Não é segredo que a rápida digitalização da sociedade transformou profundamente os relacionamentos pessoais e comerciais. Estudos mostram que, em 2024, as perdas financeiras causadas por golpes online chegaram a R$ 10,1 bilhões, um aumento de 17% em relação ao ano anterior.
Essa transformação, no entanto, também ampliou a superfície de ataque para os cibercriminosos, que dependem cada vez mais da engenharia social para executar esquemas de fraude sofisticados.
Entre os mais comuns estão o phishing, smishing e vishing — práticas que, embora diferentes nos métodos utilizados, compartilham o mesmo objetivo: enganar as vítimas para roubar informações sensíveis, especialmente credenciais de acesso. Embora tradicionalmente associadas a golpes contra consumidores, essas formas de engenharia social também são altamente eficazes no ambiente corporativo. Os golpistas miram empresas para obter acesso a sistemas internos, comprometer cadeias de suprimentos e executar fraudes financeiras em larga escala.
Phishing, Smishing e Vishing são as mesmas ameaças?
Para começar a explicação, é importante entender que o termo engenharia social se refere a um conjunto de técnicas usadas por golpistas para manipular emocional e socialmente as vítimas, levando-as a agir contra seus próprios interesses e comprometendo sua segurança.
O phishing é o tipo mais conhecido desse tipo de golpe. Kits de phishing por e-mail podem ser encontrados na dark web. Para aqueles golpistas que não são especialistas no assunto, há quem execute o serviço por eles. Geralmente envolve o envio de e-mails ou mensagens que se passam por instituições confiáveis, como bancos, varejistas ou serviços online.
O objetivo é enganar o destinatário para que ele clique em links maliciosos que levam a sites falsos, muito semelhantes aos originais, com o intuito de capturar senhas e outras informações sensíveis, como números de documentos ou dados de cartão de crédito. Segundo dados do Serpro, o phishing continua sendo um dos tipos de fraude mais frequentes no Brasil, e os criminosos vêm aprimorando suas estratégias com o uso de inteligência artificial (IA) e deepfakes para criar conteúdos ainda mais convincentes e personalizados. Um caso recente foi a prisão de um homem por participação em um grupo criminoso que aplicava golpes utilizando vídeos manipulados com deepfake, com imagem e voz do apresentador Marcos Mion.
Os golpistas também realizam fraudes como o Business Email Compromise (BEC) e o golpe do falso CEO, com e-mails que se passam por executivos para induzir funcionários a transferir dinheiro ou fornecer credenciais.
Por outro lado, o smishing (combinação de SMS e phishing) utiliza mensagens de texto para enganar as vítimas. Com a popularização de aplicativos de mensagens como WhatsApp e Telegram, esse método ganhou força, explorando a tendência das pessoas de responder rapidamente a mensagens que parecem urgentes ou importantes.
Já o vishing (phishing por voz) é realizado por meio de chamadas telefônicas, nas quais o golpista se passa por um representante de empresa ou instituição. Um tom persuasivo, combinado ao uso de dados obtidos previamente em vazamentos, torna as vítimas mais propensas a compartilhar informações confidenciais pelo telefone. Esse tipo de golpe tem atingido cada vez mais empresas brasileiras, especialmente grandes corporações.
Contas antigas são os ativos mais valiosos para os criminosos
O crescimento dessas fraudes está diretamente relacionado ao valor que os ecossistemas baseados em contas representam. Uma conta antiga e confiável é mais valiosa para os criminosos do que o roubo direto de dinheiro. Isso porque contas com histórico de atividades legítimas têm menos chances de serem detectadas automaticamente por sistemas tradicionais de detecção de fraudes.
Os golpistas usam o phishing e suas variações em conjunto para obter acesso a essas contas, que podem ter anos de relacionamento e transações que validam sua reputação. Uma vez dentro, o criminoso pode estudar o histórico de compras, padrões de comportamento e, em alguns casos, até interagir com o atendimento ao cliente, fingindo ser o titular legítimo da conta.
Conforme apontado em relatório da Nethone, alguns fraudadores chegam a construir relacionamentos com atendentes de suporte, enganando-os para fazer alterações na conta que facilitem a execução do golpe — processo conhecido como account takeover (tomada de conta). Esse tipo de ataque não apenas causa perdas financeiras diretas, como também compromete a confiança nas plataformas e serviços digitais.
O impacto da inteligência artificial e da automação nas fraudes
Historicamente, campanhas de engenharia social exigiam planejamento, tempo e um certo grau de personalização manual. No entanto, a adoção em larga escala de modelos de linguagem generativos (LLMs) mudou completamente esse cenário.
Hoje, com ferramentas automatizadas baseadas em IA generativa, criminosos conseguem criar e lançar campanhas de phishing em minutos. Textos bem escritos, que antes exigiam fluência ou tempo para serem elaborados, agora são gerados automaticamente com alto grau de sofisticação. Como resultado, o volume e a frequência desses ataques aumentaram de forma alarmante.
Esse crescimento reflete não apenas o maior alcance das campanhas fraudulentas, mas também a eficiência das novas técnicas baseadas em IA e automação.
Quem pensa que phishing, smishing e vishing são riscos exclusivos de consumidores individuais está enganado. Empresas também são vítimas frequentes dessas fraudes, especialmente quando credenciais corporativas são expostas na dark web. De acordo com uma análise da Nethone, golpistas podem adquirir dados vazados de funcionários, obtendo acesso privilegiado a sistemas internos e bancos de dados sensíveis.
A partir daí, fazem movimentos sutis: estudam o comportamento de compra ou operação da empresa, criam interações com o suporte técnico ou comercial e manipulam gradualmente processos internos para realizar transações fraudulentas sem levantar suspeitas imediatas. Essa prática compromete não apenas a segurança da organização, como também a relação de confiança com clientes e parceiros.
Como se proteger dessas ameaças?
A proteção contra phishing, smishing e vishing envolve uma combinação de tecnologia, processos e conscientização.
Educação e conscientização: a primeira linha de defesa é sempre a pessoa. Tanto empresas quanto usuários precisam ser educados para reconhecer sinais comuns dessas fraudes, como erros ortográficos, urgência excessiva nas mensagens, solicitações de informações sensíveis e canais de comunicação incomuns.
Autenticação Multifator (MFA): mesmo que as credenciais sejam comprometidas, o uso de múltiplas camadas de autenticação dificulta o acesso não autorizado.
Monitoramento de Credenciais: ferramentas que monitoram a exposição de credenciais na dark web são essenciais para que empresas e indivíduos sejam rapidamente alertados sobre vazamentos.
Sistemas de Detecção de Fraudes Baseados em IA: assim como os criminosos, as empresas precisam recorrer à inteligência artificial para detectar padrões de comportamento anômalos que indiquem possíveis invasões ou tentativas de fraude.
Em tempos em que a confiança é uma moeda valiosa, proteger credenciais e manter uma postura vigilante é essencial para preservar a integridade digital de indivíduos e empresas.
