Capa do Ebook gratuito Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Novo curso

23 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Vishing: golpes por voz, URA falsa e exploração de urgência

Capítulo 5

Tempo estimado de leitura: 13 minutos

+ Exercício

O que é vishing e por que ele funciona

Vishing (voice phishing) é uma fraude realizada por voz, na qual o criminoso usa uma ligação telefônica, um áudio em aplicativo de mensagens ou um atendimento automatizado (URA) para induzir a vítima a revelar informações sensíveis, executar ações no banco, instalar algo no celular, ou autorizar transações. Diferente de golpes por texto, o vishing explora a conversa em tempo real: o golpista ajusta o discurso conforme as respostas da vítima, cria pressão imediata e reduz o tempo de reflexão.

O vishing costuma se apoiar em três pilares operacionais: (1) credibilidade aparente (número “parecido” com o da instituição, linguagem de call center, ruídos de fundo, scripts), (2) condução do fluxo (perguntas fechadas, instruções passo a passo, transferência para “setores”), e (3) urgência (ameaça de bloqueio, compra suspeita “em andamento”, risco de perda financeira). O objetivo final quase sempre é um destes: capturar credenciais e códigos temporários, obter dados cadastrais para fraude posterior, ou fazer a vítima executar uma transferência/PIX, cadastrar um dispositivo, ou “validar” uma operação que na verdade é do criminoso.

Principais formatos de vishing

  • Ligação de “central de segurança”: o criminoso afirma que houve tentativa de compra, invasão, ou alteração cadastral e pede “confirmações” e códigos.
  • Falsa URA (atendimento automático): a vítima liga para um número indicado em SMS/WhatsApp, ou recebe ligação com gravação que orienta a “digitar 1 para falar com o suporte”.
  • Golpe do “suporte técnico”: o criminoso diz que há vírus, falha no app do banco, ou necessidade de “atualização” e guia a instalação de app de acesso remoto.
  • Golpe de cobrança/regularização: ameaça de negativação, bloqueio de conta, cancelamento de linha, ou “pendência no CPF”, pedindo pagamento imediato ou dados.
  • Golpe de falso funcionário interno: contato com empresas (financeiro/contas a pagar) para mudar dados bancários de fornecedor, validar pagamento, ou “confirmar” instruções.

URA falsa: como o golpe é montado na prática

URA (Unidade de Resposta Audível) é o sistema de atendimento automático com menus (“digite 1”, “digite 2”). Em golpes, a URA falsa serve para dar aparência de legitimidade e padronizar o atendimento, reduzindo a chance de a vítima desconfiar. Há dois caminhos comuns:

  • Vítima é atraída para ligar: recebe SMS/WhatsApp/e-mail com alerta (“compra aprovada”, “acesso suspeito”) e um número para contato. Ao ligar, cai em uma URA falsa que imita o fluxo de um banco/operadora.
  • Vítima recebe ligação ativa: uma gravação informa um evento urgente (“sua conta será bloqueada”) e pede para pressionar uma tecla para falar com um atendente. Ao pressionar, a chamada é transferida para o golpista.

Elementos típicos de uma URA falsa

  • Mensagem inicial com tom institucional: “Central de Segurança”, “Setor antifraude”, “Atendimento 24 horas”.
  • Menus simples e direcionados: poucas opções, sempre levando ao contato humano (“falar com atendente”).
  • Coleta de dados por teclado: pede CPF, data de nascimento, ou parte do cartão “para localizar cadastro”. Mesmo quando não grava, o objetivo é normalizar a entrega de dados.
  • Transferência com “protocolo”: fornece um número de protocolo para aumentar confiança, mas sem valor real.

O ponto crítico é que a URA falsa não precisa ser tecnicamente sofisticada para funcionar. Um fluxo curto, com gravação convincente e um atendente treinado em script, já cria a sensação de que a vítima “entrou no canal oficial”.

