O phishing é um golpe já estabelecido e frequente no mundo digital. No entanto, o vishing, que aplica algumas das mesmas táticas do phishing em chamadas de voz, está tomando cada vez mais espaço tanto em ataques direcionados como nas fraudes em massa que ocorrem em todo o mundo.
Esses ataques representam um risco considerável para diversos negócios, seja devido ao risco às redes corporativas ou aos dados financeiros e cartões de crédito utilizados em compras online. Em paralelo, o vishing é também utilizado como acessório em fraudes de médio e longo prazo para manipular investidores.
Vamos conferir melhor como cada um desses ataques vem acontecendo.
O potencial do vishing ficou muito evidente ao longo de 2025 nos ataques realizados pelo Scattered Spider e demais atores relacionados (como o "Scattered Lapsus$ Hunters").
Em vários incidentes, como os que atingiram varejistas no Reino Unido, relatos indicam que os hackers mantiveram contato por chamada de voz com analistas de suporte para solicitar alterações de credenciais em nome de colaboradores das empresas atacadas.
Esse contato com os analistas de suporte pode ter várias finalidades. Em algumas situações, os hackers podem já ter obtido a senha de acesso à conta, mas foram bloqueados pela autenticação multifator (MFA) e, nesse caso, eles só precisam convencer o analista a retirar o MFA da conta ou adicionar algum fator que esteja sob o controle do hacker.
Contudo, dependendo das políticas da empresa, é também possível que os invasores consigam convencer a equipe de help desk a redefinir a senha, fragilizando completamente a gestão de identidade na empresa.
Em outra campanha, que mirou dados armazenados nas instâncias de Salesforce das empresas, os hackers entraram em contato com os colaboradores se passando pelo departamento de TI. Com esse pretexto, foi possível convencer as vítimas a realizarem alterações nas instâncias Salesforce para conceder acesso dos invasores.
Olhando para esses cenários, podemos ver que o departamento de TI pode ser o alvo dos ataques de vishing ou ser utilizado em ataques aos colaboradores.
O Plump Spider, que atua no Brasil, também utilizou esta mesma narrativa, conforme já documentado pelo Axur Research Team. Os atacantes entram em contato com colaboradores das empresas alegando que é necessário realizar uma atualização ou adequação no software instalado no computador.
Após um contato telefônico inicial, os invasores podem continuar a comunicação por mensagens de texto, facilitando o envio de instruções mais complexas. Se o contato for bem-sucedido, os atacantes conseguem executar um programa malicioso que coleta dados sobre a rede corporativa, inclusive informações sobre senhas de redes Wi-Fi e endereços IP dos controladores de domínio.
Esse conjunto de exemplos evidencia a versatilidade do vishing em ataques direcionados. Ou seja:
É importante que as empresas estejam cientes da abrangência da fraude e suas implicações. A inteligência em ameaças cibernéticas (Cyber Threat Intelligence) é uma das principais aliadas para esse fim, podendo ser utilizada para direcionar mudanças nas políticas corporativas e em treinamentos internos.
Além de ser usado em ataques direcionados, o vishing é um componente relevante de várias fraudes que são realizadas em massa contra a população em geral.
Vejamos alguns exemplos:
Fraude de suporte técnico: Essa fraude é mais comum em países de língua inglesa. Os golpistas entram em contato com a vítima oferecendo algum tipo de auxílio técnico com o computador, mas o contato normalmente acaba exigindo que a vítima pague pelo "conserto" que será realizado ou até assine algum tipo de serviço. Para que a vítima caia no golpe, é bastante comum que o golpista sugira um diagnóstico falso.
Pig Butchering: No Pig Butchering, o golpista ganha a confiança da vítima aos poucos, solicitando dinheiro ou favores que sejam do interesse do criminoso. O contato por chamada de voz pode contribuir com esse processo, fazendo com que a vítima acredite no golpista. O PIg Butchering mescla elementos de várias outras fraudes para atingir o objetivo de
Golpe do amor: Muito semelhante ao Pig Butchering, o golpe do amor pode se estender por semanas ou meses. O criminoso assume um interesse romântico falso na vítima para convencê-la a enviar dinheiro. As chamadas de voz ajudam a elevar o grau de envolvimento, mas certos golpistas também se encontram presencialmente com suas vítimas.
