Vishing e smishing são variações do phishing. No vishing, o golpe chega por voz — uma ligação em que o criminoso se passa por um banco ou suporte técnico. No smishing, chega por SMS, com um link ou pedido falso. Os dois usam as mesmas iscas: urgência e autoridade. A defesa é a mesma lógica: nunca confirmar dados por ligação recebida, verificar pelo canal oficial e usar MFA por aplicativo.
Quando se fala em golpe digital, a imagem que vem à cabeça é o e-mail suspeito. Mas os criminosos foram atrás de onde as pessoas menos desconfiam: a ligação telefônica e a mensagem de texto. Vishing (voice phishing) e smishing (SMS phishing) são exatamente isso — o mesmo golpe de sempre, entregue por canais em que a guarda costuma estar baixa.
Como funcionam
A mecânica é a mesma do phishing tradicional: fingir ser uma fonte confiável e induzir a vítima a agir rápido. O que muda é o canal. Os cenários mais comuns são:
- O falso banco: uma ligação (vishing) alertando sobre uma "compra suspeita" ou "acesso indevido" na sua conta. O golpista pede que você confirme dados, senhas ou até transfira o dinheiro para uma "conta segura".
- O falso suporte: alguém liga se passando por técnico de uma empresa conhecida e diz que seu computador ou celular está comprometido, pedindo acesso remoto ou credenciais para "resolver o problema".
- O código por SMS: uma mensagem (smishing) com um link falso de entrega, banco ou promoção — ou o golpista liga pedindo que você leia em voz alta o código de verificação que acabou de receber por SMS, e assim assume o controle da sua conta.
O objetivo final é sempre o mesmo: capturar uma credencial, um código de acesso ou convencer alguém a transferir dinheiro.
Por que enganam
Voz e SMS são poderosos porque exploram gatilhos psicológicos difíceis de resistir no calor do momento — os mesmos usados na engenharia social:
- Urgência: "sua conta será bloqueada em minutos", "detectamos uma transação agora". A pressa impede a pessoa de parar e verificar.
- Autoridade: a voz firme de um "gerente do banco" ou "técnico oficial" inibe o questionamento. Poucos ousam desconfiar de quem parece estar no comando.
Como se proteger
A regra de ouro é simples: desconfie de qualquer contato que você não iniciou. Na prática, isso significa:
- Nunca confirmar dados por ligação recebida: banco de verdade não pede senha, código ou dados completos por telefone. Diante da dúvida, encerre a ligação — sem hesitar.
- Verificar pelo canal oficial: se a mensagem ou ligação parecer legítima, desligue e ligue você mesmo para o número oficial da instituição, ou acesse o app diretamente. Nunca use o número ou link que veio na mensagem suspeita.
- MFA por aplicativo: prefira autenticação em múltiplos fatores por app autenticador em vez de código por SMS. Assim, mesmo que alguém tente arrancar um código de você por telefone, o segundo fator continua protegido.
- Nunca ler códigos em voz alta: um código de verificação é seu e só seu. Nenhuma empresa legítima vai pedir que você o repita numa ligação.
Onde o Argos entra
O Argos é o SOC gerenciado 24h da NoBug: uma equipe humana somada à IA vigia seu ambiente sem parar, faz a triagem dos alertas em português e reage aos incidentes por você. Golpes por voz e SMS miram pessoas, mas quase sempre têm um objetivo maior — chegar aos sistemas da empresa. Com o SOC gerenciado monitorando acessos e comportamentos suspeitos, uma credencial vazada num golpe de vishing não vira um incidente silencioso. Todo o monitoramento roda com os dados no Brasil, e sempre há alguém acompanhando — inclusive fora do horário comercial.
- Vishing é phishing por voz (ligação); smishing é phishing por SMS. Ambos são variações do phishing.
- Os golpes mais comuns são o falso banco, o falso suporte e o pedido de código por SMS.
- Eles enganam explorando urgência e autoridade para baixar a guarda da vítima.
- Proteja-se: nunca confirme dados por ligação recebida, verifique pelo canal oficial e use MFA por app.