Exploração de urgência no vishing: como ela aparece na conversa

No vishing, a urgência é operacional: ela serve para impedir que a vítima desligue, consulte alguém, ou verifique por outro canal. Em ligações, a urgência costuma ser construída com frases que criam um “agora ou nunca”, por exemplo: “temos 2 minutos para cancelar”, “o sistema vai bloquear automaticamente”, “a compra está em processamento”, “se você desligar, não consigo interromper”.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

Sinais de urgência manipulativa (padrões de fala)

  • Prazo artificial curto: “preciso que você confirme imediatamente”.
  • Ameaça de consequência imediata: “sua conta será bloqueada”, “seu limite será consumido”.
  • Pressão para manter a linha: “não desligue”, “se cair, você perde a contestação”.
  • Instruções em sequência rápida: reduz tempo de raciocínio e aumenta obediência ao passo a passo.
  • Desencorajamento de verificação: “não ligue para a agência agora”, “não abra o app, está instável”, “não fale com ninguém por segurança”.

Em instituições legítimas, atendentes podem orientar procedimentos, mas não costumam exigir que a pessoa mantenha a ligação sob ameaça, nem pedem códigos de autenticação para “cancelar fraude”. A urgência legítima é acompanhada de verificação por canais oficiais e de orientações que preservam a autonomia do cliente (por exemplo, desligar e retornar pelo número do cartão/site).

O que os golpistas tentam obter (e por que isso é perigoso)

Para prevenir e detectar vishing, é essencial reconhecer quais informações e ações são “alvos finais”. Em geral, o criminoso busca:

  • Códigos temporários: SMS, token, código do autenticador, “código de segurança” enviado pelo banco. Esses códigos permitem login, cadastro de dispositivo, redefinição de senha ou autorização de transações.
  • Credenciais: senha do app, senha do internet banking, senha do cartão. Mesmo que a vítima não diga a senha, o golpista pode tentar induzir a digitá-la em um “menu” (URA) ou em um link.
  • Dados cadastrais: CPF, data de nascimento, endereço, nome da mãe, e-mail. Servem para engenharia de conta, recuperação de senha e abertura de contas.
  • Ações no aplicativo: “faça um PIX de teste”, “cadastre uma chave”, “aumente limite”, “autorize este dispositivo”, “gere um código no app”.
  • Instalação de software: apps de acesso remoto, “antivírus”, “atualização do banco”. Isso dá controle do aparelho e permite capturar senhas e aprovar transações.

Um ponto importante: muitos golpes não precisam que a vítima “conte” a senha. Basta que ela execute ações guiadas. Por isso, a prevenção deve focar tanto em proteger dados quanto em desconfiar de instruções operacionais recebidas por voz.

Como reconhecer vishing durante a ligação (checklist prático)

1) Verifique o contexto: você iniciou o contato?

Se a ligação foi recebida do nada, trate como suspeita até prova em contrário. Se você ligou para um número que veio em mensagem de alerta, redobre a cautela: o número pode ser do golpista.

2) Observe pedidos incompatíveis com atendimento legítimo

  • Pedir código SMS/token “para cancelar” ou “para confirmar identidade”.
  • Pedir senha completa ou orientar a digitar senha no teclado durante a ligação.
  • Orientar a fazer transferência/PIX para “conta segura”, “conta espelho”, “conta de teste”.
  • Orientar a instalar aplicativo ou permitir acesso remoto.
  • Orientar a desativar segurança do aparelho (acessibilidade, permissões, remover limites).

3) Procure inconsistências de linguagem e processo

Golpistas costumam usar termos genéricos (“setor de segurança”, “central”), evitam detalhes verificáveis e mudam de assunto quando questionados. Um sinal forte é quando o atendente não aceita que você desligue e retorne pelo canal oficial.

4) Use uma regra simples de interrupção

Se a ligação envolve dinheiro, códigos ou instalação de app, interrompa o fluxo. Diga que vai desligar e retornar pelo número oficial (no verso do cartão, no site oficial, ou no aplicativo). Se houver resistência, trate como fraude.

