A voz subestimada dos ciberataques

Quando falamos de ciberataques, muitas vezes imaginamos malware, e-mails de phishing ou ransomware. Mas em muitas intrusões reais, o primeiro passo é muito mais subtil: é uma chamada telefónica!

 

O vishing, ou phishing por voz, baseia-se na interação humana direta para criar confiança, urgência e pressão. Uma chamada de voz bem elaborada pode parecer mais pessoal, mais credível e mais difícil de questionar, especialmente quando provém de uma fonte aparentemente legítima. No entanto, este vetor continua por testar na maioria das organizações.

 

Enquanto os e-mails de phishing são já amplamente simulados e compreendidos, os ataques por voz passam despercebidos. Poucos funcionários estão treinados para lidar com uma chamada suspeita e ainda menos sabem como reportá-la. Esta falta de preparação torna o vishing um método altamente atrativo tanto para equipas de Red Team como para atacantes reais que procuram acesso inicial.

 

 

Por que motivo o vishing é importante?

O que torna o vishing particularmente perigoso é a sua adaptabilidade e invisibilidade. Ao contrário do e-mail, uma chamada telefónica não fica registada nem pode ser isolada. Não há cabeçalhos para analisar, nem URL para examinar. O atacante pode mudar o tom, ajustar a sua história e pressionar mais se o alvo hesitar, tudo em tempo real.

 

O vishing explora tendências humanas subtis:

  • Respeito pela autoridade.
  • Medo de atrasar um processo.
  • Desconforto em dizer “não” durante uma conversa ao vivo.
  • O instinto de ajudar.

 

Informações de fonte aberta e redes profissionais facilitam que os atacantes pareçam credíveis. Com apenas um nome, um cargo e um pouco de pesquisa no LinkedIn, podem construir um cenário que parece suficientemente plausível para agir.

 

Apesar destes riscos, muitas organizações ainda não testam este vetor, embora, na nossa experiência, supere o phishing por e-mail em termos de taxa de sucesso e muitas vezes não seja reportado pelos funcionários. Isto não é apenas uma lacuna de formação: é um ponto cego estratégico.

 

 

Quando e como usar o vishing em exercícios de cibersegurança

Antes de integrar o vishing numa estratégia de testes de segurança, é importante reconhecer o que esta técnica é e o que não é. Ao contrário dos e-mails de phishing que podem ser automatizados e enviados em massa, o vishing é uma técnica direcionada, manual e altamente elaborada. Requer um certo nível de maturidade organizacional para ser significativo.

 

Começar com o básico

O vishing não é o primeiro passo de um processo de consciencialização sobre cibersegurança. Se as equipas de uma empresa ainda têm dificuldades em detetar e-mails básicos de phishing, então realizar uma simulação de vishing pode ser prematuro e ineficaz.

 

Este tipo de campanha pressupõe que:

  • Os funcionários já têm uma base sólida de consciencialização.
  • A organização já realizou exercícios de phishing.
  • Está na altura de testar cenários mais realistas e de alta pressão.

 

Lançar uma campanha de phishing por voz sem uma base sólida arriscaria confundir os funcionários mais do que educá-los e provavelmente resultaria em ruído em vez de insights valiosos.

 

Um exercício direcionado e personalizado – não um teste em massa

O vishing não é projetado para testes amplos em centenas de utilizadores. É, por natureza, focado e preciso.

 

Ao contrário do phishing, onde e-mails em massa podem lançar uma ampla armadilha, as simulações de vishing visam a profundidade em vez do volume. São tipicamente direcionadas a indivíduos que desempenham funções-chave, tais como:

  • Executivos e assistentes executivos.
  • Responsáveis financeiros e de procurement.
  • Intervenientes legais ou de conformidade.
  • Qualquer funcionário com acesso elevado ou influência em fluxos de trabalho críticos.

