O que é o vishing?

O vishing, também conhecido como phishing por voz, ocorre quando golpistas fazem ligações telefônicas para induzi-lo a compartilhar informações pessoais ou enviar dinheiro. Ao se passar por empresas legítimas e usar táticas de engenharia social, os golpistas esperam ganhar sua confiança e convencê-lo a compartilhar informações confidenciais, que depois podem usar para cometer fraudes ou roubo de identidade. De acordo com o relatório sobre phishing por voz da Keepnet de 2024, aproximadamente 70% das organizações foram vítimas de vishing, resultando em uma perda financeira média de US$ 14 milhões por ano. O vishing pode afetar indivíduos e organizações. Por isso é importante entender como ele funciona e maneiras de se proteger.

Continue lendo para saber como o vishing é diferente do phishing e do smishing, ver exemplos comuns de vishing e descobrir como evitar ser vítima desses ataques.

Vishing versus phishing versus smishing: qual é a diferença?

Pense no phishing como um termo genérico para ataques cibernéticos que os golpistas usam para induzi-lo a compartilhar suas informações pessoais. O phishing geralmente ocorre por meio de emails, nos quais os golpistas enviam links ou anexos não solicitados como parte da tentativa. O vishing e o smishing se enquadram como phishing porque compartilham os mesmos objetivos, mas o vishing ocorre estritamente por meio de ligações telefônicas, enquanto o smishing ocorre estritamente por meio de mensagens de texto (SMS).

Como o vishing funciona

Na maioria dos casos, o vishing começa com um golpista pesquisando sobre você para determinar a melhor maneira de induzi-lo a compartilhar informações. Eles podem usar seu endereço de email para descobrir outras informações de identificação pessoal (PII), como seu número de telefone. Com essas informações, um golpista pode disfarçar o código de área alterando-o para corresponder ao seu, fazendo você acreditar que ele está ligando de um número de telefone local.

Quando você atende a uma ligação de um golpista, ele pode convencê-lo a compartilhar informações pessoais, como números de contas bancárias, informações de cartões de crédito ou seu endereço residencial. Os golpistas esperam que você acredite que são indivíduos ou empresas legítimos ao construir uma relação com escuta ativa, conversas cordiais e perguntas instigadoras. Mais recentemente, golpistas começaram a usar inteligência artificial (IA) para realizar ataques de vishing usando a voz de alguém que você conhece. A IA ajuda os golpistas a convencê-lo de que um amigo, membro da família ou colega de trabalho está ligando ao analisar a voz de uma pessoa em vídeos, geralmente publicados nas redes sociais. Com golpistas usando IA em ataques de vishing, esses golpes são muito mais difíceis de detectar, porque as vozes podem parecer autênticas, mas não são de quem afirmam ser.

Se você acreditar que o golpista é legítimo e compartilhar suas informações pessoais durante a ligação, ele usará essas informações para cometer crimes cibernéticos. Algumas atividades maliciosas que os golpistas podem fazer com as informações que você fornece em ataques de vishing incluem roubar dinheiro de sua conta bancária, fazer compras não autorizadas com seu cartão de crédito ou invadir sua conta de email para enganar pessoas em quem você confia.

Exemplos de vishing

Veja alguns dos exemplos mais comuns de ataques de vishing que você pode encontrar.

Ligações falsas da Receita Federal exigindo pagamentos imediatos

Um golpista pode fingir ser um agente da Receita Federal ligando para notificá-lo de que você deve impostos e precisa fornecer informações confidenciais para evitar ações legais. A maioria das ligações falsas da Receita Federal é feita por meio de mensagens pré-gravadas. Logo, você provavelmente não falará com uma pessoa ao vivo. A mensagem pode parecer assim: “Para evitar consequências legais, você deve fornecer informações de pagamento válidas para quitar os impostos que deve à Receita Federal em até 24 horas”. Esse ataque de vishing tem como objetivo assustá-lo para obedecer e desencorajá-lo de questionar a legitimidade da ligação, afirmando que ela é de uma agência governamental. No entanto, a Receita Federal nunca entrará em contato com você por telefone para exigir pagamentos sem primeiro usar os correios ou emails, com sua permissão. Você nunca deve fornecer informações de pagamento por telefone para alguém que afirme ser da Receita Federal, a menos que você tenha iniciado a ligação e tenha certeza de que está falando com um agente legítimo da Receita Federal.

