessa forma, se você desconfiar que não é aquela pessoa no outro lado da linha, pode pedir que ela lhe informe a palavra de segurança.

Saiba mais sobre segurança cibernética aqui.

A evolução da inteligência artificial e das técnicas de engenharia social exige que reconfiguremos nossa resposta padrão a solicitações urgentes. Adotar uma postura de "confiança zero" ao telefone é uma prudência necessária.

Ao transformar a verificação em hábito, questionando origens, desligando e retornando chamadas, não permitindo acessos remotos suspeitos aos dispositivos e combinando previamente uma palavra de segurança, retomamos o controle da situação e evitamos que a mesma tecnologia que nos beneficia seja usada para nos manipular.