O que é vishing e como evitar este tipo de golpe?

Vishing é a junção de duas palavras: voice (voz) e phishing (pescaria). Phishing é um tipo de golpe cibernético usado para obter dados sigilosos das vítimas. No geral, os golpes de phishing são feitos através de mensagens em aplicativos e redes sociais, e-mails com links e/ou anexos infectados, links maliciosos e websites falsos.

No vishing, o principal recurso é o uso da voz, e não de e-mails, mensagens de texto e as formas mais convencionais usadas nos golpes de phishing. Então, no vishing, os criminosos usam a própria voz ou mensagens gravadas para aplicar os golpes.

O vishing é extremamente perigoso, talvez até mais do que os métodos convencionais de phishing. Como os criminosos usam a voz ou outros recursos de áudio, eles conseguem transmitir mais credibilidade e, ao mesmo tempo, agir de maneira mais intimidadora, o que exerce uma pressão emocional e psicológica muito maior nas vítimas, principalmente em pessoas mais vulneráveis (como pessoas idosas, por exemplo).

Nos ataques de vishing, os golpistas fazem ligações para as vítimas e se fingem de representantes de empresas legítimas, bancos, instituições governamentais e até de pessoas conhecidas pela vítima. Pode até haver uma pessoa de verdade do outro lado, ou você pode receber uma gravação de um número clonado, adulterado ou falso pedindo que você retorne a ligação.

Depois que a vítima retorna a ligação, um bot (robô) pede pelas informações pessoais para fazer o encaminhamento para um atendente. Só que, na verdade, a vítima envia os próprios dados diretamente para um criminoso.

Os golpistas podem se passar por pessoas conhecidas da vítima e simular um sequestro, por exemplo. E, com pressão psicológica sobre a vítima, pessoas mais desavisadas ou em pânico acabam pagando valores pelo resgate do suposto sequestro – falso, é claro.

Em outros golpes, eles se passam por funcionários de alguma empresa, pedindo dados para finalizar uma compra ou um reembolso para a vítima. As táticas são muito variadas, mas todas elas seguem esta metodologia de entrar em contato com as vítimas através de chamadas.

O vishing tem se tornado cada vez mais sofisticado e, hoje, os criminosos usam até recursos tecnológicos de Inteligência Artificial e deep fake para atacar as pessoas, o que faz com que, hoje, esta seja uma das principais táticas de engenharia social usadas pelos cibercriminosos.

Hoje, com determinadas ferramentas, é totalmente possível copiar e simular a voz de praticamente qualquer pessoa, o que faz com que até mesmo os usuários mais atentos possam cair neste tipo de golpe.

Os golpistas têm várias estratégias diferentes e métodos para aplicar golpes de vishing. Aqui, nós separamos as principais categorias, ou seja, os principais tipos de golpes de vishing:

Vishing de telemarketing

No vishing de telemarketing (também conhecido como vishing de fraude empresarial), o scammer (golpista) liga e finge representar uma empresa – geralmente, uma empresa da qual a vítima já seja cliente ou com a qual já tenha feito alguma transação. Aí, o golpista oferece alguma vantagem, desconto, promoção ou diz que a vítima tem alguma pendência financeira com a empresa.

Geralmente, os golpistas fingem representar:

• alguma seguradora, oferecendo uma extensão do seguro;
• uma agência de viagens com ofertas especiais ou até pacotes de viagens gratuitos;
• uma agência de crédito, banco ou instituição financeira oferecendo ótimas vantagens;
• alguma lotérica ou concurso com o aviso de algum prêmio que a vítima ganhou.

O truque principal consiste em sempre perguntar informações e dados pessoais para as vítimas, tudo para garantir a tal oferta, desconto, vantagem especial ou prêmio.

Os golpistas sempre apelam para a ganância, a emoção ou a euforia das vítimas e afirmam que elas só vão conseguir as vantagens se pagarem uma ‘’taxa’’ antes. Só que não existe oferta, prêmio, desconto nem vantagem nenhuma.