 

Estes são os tipos de indivíduos mais propensos a serem alvos de atacantes reais e aqueles em que uma tentativa bem-sucedida de vishing teria o maior impacto.

 

 

O que observamos no terreno

Nas muitas simulações de vishing que realizámos, uma coisa é consistente: uma chamada telefónica bem elaborada é muito mais poderosa do que a maioria das organizações espera.

 

Mesmo em ambientes maduros onde as simulações de phishing são geridas corretamente, os ataques baseados em voz continuam a gerar elevado envolvimento e revelam fraquezas críticas no comportamento humano.

 

Hesitação inicial... seguida de cooperação

Frequentemente observamos que os funcionários não confiam cegamente e muitos começam com hesitação. No entanto, uma vez que o atacante estabelece credibilidade mínima (referenciando um executivo, usando um tom familiar ou aplicando pressão subtil), a hesitação transforma-se em cooperação.

 

Seja assinar um documento falso, descarregar um ficheiro ou executar um comando, a curiosidade e a aparente legitimidade frequentemente sobrepõem-se ao instinto.

 

Os documentos apresentados ainda são amplamente credíveis

Em múltiplas simulações, os funcionários abriram ficheiros Excel contendo macros maliciosas apesar da formação em segurança. O formato, o tom e o contexto do pedido tornaram-no legítimo, e nenhum controlo técnico os impediu de ativar o conteúdo. Isto destaca um ponto cego recorrente: pretextos bem desenhados podem contornar tanto a tecnologia como a formação.

 

O reflexo de reporte é raro

Enquanto os e-mails de phishing são agora frequentemente reportados graças a campanhas de consciencialização, as tentativas de vishing quase nunca o são. Mesmo quando o utilizador suspeita de algo, raramente reporta uma chamada telefónica suspeita, especialmente quando é curta, educada e revestida de autoridade. Este silêncio pode dar aos atacantes tempo suficiente para avançarem sem serem observados.

 

Alguns utilizadores resistem – e isso é encorajador

Vimos funcionários a desafiar a pessoa do outro lado da linha, a pedir verificação ou a insistir na aprovação interna antes de agir. Estes comportamentos ainda não são a norma, mas são um sinal de que a consciencialização pode evoluir para um comportamento confiante e orientado para a segurança quando a cultura e formação adequadas estão implementadas.

 

 

Comparação de desempenho: phishing vs. vishing

Será o vishing realmente mais eficaz do que o phishing? Os números falam por si.

 

Ao longo de uma ampla gama de ataques simulados, observamos consistentemente que o vishing supera significativamente o phishing por e-mail, não apenas em taxas de sucesso, mas também na sua capacidade de permanecer não detetado.

 

Simulações de phishing

Os e-mails de phishing são agora uma ferramenta padrão em programas de consciencialização. A maioria das organizações realiza simulações regularmente, e os utilizadores estão cada vez mais treinados para identificar sinais de alerta.

  • Taxas de sucesso habituais: entre 3% e 15%, dependendo da maturidade da organização.

  • Alta taxa de reporte: em ambientes com boa formação, as tentativas de phishing são frequentemente escaladas ou sinalizadas, o que pode comprometer toda a atuação da Red Team.

 

Em resumo: o phishing ainda funciona, mas é ruidoso, expectável e frequentemente neutralizado rapidamente.

 

Simulações de vishing

O vishing, por outro lado, é muito menos antecipado. Contorna as caixas de entrada do e-mail e chega diretamente à zona de conforto de um funcionário: uma conversa ao vivo.

  • Taxas de sucesso habituais: raramente descem abaixo de 50%, mesmo em ambientes conscientes de segurança, onde a taxa de sucesso final varia entre 40% e 100%!

  • Reflexo de reporte muito baixo: a maioria dos utilizadores não sabe como, ou não se sente capacitada para escalar uma chamada suspeita.

 

Os cenários de vishing não só têm mais sucesso: também duram mais tempo antes de serem identificados, dando aos atacantes mais tempo para aprofundar o acesso ou mudar de direção.

