// INICIALIZANDO SISTEMA...
Falar no WhatsApp

Utilizamos cookies essenciais para o funcionamento do site. Ao continuar, você concorda com nossa Política de Privacidade e com a LGPD.

CyberZ
Fale Conosco
CyberWiki / Engenharia Social / Vishing — Phishing por Voz
● Intermediário 16 min de leitura Vishing Telefone Spoofing Deepfake Engenharia Social Call Center

Vishing — Phishing por Voz

Vishing (voice phishing) usa ligações telefônicas para manipular vítimas. Bypassa completamente filtros técnicos de email e web. Com spoofing de caller ID e deepfake de voz, atacantes se passam por CEOs, bancos e suporte técnico com alta taxa de sucesso.

Por que Vishing é Eficaz

O canal de voz transmite urgência, emoção e autoridade de forma que texto não consegue. A vítima não tem tempo para pensar — a pressão é em tempo real. Filtros técnicos (antispam, antivírus) não existem para telefonemas. A maioria das pessoas ainda confia instintivamente em ligações de números conhecidos.

Técnicas de Vishing

Caller ID Spoofing

-- Exibir qualquer número no identificador de chamadas da vítima
-- Ferramentas: SpoofCard, Twilio, Asterisk PBX customizado

-- Exemplos de spoofing eficaz:
-- Número do banco da vítima (0800 do Bradesco/Itaú)
-- Número interno da empresa (ramal do CEO, TI, RH)
-- Número de suporte da Microsoft/Apple
-- Número de órgão governamental (Receita Federal, ANATEL)

# Via Twilio (API):
# Configurar number = qualquer número verificado ou comprado
# A vítima vê o número spoofado no celular

Pretextos Mais Eficazes

-- Banco / Prevenção a Fraudes:
"Detectamos uma transação suspeita na sua conta.
 Preciso confirmar seus dados para cancelar."
→ Coleta: CPF, senha, token OTP, dados do cartão

-- Suporte Técnico (Microsoft, Apple, operadora):
"Seu computador está enviando vírus para nossa rede.
 Preciso de acesso remoto para resolver."
→ Instala malware (AnyDesk, TeamViewer malicioso)

-- RH interno:
"Sou da folha de pagamento. Precisamos atualizar
 seus dados bancários para o próximo salário."
→ Redireciona salário para conta do atacante

-- CEO / Diretoria:
"Aqui é o João (CEO). Preciso que você processe
 uma transferência urgente e sigilosa agora."
→ BEC via voz — mais impactante que por email

-- Suporte de TI interno:
"Aqui é a TI. Estamos migrando o sistema hoje.
 Preciso da sua senha temporariamente."
→ Coleta credenciais corporativas

Deepfake de Voz

-- IA pode clonar voz com 3-10 segundos de áudio
-- Fontes de áudio: YouTube, podcasts, redes sociais, eventos

-- Casos reais:
-- 2019: CEO de empresa britânica transferiu €220k após
   ligação com voz deepfake do CEO alemão da matriz
-- 2023: banco em Hong Kong transferiu US$25M após
   videoconferência com deepfakes de executivos

-- Ferramentas de clonagem de voz:
-- ElevenLabs (comercial, mas acessível)
-- RVC (Real-time Voice Cloning — open source)
-- Tortoise TTS
-- Bark

-- Com 30 segundos de áudio do YouTube:
-- Qualidade suficiente para enganar em chamada telefônica
-- Qualidade de deepfake de vídeo requer mais dados mas melhorou drasticamente

Vishing em Red Team

-- Metodologia de campanha de vishing:

1. OSINT: coletar nome, cargo, ramal, projetos da vítima
2. Criar pretexto contextualizado
3. Spoofar número relevante (banco, TI interna, fornecedor)
4. Ligar e executar o ataque
5. Documentar: o que funcionou, quanto tempo levou, o que foi obtido

-- Métricas de relatório:
-- % de vítimas que forneceram senha
-- % que instalaram software de acesso remoto
-- % que fizeram transferência
-- % que relataram a ligação suspeita

-- Ferramentas:
-- Social Engineering Toolkit (SET): payloads de vishing
-- Viproy: framework VoIP para testes
-- SIPVicious: scanner de VoIP/SIP

Vishing Híbrido (Email + Ligação)

-- Sequência mais eficaz:
1. Email: "Entraremos em contato amanhã sobre sua conta"
2. Ligação no dia seguinte referenciando o email
   "Conforme nosso email de ontem..."
   → Vítima já espera a ligação → mais confiança

-- Callback phishing:
1. Email com nota fiscal falsa de alto valor
2. "Para contestar, ligue: 0800-XXXX-XXXX"
3. A vítima liga para o atacante (não o contrário)
   → Maior confiança pois a vítima iniciou o contato

Prevenção

  • Código de Verificação Interno — estabelecer palavra-código entre equipes para confirmar identidade em ligações sensíveis
  • Política de Não-Urgência — qualquer pedido urgente por telefone deve ser pausado e verificado por canal alternativo
  • Treinamento com Simulações — campanhas de vishing simulado com relatório de quem cedeu informações
  • Nunca Instalar Software a Pedido — TI legítima não pede acesso remoto por ligação não solicitada
  • Verificar Número Real — buscar o número oficial no site, não confiar no caller ID
  • Autenticação de Voz Deepfake — para executivos, usar canais verificados (Signal com chave conhecida) para pedidos financeiros
Quer testar isso na prática?
A CyberZ realiza testes autorizados de segurança usando as técnicas descritas neste artigo — e muito mais. Identifique suas vulnerabilidades antes que os invasores o façam.
Falar com Especialista