Vishing

No ecossistema digital atual, a fraude financeira raramente se limita às telas. À medida que os clientes ficam mais atentos ao phishing e a outros golpes em linha, os criminosos têm transferido suas táticas para um canal que parece mais pessoal – a voz humana. Vishing, abreviação de voice phishing, é a prática de enganar pessoas por telefone para obter informações confidenciais, como credenciais de acesso, dados de cartão ou informações de identificação pessoal. Embora o método se baseie em técnicas clássicas de engenharia social, sua sofisticação e seu impacto sobre instituições financeiras, credores digitais e provedores de pagamento continuam aumentando.

O que é vishing

Vishing é uma forma de ataque de engenharia social realizada por meio de chamadas telefônicas. Diferente do phishing por e-mail ou do smishing (phishing por SMS), o vishing envolve comunicação verbal direta, explorando a confiança, a urgência e a autoridade. Os golpistas geralmente se passam por entidades legítimas – como bancos, equipes de atendimento de fintechs ou órgãos governamentais – para manipular a vítima e levá-la a revelar informações confidenciais ou executar ações arriscadas.

Um cenário típico de vishing pode envolver uma ligação de alguém que se apresenta como representante de um banco e afirma ter detectado uma “atividade suspeita” na conta do cliente. O fraudador então solicita dados de verificação ou orienta a vítima a instalar um software de acesso remoto para “proteger” sua conta. Assim que a vítima coopera, o invasor obtém acesso aos dados financeiros ou realiza transações não autorizadas.

Por que o vishing é relevante para o setor financeiro

Para bancos, credores e provedores de pagamento, o vishing não é apenas uma ameaça voltada ao consumidor. Ele representa um risco sistêmico para os ecossistemas digitais, onde identidade, confiança e segurança estão intimamente interligadas. Casos de vishing costumam resultar em tomada de controle de contas, transferências fraudulentas ou roubo de identidade, ocasionando perdas financeiras e danos à reputação das instituições que não detectam os sinais de alerta a tempo.

Além disso, à medida que a autenticação digital se fortalece por meio de MFA, biometria e inteligência de dispositivos, os golpistas recorrem com mais frequência a canais sociais que conseguem contornar as barreiras técnicas. Uma campanha de vishing bem executada pode explorar fluxos de atendimento ao cliente, abusar da autenticação baseada em OTP (senha de uso único) ou combinar-se com fraude por troca de chip de celular (SIM swap) para comprometer contas sem violar o perímetro digital.

Como o vishing funciona – a camada humana da fraude

O vishing depende de gatilhos psicológicos, e não de malware ou código. Os golpistas estudam padrões de comportamento, roteiros internos de bancos e até a linguagem usada em centrais de atendimento para fazer suas comunicações parecerem legítimas. Operações mais sofisticadas utilizam síntese de voz com IA para imitar agentes ou executivos reais, criando um desafio crescente conhecido como deepfake vishing.

Os criminosos normalmente empregam uma ou mais das seguintes estratégias:

• Falsa autoridade – fingir ser de uma instituição financeira, órgão regulador ou autoridade policial.
• Táticas de urgência e medo – afirmar o bloqueio imediato da conta ou transações não autorizadas de grande valor.
• Armadilhas de validação de dados – solicitar que o usuário “confirme” OTPs, números de cartão ou dados pessoais.
• Falsificação de número de chamada (call spoofing) – mascarar o identificador de chamada para que pareça vir de uma instituição confiável.

Em todos os casos, o alvo é a confiança humana. Mesmo os sistemas mais seguros permanecem vulneráveis se usuários ou funcionários forem persuadidos a fornecer informações voluntariamente.

Prevenção e detecção de vishing

As instituições financeiras estão cada vez mais combinando inteligência de dispositivos, autenticação baseada em risco e análise comportamental para detectar anomalias que possam ocorrer após um evento de vishing. Por exemplo, se o dispositivo de um cliente muda repentinamente ou se há tentativas de login a partir de novas localizações logo após uma chamada suspeita, esses padrões podem acionar uma verificação adicional ou o bloqueio de acesso.

Do ponto de vista operacional, o treinamento de funcionários e a educação dos clientes são fundamentais. É importante lembrar que instituições financeiras legítimas nunca solicitam dados sensíveis por telefone. Ao mesmo tempo, as equipes internas podem usar a análise de padrões de chamadas e o mapeamento de incidentes para identificar campanhas fraudulentas em seus estágios iniciais.

O objetivo mais amplo é fortalecer a prevenção de fraudes multicanal – conectando dados de voz, web e aplicativos móveis para construir um modelo de risco unificado, capaz de identificar tentativas de manipulação antes que se transformem em perdas financeiras.

A crescente complexidade das fraudes por voz

O futuro do vishing está na interseção entre engenharia social e tecnologia. À medida que os fraudadores passam a usar vozes geradas por IA e sistemas automatizados de chamadas, os ataques tornam-se mais escaláveis e convincentes. As instituições precisam se adaptar, integrando o monitoramento de fraudes multicanal e conectando sinais comportamentais provenientes de voz, web e aplicativos móveis em um modelo de risco único.

Nesse contexto, a confiança torna-se uma variável mensurável e dinâmica. Ao combinar dados comportamentais não pessoais, avaliação de risco baseada em dispositivos e autenticação adaptativa, as instituições financeiras podem detectar tentativas de manipulação antes que se transformem em perdas financeiras.