Linkedin Instagram Facebook

Crescimento do “Vishing”: Como a Engenharia Social Telefônica Está Evoluindo com a Ajuda da Tecnologia

Nos últimos meses, o mundo da cibersegurança tem presenciado um crescimento alarmante de uma forma relativamente “antiga”, porém renovada, de ataque: o vishing. A palavra vem da junção de voice (voz) com phishing, e refere-se a golpes aplicados via chamadas telefônicas, com o objetivo de enganar vítimas para que revelem informações confidenciais ou executem ações que comprometam sistemas de segurança.

Com o avanço da inteligência artificial, o aumento da terceirização de serviços e os recentes casos de ataques de grande repercussão, como o ocorrido com a companhia aérea australiana Qantas, o vishing ganhou força e tornou-se uma das principais ameaças às empresas de médio e grande porte. Neste artigo, analisamos esse crescimento, as táticas empregadas, os grupos por trás desses ataques e, sobretudo, o que as organizações podem (e devem) fazer para se proteger.

O Que É Vishing e Por Que Está Crescendo?

Tradicionalmente, o vishing consistia em golpistas ligando para indivíduos — muitas vezes se passando por bancos, empresas ou entidades governamentais — tentando colher dados sensíveis como senhas, números de cartão ou códigos de autenticação.

O que mudou recentemente foi a sofisticação das táticas e das tecnologias envolvidas. Hoje, criminosos utilizam voice bots com vozes clonadas por IA, engenharia social altamente personalizada baseada em vazamentos de dados, além de pesquisas extensivas em redes sociais corporativas e pessoais para construir narrativas convincentes.

O caso da Qantas expôs isso com clareza: um ataque que comprometeu dados de até 6 milhões de clientes teve como vetor inicial uma ligação telefônica direcionada a um fornecedor terceirizado. O funcionário, convencido da legitimidade do contato, forneceu acesso ao sistema, o que desencadeou a cadeia de invasão.

Por Que o Vishing É Tão Eficaz?

O fator humano segue sendo o elo mais fraco da cadeia de segurança. Mesmo empresas com firewalls robustos, criptografia avançada e autenticação multifator podem ser vítimas se um colaborador for manipulado a dar acesso por telefone.

Os principais motivos que tornam o vishing tão eficaz incluem:

  • Voz transmite autoridade e urgência: uma voz bem treinada ou clonada pode soar legítima, pressionando o colaborador a agir rapidamente.
  • Falta de protocolos claros: muitas empresas não têm normas rígidas para validação de chamadas internas ou de parceiros.
  • Terceirização excessiva: empresas terceiras, como no caso da Qantas, muitas vezes não têm o mesmo nível de treinamento em segurança.
  • Uso de dados vazados: criminosos utilizam informações prévias (como nome do gestor, ramal, cargo) para reforçar a narrativa e ganhar credibilidade.

O Papel da Inteligência Artificial nos Novos Golpes

Com o avanço de modelos de IA generativa e síntese de voz, criminosos agora conseguem clonar vozes com poucas amostras de áudio. Isso tem sido usado para se passar por executivos ou membros do setor de TI.

Além disso, bots são capazes de manter conversas básicas, imitando assistentes ou centrais de atendimento. Em alguns casos, a chamada de vishing é o início de um ataque mais complexo, como o uso de malware ou ransomware, após convencer a vítima a clicar em um link ou fornecer credenciais.

Grupos Por Trás: O Caso do Scattered Spider

O grupo de hackers conhecido como Scattered Spider (ou UNC3944) tem sido apontado como um dos principais responsáveis pela onda recente de ataques envolvendo vishing. Com atuação internacional, o grupo é conhecido por:

  • Táticas avançadas de engenharia social;
  • Ataques a empresas de setores críticos (aéreo, financeiro, saúde);
  • Utilização de chamadas falsas para obter acesso administrativo a sistemas internos.

Segundo alertas recentes do FBI, o grupo aumentou seus ataques ao setor aéreo, aproveitando a complexidade das redes de fornecedores e a falta de padronização nos processos de autenticação.

Impactos Diretos e Reputacionais

Ataques de vishing não afetam apenas o sistema invadido — o impacto reputacional é profundo. A confiança do cliente, o valor de mercado e a relação com parceiros estratégicos são colocados em xeque.

O caso da Qantas, embora não tenha envolvido vazamento de dados financeiros, deixou claro que dados pessoais sensíveis (como nome, e-mail, telefone e data de nascimento) também são extremamente valiosos para criminosos e podem ser reutilizados em novos ataques.

Como Proteger Sua Empresa do Vishing?

A proteção contra vishing exige uma abordagem multifacetada. Algumas ações essenciais incluem:

1. Educação e Treinamento Contínuos

Realize simulações periódicas de engenharia social com sua equipe. Ensine os sinais de alerta de um ataque de vishing, como pressa excessiva, tentativas de obter senhas ou informações fora do padrão.

2. Políticas de Autenticação Telefônica

Estabeleça protocolos para verificar identidades por telefone. Use palavras-chave internas, canais oficiais e autenticação cruzada antes de qualquer ação sensível.

3. Limitação de Acesso de Terceiros

Audite com regularidade os acessos de fornecedores e parceiros. Certifique-se de que todos seguem políticas de segurança compatíveis com as da sua empresa.

4. Monitoração de Voz e Ligações

Use ferramentas de monitoramento que identifiquem padrões anômalos em chamadas, inclusive números suspeitos ou frequências fora do comum.

5. Zero Trust e Princípio do Menor Privilégio

Implemente estratégias de Zero Trust, onde nenhuma conexão é presumida segura. Também limite os acessos de cada colaborador apenas ao necessário para sua função.

Conclusão: A Voz do Inimigo Está Mais Perto do que Nunca

O crescimento do vishing é um lembrete poderoso de que os ataques cibernéticos não se limitam ao mundo digital. A manipulação humana, aliada ao uso de tecnologias como inteligência artificial, tornou-se um dos pilares das ofensivas mais bem-sucedidas da atualidade.

Organizações que ainda não consideram o vishing uma ameaça real correm riscos cada vez maiores. Em tempos onde um simples telefonema pode abrir portas para um desastre cibernético, a prevenção começa na consciência, passa pela política e termina na cultura de segurança.

Se sua empresa ainda não possui um programa estruturado de conscientização e defesa contra engenharia social, o momento para agir é agora. A voz do criminoso pode estar mais próxima do que você imagina.

Atuando no mercado desde julho de 2003, somos uma das maiores empresas de telecomunicações do Nordeste, oferecendo um portfólio completo de soluções de comunicação de dados para os mercados empresarial e corporativo.

WORLDNET TELECOM COMERCIO E SERVICOS DE TELECOMUNICACOES LTDA CNPJ : 05.773.360/0001-40 

Suporte

Contato

  • R. Francisco de Barros Barreto, 152 Boa Viagem, Recife - PE, 51021-550
  • +55 (81) 3323 - 4401
  • comercial@worldnet.com.br
  • Linkedin
  • Facebook
  • Instagram

Fale Conosco

Copyright© WorldNet 2022. Todos os Direitos Reservados.

HOME

SERVIÇOS

CLIENTES

CONTATO

Fale Conosco!
Fale Conosco!
Fale Conosco!
Fale Conosco!