Logo HSC-01
  • Soluções
  • Parceiros
  • Empresa
  • Materiais
  • Suporte
  • Blog
  • Contato
Free Trial

Callback phishing: o que é e como se proteger

Os ataques de phishing continuam entre as principais ameaças à segurança digital das empresas, mas os criminosos não param de aperfeiçoar suas táticas. Uma das mais recentes é o callback phishing, uma variação que tem chamado a atenção justamente por ter mais sucesso em escapar das soluções tradicionais de segurança de e-mail.

O golpe se baseia em algo simples: em vez de induzir o usuário a clicar em um link malicioso, ele o convence a ligar para um número de telefone. A partir daí, a fraude se desenrola por outro canal, explorando o contato humano para enganar a vítima e obter acesso a dados, senhas e sistemas corporativos.

Neste artigo, você vai saber mais sobre o que é o callback phishing, como ele funciona e quais práticas podem proteger sua empresa dessa ameaça.

Principais tópicos deste artigo

O que é callback phishing

Callback phishing é um tipo de golpe que combina e-mail e engenharia social para enganar as vítimas. O termo vem do inglês “callback”, que significa “retornar a ligação”, e descreve exatamente o que os criminosos esperam que o usuário faça.

Em vez de clicar em um link ou abrir um anexo, como acontece em ataques de phishing tradicionais, o e-mail pede que a vítima ligue para um número de telefone. O conteúdo da mensagem normalmente menciona uma cobrança indevida, renovação de assinatura ou alerta de segurança, criando um senso de urgência.

Esse formato tem chamado a atenção de especialistas em cibersegurança porque é mais eficiente em burlar filtros tradicionais de antispam e antiphishing. Como não há links ou anexos maliciosos, os e-mails têm menos sinais de alerta, mas na verdade são o primeiro passo para um ataque mais complexo.

Conheça a melhor solução de proteção de e-mail

Agende seu free trial

Como o callback phishing funciona na prática

O callback phishing segue uma estrutura bem planejada. Tudo começa com um e-mail genérico que aparenta vir de uma empresa conhecida, como um serviço de streaming, software ou banco. A mensagem informa sobre uma cobrança automática, assinatura renovada ou uma suspeita de atividade indevida.

No texto, o usuário é orientado a ligar para um número de suporte para cancelar a cobrança ou resolver o problema. Ao atender a ligação, ele fala com golpistas que se passam por atendentes legítimos. É neste ponto em que o golpe assume as características de um vishing, o phishing por telefone.

Durante a conversa, os criminosos aplicam técnicas de engenharia social para ganhar a confiança da vítima. Em muitos casos, pedem que ela instale softwares de acesso remoto, execute comandos no computador ou forneça credenciais corporativas. Com isso, conseguem acesso ao sistema da empresa, dados confidenciais e até credenciais de administrador.

Alguns ataques conhecidos seguem roteiros idênticos, com scripts padronizados e vozes treinadas para parecer profissionais de suporte técnico. Em empresas com baixa conscientização, o golpe pode evoluir para um ataque de ransomware ou vazamento de informações sensíveis.

Por que o callback phishing é tão perigoso

O principal risco do callback phishing está em sua sutileza. Por não conter anexos ou links, ele passa despercebido por muitos filtros de segurança de e-mail. Além disso, o ataque transfere a fraude para outro canal — o telefone — tornando mais difícil o rastreamento e a detecção automatizada.

Outro fator é o componente humano. A vítima acredita estar tomando uma atitude segura ao entrar em contato com o suporte, sem perceber que está falando com os próprios criminosos. O contato direto por voz aumenta a credibilidade do golpe e reduz a desconfiança, o que eleva a taxa de sucesso.

Em empresas, o impacto pode ser crítico. Se o golpista obtiver acesso remoto a uma máquina corporativa, ele pode movimentar-se pela rede, roubar dados sensíveis ou instalar malwares capazes de comprometer toda a infraestrutura.

Veja como a HSC Labs melhorou a segurança de e-mail do MP-Bahia

Leia o estudo de caso

Alvos mais comuns

Os golpistas costumam direcionar o callback phishing a perfis corporativos, principalmente funcionários de setores administrativos e financeiros, que lidam com pagamentos, autorizações e informações sigilosas.

Empresas que utilizam plataformas de e-mail amplamente conhecidas, como Microsoft 365 e Google Workspace, também estão entre os alvos preferenciais, justamente por terem grande volume de usuários e dependerem intensamente da comunicação por e-mail.

Entre os setores mais visados estão serviços financeiros, indústrias, empresas de tecnologia e escritórios que manipulam dados sensíveis de clientes.

Como se proteger de callback phishing

Conscientização e treinamento contínuo

A principal defesa contra o callback phishing é o conhecimento. Programas de conscientização ajudam os usuários a reconhecer mensagens suspeitas e a agir corretamente diante de um possível golpe.

O MindAware, solução da HSC Labs voltada para conscientização em cibersegurança, oferece treinamentos contínuos e simulações realistas que capacitam os colaboradores a identificar ameaças e reduzir o risco de incidentes.

Soluções de segurança de e-mail avançadas

Tecnologias modernas de segurança de e-mail vão além da simples detecção de anexos e links maliciosos. Soluções como o MailInspector, da HSC Labs, utilizam inteligência artificial e análise comportamental para identificar padrões de ataque, mesmo quando o conteúdo do e-mail parece legítimo.

A ferramenta analisa contexto, remetente e linguagem da mensagem, bloqueando comunicações fraudulentas antes que cheguem à caixa de entrada. Isso amplia a proteção contra novas táticas de phishing, como o callback.

Políticas internas e resposta a incidentes

Além da tecnologia, é fundamental estabelecer políticas claras para confirmar comunicações suspeitas.

  • Funcionários devem ser orientados a não ligar para números fornecidos por e-mails desconhecidos.

  • Toda confirmação deve ser feita por canais oficiais da empresa.

  • As equipes de TI precisam manter planos de resposta a incidentes e revisar periodicamente suas políticas de segurança e autenticação.

Evite golpes de callback phishing com as soluções da HSC Labs

A HSC Labs ajuda sua empresa a evitar golpes como callback phishing por meio de soluções avançadas de segurança de e-mail e programas de conscientização de usuários. Reduza os riscos antes que o golpe chegue à caixa de entrada.

Fale com um especialista!

selo-proud-partner-gca-black

Inscreva-se para receber notícias de cybersecurity

Bloqueie ataques que passam despercebidos por Microsoft e Google

Microsoft-365-color
Google-workspace-color

Treine a sua equipe em cibersegurança

Comece Agora