Ligações de seu banco pedindo detalhes da conta

Você pode receber uma ligação de alguém que afirma ser de seu banco, pedindo para confirmar os detalhes da sua conta. Como seu banco nunca pedirá que você compartilhe os detalhes da sua conta, incluindo códigos de segurança ou senhas, você deve reconhecer nisso um ataque de vishing. Um golpista se passando por seu banco pode dizer algo como: “Só precisamos das informações da sua conta bancária para verificar uma cobrança suspeita. Você pode nos informar o código de segurança de sua conta para que possamos verificar isso?” É mais seguro desligar e entrar em contato diretamente com seu banco para verificar se ele precisa das informações da sua conta. Fornecer informações pessoais ou confidenciais por telefone a um golpista pode acabar com sua conta bancária esvaziada.

Golpes de suporte técnico solicitando acesso ao seu computador

Em um ataque de vishing de suporte técnico, um golpista se passa por um representante de uma empresa de tecnologia, como a Apple ou a Microsoft. Na ligação, o golpista afirma ter encontrado um problema tecnológico em seu computador e diz que precisa de acesso remoto para corrigi-lo. Durante a ligação, o golpista pode dizer algo como: “Encontramos um bug em seu dispositivo e precisamos acessá-lo para corrigir o problema. Pode nos fornecer seu endereço de email e os detalhes de seu software atual?” Ele pode solicitar seu endereço de email para enviar códigos ou conteúdo para download, permitindo que obtenha acesso ao seu dispositivo. No entanto, fornecer esses códigos ou baixar o conteúdo pode instalar malwares em seu computador, levando ao roubo de dados e a uma invasão de sua privacidade. Se você receber uma ligação de uma empresa de tecnologia que não contatou primeiro, é melhor desligar e entrar em contato diretamente com a empresa para confirmar se ela detectou um problema em seu dispositivo.

Golpes com o Medicare exigindo seu número de ID

Outro ataque de vishing comum ocorre quando um golpista se passa por um representante do Medicare querendo falar sobre sua elegibilidade. Eles podem alertá-lo de que sua elegibilidade para o Medicare será cancelada, a menos que você confirme sua identidade fornecendo seu número do Medicare atual. Um golpista se passando pelo Medicare pode dizer algo como: “Não podemos verificar sua identidade sem informações adicionais. Para receber seus benefícios do Medicare, compartilhe seu número de ID do Medicare”. Esse tipo de ataque de vishing visa induzi-lo a compartilhar seu número do Medicare e outras informações pessoais para que o golpista possa roubar seus benefícios e sua identidade. Não forneça suas informações pessoais para ninguém que afirme ser do Medicare, a menos que você tenha certeza de que o indivíduo é legítimo ou que você o tenha contatado primeiro.

Parentes alegando que precisam de dinheiro para uma emergência

Você pode pensar que é fácil detectar se alguém está se passando por membros de sua família, mas os golpistas estão cada vez mais usando IA para imitar vozes familiares e induzi-lo a compartilhar informações ou dinheiro. Se você receber uma ligação de um parente afirmando ter sofrido um acidente e precisar de dinheiro imediatamente, tente não entrar em pânico e não agir impulsivamente. Na maioria das vezes, esses ataques de vishing ocorrem na forma de golpes com avós, que normalmente têm idosos como alvo, e simulam netos ou parentes próximos durante um evento catastrófico. Por exemplo: um golpista pode encontrar a voz de seu neto em um vídeo nas redes sociais. Ele pode enviar esse vídeo para um software de IA que clona a voz de seu neto, permitindo que o golpista se passe por ele de forma convincente. Se você receber uma ligação como essa, entre em contato diretamente com o parente usando outro método, como enviar um SMS para o número de telefone salvo em sua lista de contatos.

Como se proteger contra o vishing

Você pode se proteger contra ataques de vishing evitando ligações de números desconhecidos, criando uma palavra segura com seus entes queridos, evitando compartilhar suas informações pessoais por telefone e garantindo que suas contas estejam protegidas com senhas fortes.