Golpes de investimento e criptomoedas: Há diversos golpes que utilizam investimentos como isca. A oportunidade de investimento oferecida pelos criminosos normalmente faz parte de algum outro tipo de esquema, como "pump-and-dump" (em que ações são infladas por meio de informações falsas e posteriormente vendidas), "ramp-and-dump" (uma variação em que os próprios golpistas conduzem as transações que inflam o preço do ativo) e o "rug pull" (modalidade de fraude comum em cripto na qual os golpistas promovem um projeto ou criptoativo e o abandonam após conseguir o dinheiro dos investidores).
Há relatos de que algumas pessoas que trabalham nos "centros de contato" que conduzem essas fraudes são vítimas de tráfico humano. Elas seguem as orientações e um roteiro desenvolvidos pelos mentores do esquema.
Em julho de 2025, mais de cem pessoas foram presas no Paquistão e outras duas na Índia após ações policiais nessas instalações criminosas. Em agosto, outros nove foram presos na República Dominicana. Ações semelhantes ocorreram em diversos países ao longo da última década.
No Brasil, o cenário é um pouco diferente. Antes, eram recorrentes algumas fraudes por chamada de voz realizadas de forma rudimentar. Um dos principais exemplos é o falso sequestro, em que o golpista telefona para a vítima alegando que algum familiar dela foi raptado para tentar cobrar um resgate.
Contudo, uma série de fraudes automatizadas mudou completamente esse cenário. Esses golpes utilizam uma URA (Unidade de Resposta Audível), imitando um processo legítimo de atendimento.
Geralmente, o golpe é iniciado pelo próprio criminoso, com chamadas em massa para as vítimas. No entanto, também já foram observados casos em que o criminoso divulga um número de telefone por SMS.
Uma das narrativas mais comuns nesse tipo de golpe é a de que a vítima precisa confirmar ou recusar uma compra suspeita em seu cartão de crédito. A compra em questão nunca aconteceu, mas, caso a vítima se assuste com o valor relativamente elevado informado no início da ligação, ela pode acabar caindo no golpe e informando os dados do seu cartão aos criminosos.
A fraude tem um grau elevado de automatização. O roteiro da fraude é programado como um fluxo de atendimento, e tudo pode ser monitorado e configurado em um dashboard do sistema.
Dashboard para monitoramento de uma URA fraudulenta.
Fluxo de atendimento programado na URA para realizar fraude de forma autônoma.
Para realizar as chamadas ou enviar SMSs, os criminosos podem utilizar equipamentos como as chipeiras, nas quais dezenas de cartões SIM podem ser instalados para improvisar uma infraestrutura de telecomunicações.
De acordo com as autoridades russas, há um volume considerável de fraudes partindo de call centers localizados na Ucrânia.
Essas fraudes já aconteciam antes do conflito se agravar em 2022. No entanto, a Rússia agora afirma que essas chamadas telefônicas também têm sido utilizadas para convencer uma fatia mais frágil da população (principalmente os idosos) a iniciar incêndios criminosos no país, em especial nos centros de alistamento militar.
Após esses incidentes em 2023, a Rússia passou a considerar esses call centers como alvos militares.
Por ser uma categoria ampla de fraude, o vishing está associado a diversos riscos. Enquanto os ataques direcionados representam uma ameaça direta às redes corporativas, as fraudes em massa são um desafio para instituições financeiras e varejistas, uma vez que os dados roubados por meio destas fraudes quase sempre são utilizados em compras no comércio eletrônico.
O Threat Hunting da Axur permite que empresas identifiquem cartões e dados roubados, viabilizando o combate à fraude antes mesmo de um pedido ser concluído com o envio da mercadoria.
Como os ataques de vishing podem fragilizar a defesa oferecida pela autenticação multifator (MFA), o monitoramento de credenciais vazadas ajuda a prevenir o agravamento de incidentes que começam com usuários e senhas vazadas ou com tokens de autenticação roubados por stealers.
Para as instituições financeiras, monitorar a menção das marcas associadas ao negócio nos fóruns onde os criminosos se comunicam é uma das formas de se manter à frente desta fraude, em especial para as instituições financeiras.
Fale com um dos nossos especialistas para conhecer todas as funções da Plataforma Axur e como elas podem mitigar diversas ameaças.