Fraudes de falsas chamadas do governo

Neste tipo de fraude, os criminosos se passam por agentes de alguma instituição ou órgão do governo, como agentes do INSS, do IBGE, do Ministério da Saúde, da Receita Federal ou de qualquer outro tipo de agência de governo.

Aí, os criminosos jogam com o medo, a desinformação, a insegurança e o desespero das vítimas. No geral, eles afirmam que você deve alguma taxa, imposto ou qualquer tipo de valor, e reforçam que você precisa pagar tudo imediatamente para evitar multas, punições e até mesmo a prisão.

Os golpistas também pedem por informações pessoais (nome completo, CPF, número de identidade, endereço, entre outras coisas). É tudo mentira, são truques para convencer as vítimas a enviar dinheiro para os criminosos.

Fraude do suporte técnico

Muito conhecida como tech support fraud, os cibercriminosos entram em contato com as vítimas e fingem ser de algum suporte técnico. Eles afirmam que a vítima tem algum problema no computador, como vulnerabilidades, vírus que foram encontrados no sistema ou atualizações pendentes e oferecem um serviço para consertar esses problemas que, é claro, não existem.

Aí, eles solicitam acesso remoto ao dispositivo da vítima e, caso a pessoa concorde e garanta o acesso dos golpistas, eles instalam malware no aparelho e tomam controle total dele.

Muitos golpistas também fazem falsos diagnósticos de erros e pedem informações pessoais das vítimas para garantir que o serviço (falso, é claro) seja realizado. E, no geral, eles pedem pelo pagamento do serviço técnico ao fim do golpe.

As próprias vítimas podem ligar para os criminosos, principalmente quando veem falsos avisos na tela, alertando sobre supostos vírus, infecções ou até afirmações de que o dispositivo foi invadido por um hacker (ou vários hackers). Aí, os golpistas realizam o falso processo de suporte técnico.

Fraude de instituições financeiras

Neste tipo de vishing, os golpistas virtuais fingem fazer parte de alguma instituição financeira, seja um banco, uma instituição de crédito, operadora de cartões de crédito, entre outras coisas. Elas ligam para as vítimas e afirmam que houve cobranças fraudulentas ou atividades suspeitas na conta.

Para corrigir a suposta fraude ou atividade suspeita, os cibercriminosos tentam convencer a vítima a repassar informações bancárias, senhas, dados do cartão de crédito e pagamento de taxas para ‘’corrigir as irregularidades’’.

Fraudes de relacionamentos

Neste tipo de golpe, os criminosos assumem uma aproximação mais afetiva e emocional com as vítimas. Este tipo de vishing tem muito a ver com golpes de catfishing e as práticas de cyberstalking.

Aqui, o principal objetivo dos golpistas é se aproximar emocionalmente (e de forma romântica) das vítimas. Geralmente, este tipo de fraude tem como alvo mulheres, principalmente mulheres mais velhas, sem muito conhecimento em tecnologia e emocionalmente mais vulneráveis.

Os criminosos pedem por pagamentos em dinheiro para pagar supostas passagens, marcar encontros (que nunca acontecem), pagar por despesas médicas ou ajudar em qualquer tragédia ou emergência.

Em muitos casos, eles também se passam por pessoas conhecidas das vítimas – como um neto ou uma neta, distantes, que precisam de dinheiro para visitar a vovó, ou algum sobrinho que acabou sendo preso e precisa do pagamento da fiança para ser liberado.

Para convencer as vítimas, os criminosos chegam a citar informações pessoais, como o nome delas, de familiares, endereços e até números de documentos.

Apesar de muito parecidos, phishing e vishing são tipos diferentes de golpes. Enquanto no phishing os criminosos usam plataformas diferentes (como e-mails infectados e URLs falsas), no vishing eles só usam chamadas telefônicas e ferramentas de VoIP (Voice Over IP, ou ‘’voz sobre IP’’, como o Skype, por exemplo) para aplicar os golpes.