Evite atender a ligações de números desconhecidos

Se você receber ligações de números desconhecidos, é melhor não atendê-las. Números desconhecidos geralmente são spam ou golpes. Portanto, evitar ligações não solicitadas pode ajudar a protegê-lo contra ataques de vishing. Os golpistas podem usar softwares para alterar a forma como o número de telefone aparece em sua tela, muitas vezes fornecendo um código de área local para gerar confiança. Se um número não estiver salvo em seus contatos, é mais seguro deixar a ligação ir para o correio de voz em vez de atendê-la.

Crie uma palavra segura com seus amigos e familiares

Como os golpistas estão usando IA para imitar vozes familiares em seus ataques de vishing, você deve criar uma palavra segura com seus amigos e familiares. Os ataques de vishing modernos visam induzi-lo a acreditar que a pessoa do outro lado do telefone é alguém próximo a você, com a ajuda de IA. No entanto, ao usar uma palavra segura que apenas seus amigos e familiares sabem, você pode verificar a identidade do autor da ligação. Se o autor da ligação não souber a palavra segura ou der a resposta errada, você o reconhecerá como um golpista.

Nunca forneça suas informações pessoais para qualquer pessoa

Mesmo que alguém ligue afirmando ser da Receita Federal ou de outra empresa para exigir pagamentos imediatos ou informações pessoais, nunca revele informações confidenciais por telefone. Essas ligações podem fazer ameaças de consequências graves caso você não obedeça, como prisão ou multas significativas. Porém, se você não entrou em contato diretamente com a Receita Federal ou com uma empresa legítima, não há razão para receber uma ligação deles. Portanto, reconheça isso como ataques de vishing.

Certifique-se de que suas contas estejam protegidas com senhas fortes e MFA

Uma maneira importante de se proteger contra ataques de vishing e outras formas de phishing é proteger suas contas online com senhas fortes. Certifique-se de que todas as suas contas tenham uma senha forte e exclusiva, com pelo menos 16 caracteres e uma combinação de letras maiúsculas e minúsculas, números e símbolos. Ao proteger suas contas com senhas fortes e exclusivas, você reduz o risco de um golpista adivinhar uma senha fraca ou reutilizada e invadir suas contas para roubar informações privadas.

Além de proteger suas contas com senhas fortes, você também deve habilitar a autenticação multifator (MFA) quando disponível. A MFA adiciona uma camada de segurança adicional às suas contas, exigindo outra forma de autenticação para confirmar sua identidade antes de obter acesso. Se você revelar suas credenciais de login em um ataque de vishing mas tiver a MFA habilitada, o golpista não poderá acessar sua conta apenas com seu nome de usuário e sua senha, pois ele precisará de outra maneira de autenticar sua identidade. Alguns tipos de MFA incluem um código de um aplicativo autenticador, uma resposta a uma pergunta de segurança, um PIN ou suas informações biométricas.

Ouça sua intuição

Entendemos que, não importa o quanto você se prepare para um ataque cibernético, pode ser difícil se preparar emocionalmente para as possíveis consequências. É fácil entrar em pânico e jogar a lógica pela janela quando você percebe que pode ter sido pego por um ataque de vishing. É por isso que você precisa ouvir seus instintos. Se você estiver conversando com alguém por telefone e tiver a sensação de que a pessoa não é quem diz ser, confie em sua intuição e desligue. É muito mais seguro ligar diretamente para uma empresa usando um número de telefone listado em seu site oficial do que fornecer suas informações pessoais para alguém de quem desconfia.

Conclusão

À medida que a IA continua a ser usada em ataques cibernéticos, é importante saber como se proteger contra ataques de vishing, phishing e smishing. Seja como ocorra um ataque de vishing, você pode se proteger criando uma palavra segura com seus entes queridos, evitando compartilhar informações pessoais por telefone e protegendo suas contas com senhas fortes. Uma maneira fácil de proteger suas contas com senhas fortes é usar um gerenciador de senhas como o Keeper^®. O Gerenciador de senhas do Keeper permite criar, atualizar e armazenar suas senhas exclusivas, assim como métodos de MFA, em um cofre seguro e criptografado.

Comece sua avaliação gratuita de 30 dias do Gerenciador de senhas do Keeper para proteger suas contas e se manter seguro contra ataques de vishing.