Vishing e smishing: os golpes por ligação e SMS explicados

Gabriel R. Cruz junho 06, 2026

Vishing e smishing são variações do clássico ataque de phishing, utilizando canais móveis para enganar as vítimas. O vishing (voice phishing) ocorre quando cibercriminosos usam ligações telefônicas fraudulentas para roubar dados ou dinheiro, muitas vezes se passando por bancos ou suporte técnico. Já o smishing (SMS phishing) utiliza mensagens de texto falsas contendo links maliciosos que induzem a vítima a instalar malwares ou fornecer senhas em páginas clonadas.

Principais Aprendizados

  • Vishing: Golpes aplicados via chamadas de voz (telefone ou VoIP), criando senso de urgência.
  • Smishing: Golpes disparados por SMS ou aplicativos de mensagens contendo links maliciosos.
  • Prevenção: Bancos reais nunca pedem senhas por telefone ou enviam links não solicitados por SMS.

O que é Vishing (Voice Phishing)?

O vishing é uma tática onde o golpista utiliza a voz humana ou sistemas automatizados (URAs) para manipular o alvo. O objetivo primário é extrair informações confidenciais, como números de cartão de crédito, senhas ou tokens de autenticação.

Segundo o Internet Crime Complaint Center (IC3) do FBI, ataques baseados em phishing, incluindo o vishing, são os crimes cibernéticos mais reportados anualmente, causando prejuízos na casa dos bilhões de dólares globais.

Como o Vishing funciona na prática

Os criminosos costumam utilizar uma técnica chamada Caller ID Spoofing (mascaramento do identificador de chamadas). Isso faz com que o número que aparece na tela do seu celular seja idêntico ao número oficial do seu banco ou de uma instituição governamental.

Ao atender, a vítima geralmente ouve uma gravação informando sobre uma "compra suspeita" ou um "bloqueio de conta", sendo orientada a digitar dados no teclado ou falar com um falso atendente. Esse nível de manipulação é um exemplo claro de engenharia social, onde o medo e a urgência são usados como armas.

Tela de celular com chamada de vishing

O que é Smishing (SMS Phishing)?

O smishing segue a mesma lógica, mas a isca é enviada por mensagem de texto (SMS). Devido à alta taxa de abertura dos SMS em comparação com e-mails, os golpistas encontram nesse canal um terreno fértil para espalhar links maliciosos em massa.

No Brasil, a Federação Brasileira de Bancos (Febraban) alerta constantemente sobre o aumento exponencial de fraudes via SMS, especialmente aquelas que simulam atualizações de tokens ou falsos prêmios.

A isca perfeita: urgência e falsos prêmios

As mensagens de smishing geralmente contêm frases como:

  • "Sua conta foi bloqueada. Acesse o link para regularizar."
  • "Compra aprovada no valor de R$ 4.500. Se não reconhece, clique aqui."
  • "Você ganhou um bônus exclusivo! Resgate agora."

Ao clicar no link, a vítima é redirecionada para uma página falsa que imita o site oficial do banco ou é induzida a baixar um aplicativo que contém malware. Em alguns cenários avançados, a coleta de dados via smishing serve como passo inicial para um ataque de SIM swap (clonagem do chip).

Vishing vs. Smishing: Qual a diferença?

Embora ambos busquem o mesmo resultado (roubo de dados e dinheiro), a execução difere fundamentalmente. O vishing requer uma interação em tempo real, exigindo que o golpista tenha habilidades de persuasão e improviso para manter a vítima na linha. Já o smishing é um ataque assíncrono e escalável; um criminoso pode disparar milhares de SMS de uma só vez usando ferramentas automatizadas, aguardando que uma pequena porcentagem clique no link.

Vale notar que esses ataques também podem ser altamente direcionados. Quando um golpista estuda um alvo específico antes de ligar ou enviar mensagens, estamos lidando com táticas semelhantes ao spear phishing, onde o nível de personalização torna o golpe quase imperceptível.

Hacker enviando ataques de smishing

Como se proteger dessas ameaças digitais

A defesa contra vishing e smishing baseia-se muito mais no comportamento humano do que em softwares de proteção, embora ambos sejam necessários. Siga este checklist de segurança:

  • Desconfie do identificador de chamadas: Números podem ser falsificados (spoofing). Se o banco ligar pedindo dados, desligue e ligue você mesmo para o número oficial impresso atrás do seu cartão.
  • Nunca clique em links por SMS: Instituições financeiras não enviam links por SMS pedindo sincronização de token ou senhas.
  • Não ceda à urgência: Golpistas criam pânico. Pare, respire e analise a situação antes de tomar qualquer atitude.
  • Use filtros de spam: Ative os recursos nativos do Android e iOS para bloquear números desconhecidos ou sinalizar SMS suspeitos.

Perguntas Frequentes

1. O que devo fazer se eu atender uma ligação de vishing?

Desligue imediatamente. Não confirme nenhuma informação pessoal, não diga "sim" (pois sua voz pode ser gravada) e não digite nenhum número no teclado do telefone. Em seguida, bloqueie o número.

2. Clicar no link de um smishing já infecta o meu celular?

Na maioria das vezes, apenas clicar no link redireciona você para uma página falsa. O roubo ocorre se você preencher seus dados nessa página ou se fizer o download de algum arquivo (APK) oferecido pelo site malicioso. Contudo, vulnerabilidades de dia zero podem, em casos raros, permitir infecções apenas pelo clique.

3. Os bancos podem me ligar para alertar sobre fraudes reais?

Sim, os bancos possuem sistemas preventivos e podem ligar. No entanto, um atendente real do banco nunca pedirá sua senha, seu token (código de segurança) ou solicitará que você faça transferências (PIX/TED) para "contas seguras" a fim de proteger seu dinheiro. Na dúvida, desligue e contate sua agência.

Tags
Gabriel R. Cruz

Postado por Gabriel R. Cruz

Postar um comentário

0 Comentários

Contact form