Passo a passo: como agir ao suspeitar de vishing (pessoa física)

Passo 1 — Interrompa a conversa com segurança

Não discuta, não tente “testar” o golpista e não forneça mais informações. Use uma frase curta: “Vou desligar e ligar para o número oficial”. Desligue.

Passo 2 — Valide por canal independente

Abra o aplicativo do banco digitando você mesmo (sem clicar em links) ou ligue para o número do verso do cartão. Pergunte se há alertas reais, tentativas de compra, bloqueios ou protocolos em aberto. Se o golpista forneceu “protocolo”, informe ao canal oficial para checagem, mas não confie nele como prova.

Passo 3 — Revise rapidamente sua conta

  • Verifique transações recentes (PIX, TED, cartões).
  • Confira dispositivos logados e autorizações (quando o app oferece essa opção).
  • Veja se houve alteração de e-mail, telefone, endereço, limites ou chaves PIX.

Passo 4 — Se você compartilhou algo, trate como incidente

Se você informou código/token, digitou senha, instalou app, ou fez qualquer operação guiada, aja como se a conta estivesse comprometida:

  • Troque senhas imediatamente por um canal confiável.
  • Revogue acessos e desconecte dispositivos desconhecidos.
  • Contate o banco para bloqueio preventivo e contestação de transações.
  • Se instalou app de acesso remoto, desinstale, revise permissões e considere restaurar o aparelho (conforme orientação técnica).

Passo 5 — Registre evidências

Anote data/hora, número que ligou, nome usado pelo atendente, suposto protocolo e o que foi solicitado. Se houver mensagens associadas (SMS/WhatsApp), guarde prints. Isso ajuda na contestação e em investigações.

Passo a passo: como agir ao suspeitar de vishing (ambiente corporativo)

Em empresas, o vishing frequentemente mira áreas com poder de pagamento ou acesso: financeiro, compras, RH, help desk e executivos. O objetivo pode ser desvio de pagamento, reset de senha, emissão de segunda via, ou coleta de dados internos.

Passo 1 — Pare o processo e aplique verificação fora da ligação

Se alguém liga pedindo “urgência” para alterar dados bancários de fornecedor, liberar pagamento, ou redefinir acesso, interrompa e valide por um canal previamente cadastrado (e-mail corporativo já conhecido, telefone do fornecedor em contrato, sistema interno). Não use o contato fornecido na própria ligação.

Passo 2 — Use dupla checagem para ações financeiras

Implemente (e siga) um fluxo mínimo: qualquer mudança de dados bancários e qualquer pagamento fora do padrão exige aprovação de duas pessoas e validação por canal independente. O golpista tenta justamente “pular” esse controle usando urgência.

Passo 3 — Acione TI/Segurança para sinais técnicos

Se a ligação envolve instalação de software, acesso remoto, “atualização de certificado”, ou pedido de código de MFA, trate como tentativa de comprometimento. Oriente o colaborador a não prosseguir e encaminhe o caso para o time responsável.

Passo 4 — Documente e alerte internamente

Registre o incidente (número, gravação se houver, relato do colaborador) e dispare um alerta interno curto com o padrão observado: tema usado, frases de urgência, pedidos feitos. Isso reduz a chance de o mesmo script funcionar com outra pessoa.

Exemplos práticos de roteiros de golpe (para treinar identificação)

Exemplo 1 — “Compra suspeita em andamento”

Golpista: “Detectamos uma compra de alto valor agora. Para cancelar, preciso validar sua identidade. Vou enviar um código por SMS, me informe assim que chegar.”

O que está acontecendo: o criminoso iniciou um login/recuperação de conta e precisa do código para concluir. O pretexto de “cancelamento” é usado para obter o código.

Resposta segura: desligar e contatar o canal oficial. Nunca informar código recebido.

Exemplo 2 — URA falsa com transferência para atendente

Gravação: “Central de Segurança. Para contestar transações, digite 1.”