 

A perspetiva do atacante

Atacantes reais, assim como as modernas Red Teams, sabem que o vishing oferece um caminho de menor fricção e maior impacto para o acesso inicial. É flexível, reativo e capitaliza o comportamento humano de uma forma que os e-mails já não conseguem. É por isso que cada vez mais dependemos dele, e os agentes de ameaças também.

 

 

O que o vishing revela sobre as organizações

Uma campanha de vishing não testa apenas quão bem os funcionários reconhecem o engano: coloca o foco na cultura de segurança como um todo, nos processos de escalonamento e na resiliência a nível humano.

 

Eis o que uma simulação de vishing bem executada pode revelar:

 

Reflexos comportamentais sob pressão

Os funcionários questionam pedidos inesperados? Pedem verificação ou simplesmente obedecem? Uma chamada telefónica força decisões em tempo real, sem tempo para analisar links ou encaminhar o e-mail para a equipa de IT. É aí que o instinto, o treino e as normas organizacionais entram em jogo. O vishing mostra como as pessoas reagem quando são apanhadas desprevenidas.

 

A maturidade da cultura de escalonamento e resposta

Se algo parece errado, os funcionários sentem-se confiantes para parar o processo? Sabem a quem ligar, como e o que reportar? Em muitos casos, o vishing expõe uma falta de reflexos claros de escalonamento, não devido a negligência, mas devido à incerteza ou medo de estar errado.

 

Visibilidade sobre riscos negligenciados

Alguns cargos são alvos de alto valor, mas não estão incluídos nas revisões de acesso técnico ou simulações de phishing. O vishing frequentemente revela quem os atacantes iriam atingir, não com base em permissões, mas em influência, reatividade e confiança.

 

O impacto real dos programas de consciencialização

Os utilizadores estão apenas a clicar nos e-learnings ou estão realmente a absorvê-los? O vishing ajuda a medir quanto a consciencialização se traduz em resistência na vida real, e se é necessária uma aprendizagem mais prática e experiencial.

 

O vishing não testa apenas indivíduos: revela quão bem as pessoas, processos e cultura se unem sob pressão. E isso é o que determina, em última análise, a capacidade de as organizações pararem uma intrusão real.

 

 

Como ajudamos as organizações a realizarem simulações realistas de vishing

Desenvolvemos e executámos exercícios de vishing em várias indústrias: desde finanças e administração pública até tecnologia e infraestruturas críticas. Cada iniciativa é construída para ser realista, respeitosa e impactante, com o objetivo de melhorar a resiliência sem criar medo ou culpa.

 

Cuidamos de todo o processo, incluindo:

  • Seleção de alvos e desenho de cenários

    Adaptamos cada campanha ao ambiente da empresa, ao seu perfil de risco e aos tipos de atacantes que a organização provavelmente enfrentará.

  • Elaboração de scripts e engenharia de pretextos

    Cada chamada é construída com base em técnicas psicológicas comprovadas: urgência, credibilidade, pressão, tudo adaptado ao contexto da empresa.

  • Execução ao vivo por operadores treinados

    Os nossos operadores são profissionais experientes, capazes de se adaptarem em tempo real às reações dos funcionários.

  • Relatórios detalhados e análise comportamental

    Além das métricas de sucesso, fornecemos insights sobre reflexos, hábitos de escalonamento e comportamento do utilizador, sem nomear ou envergonhar.

  • Recomendações acionáveis

    Ajudamos a transformar as descobertas em melhorias concretas: workshops de consciencialização, fluxos de trabalho de escalonamento e reforço específico para cada função.


Seja como uma campanha independente ou como parte de uma iniciativa mais ampla de Red Teaming, as simulações de vishing são uma das ferramentas mais poderosas para testar o que as defesas das organizações não conseguem registar – as suas pessoas.
Partilha este artigo