Os ataques de vishing também podem ser acompanhados por ataques de smishing, que são golpes com mensagens de SMS fraudulentas. O principal objetivo é enganar as vítimas e aplicar golpes, principalmente pedindo dinheiro para cobrar resgates, pagar por serviços que nunca existiram ou qualquer coisa do tipo.

Infelizmente, as chances de você ou alguém que você conhece caírem em um golpe de vishing são muito grandes – ou, pelo menos, de algum golpista entrar em contato e tentar aplicar um destes golpes virtuais.

Mas você e as pessoas ao seu redor podem adotar vários métodos que ajudam a garantir mais segurança e proteção contra este e outros tipos de crimes cibernéticos:

• Procure se atualizar sobre os golpes de vishing e as técnicas usadas pelos criminosos. Eles buscam novos jeitos de roubar dinheiro e dados pessoais e as estratégias deles estão em constante evolução, então é muito importante se informar bem sobre como eles atuam.
• Não se deixe levar pelas emoções. Os criminosos usam medo, desinformação, desespero, empolgação, ganância e outros sentimentos e fortes emoções das vítimas para conseguir o que querem. Desequilibrar a vítima emocional e psicologicamente é parte fundamental dos golpes que eles aplicam.
• Não atenda chamadas anônimas. Não atenda nem retorne chamadas anônimas e lembre-se que, se for alguma emergência de verdade ou algum contato legítimo, a pessoa vai entrar em contato por outros meios, vai se identificar adequadamente ou até mesmo deixar uma mensagem de voz na caixa de mensagens.
• Tenha uma boa dose de ceticismo. Se você acredita que recebeu uma ligação estranha e que pode ser um golpe de vishing, procure pelo contato legítimo nos canais oficiais de comunicação da empresa, órgão de governo ou qualquer coisa da qual os criminosos alegam fazer parte e entre em contato somente por estes canais oficiais. E, se uma oferta é boa demais para ser verdade, provavelmente é mentira mesmo. Você não vai ganhar um sorteio do qual sequer fez parte, certo?
• Filtre e controle as informações que você compartilha nas mídias sociais. É muito importante tomar cuidado com o perigo das redes sociais e com o que você compartilha online. Criminosos usam dados e informações pessoais que as próprias vítimas expõem online e isto facilita muito os golpes que eles aplicam. Se um golpista sabe sobre sua família, seus amigos, sua rotina e detalhes íntimos da sua vida, fica muito mais fácil te convencer de que você está falando com alguém que realmente sabe sobre você e que oferece um serviço legítimo.
• Não compartilhe senhas e outros dados pessoais. Não compartilhe senhas, números do cartão de crédito, códigos de confirmação e outros dados sigilosos com ninguém, nem mesmo com representantes legítimos de uma empresa ou órgão do governo. Quando estas instituições fazem contatos legítimos com você, elas possuem outros métodos de confirmação de identidade para evitar fraudes e garantir a legitimidade da comunicação, e nenhum deles consiste em te pedir senhas do banco ou coisas do tipo.
• Crie um treinamento de segurança na sua empresa. Se você tem uma empresa, é essencial oferecer treinamento e preparo adequados sobre regras essenciais de segurança digital e proteção de informações, bem como sobre os perigos online e as ameaças virtuais.
• Empresas legítimas, órgãos de governo e bancos nunca pedem suas senhas. Você não precisa passar seu número do cartão de crédito para um suposto atendente do banco. Se tiver qualquer dúvida, entre em contato pelos canais oficiais da instituição ou vá até sua agência e pergunte ao seu gerente se tiver qualquer dúvida.
• Não entre em contato com golpistas. Fique tranquilo(a), o aviso de vírus no seu computador não é real. Qualquer detecção que não seja feita pela ferramenta de antivírus ou por recursos embutidos no sistema operacional é falsa. Se uma mensagem de vírus apareceu em um pop-up no seu navegador, você só vai correr risco se entrar em contato com o suposto ‘’suporte’’.

A maioria dos golpes de vishing são evitados com questionamentos simples. As dicas que nós oferecemos são muito importantes, mas sua melhor ferramenta de defesa é seu senso crítico e sua capacidade de questionar.