Atendente: “Para bloquear sua conta e transferir para uma conta segura, abra o app e faça um PIX para o número que vou passar.”

O que está acontecendo: “conta segura” é conta do criminoso. O golpe tenta transformar a vítima em executora da transferência.

Resposta segura: nenhuma instituição séria pede transferência para “proteger” dinheiro. Desligar e validar no app/canal oficial.

Exemplo 3 — “Suporte técnico do banco” e acesso remoto

Golpista: “Seu app está com falha de segurança. Instale este aplicativo para eu te orientar e corrigir.”

O que está acontecendo: o app dá controle do aparelho, permitindo capturar credenciais e aprovar transações.

Resposta segura: não instalar nada por orientação de ligação. Encerrar e procurar suporte oficial.

Medidas preventivas específicas contra vishing

Higiene de canais: como reduzir a chance de cair

  • Use números oficiais salvos: tenha no contato do celular o número oficial do seu banco/operadora (obtido no site oficial ou no verso do cartão). Em situação de estresse, você não precisa procurar em mensagens.
  • Não confie em identificador de chamadas: o número exibido pode ser falsificado. Trate como um “indício”, não como prova.
  • Evite retornar para números recebidos por SMS: se a mensagem diz “ligue para este número”, valide no site/app oficial antes.
  • Ative alertas e limites: notificações de transação e limites de PIX/transferência reduzem impacto caso algo passe.

Regras pessoais simples (fáceis de lembrar)

  • Código recebido não é para ser dito: se chegou por SMS/app, é para você usar, não para informar.
  • Atendimento não pede senha: se pediu, encerre.
  • Dinheiro não vai para “conta segura”: qualquer instrução de transferência por telefone é sinal crítico.
  • Você controla o canal: desligue e retorne por um número oficial.

Treinamento e processos (para equipes)

  • Scripts de recusa: frases prontas para colaboradores encerrarem ligações suspeitas sem debate (“Política interna exige validação por canal cadastrado”).
  • Playbook de verificação: checklist curto para mudanças de dados, pagamentos e resets de senha.
  • Simulações internas: exercícios controlados de ligações falsas para treinar interrupção, escalonamento e registro.
  • Política de MFA: reforçar que códigos de autenticação nunca são compartilhados, nem com TI.

Detecção e resposta rápida: sinais de que o golpe avançou

Alguns sinais indicam que a tentativa pode ter evoluído para comprometimento ou fraude em andamento:

  • Chegada de SMS de código sem você ter solicitado.
  • Notificação de novo dispositivo cadastrado ou login em local incomum.
  • Alteração de e-mail/telefone no cadastro.
  • Transações pequenas “de teste” seguidas de tentativas maiores.
  • Aplicativo pedindo permissões incomuns após orientação por telefone.

Nesses casos, a prioridade é conter: bloquear acessos, contatar a instituição por canal oficial, revisar dispositivos e permissões, e registrar evidências. A velocidade é importante porque o vishing frequentemente é usado como etapa de um ataque que continua por outros canais (por exemplo, redefinição de senha e movimentação imediata).

Mini-checklist de bolso para o momento da ligação

  • Eu iniciei este contato? Se não, desconfie.
  • Estão pedindo código, senha, instalação de app ou transferência? Se sim, encerre.
  • Estão me impedindo de desligar e verificar? Se sim, encerre.
  • Vou validar pelo número oficial que eu mesmo busco no app/cartão/site.

Agora responda o exercício sobre o conteúdo:

Durante uma ligação, qual atitude é mais adequada ao identificar sinais de vishing, como pressão de urgência e pedidos de código/token ou transferência?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Vishing explora conversa em tempo real e urgência para reduzir reflexão e obter códigos, dados ou ações (PIX, instalação de app). A resposta mais segura é encerrar e validar por canal oficial independente, sem compartilhar códigos nem executar operações guiadas.

Próximo capitúlo

Smishing: fraudes por SMS e mensageria com links e códigos

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store