Golpe da falsa central de atendimento do banco (vishing): como identificar e se proteger
Resposta rápida
O golpe da falsa central do banco é uma fraude por telefone (vishing) em que o criminoso liga se passando pela instituição financeira e alega que sua conta foi invadida. Sob pressão, ele induz a vítima a instalar apps de acesso remoto como AnyDesk, transferir dinheiro para uma suposta conta segura ou ditar códigos. Nenhum banco solicita isso por ligação: desligue e ligue você mesmo para o número oficial do cartão.
A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.
Sinais de alerta
- ›A ligação cria urgência extrema: dizem que sua conta foi invadida ou que há transações suspeitas que precisam ser bloqueadas agora mesmo.
- ›Pedem para você instalar um aplicativo de suporte ou acesso remoto, como AnyDesk, TeamViewer ou similar, para resolver o problema.
- ›Orientam a transferir o saldo para uma conta segura, conta espelho ou conta cofre em nome do próprio banco.
- ›Solicitam que você leia em voz alta o código recebido por SMS, o token do aplicativo ou a senha de transação.
- ›O número exibido no visor parece ser o do banco, porque o golpista usa falsificação de identificador de chamada (spoofing).
- ›Pedem que você não desligue, que fique em silêncio na linha ou que não comente com mais ninguém durante o processo.
Passo a passo — o que fazer
- 1
1. Desligue imediatamente
Encerre a ligação sem fornecer nenhum dado. Não importa o quanto o atendente pressione: nenhuma orientação legítima exige que você permaneça na linha enquanto movimenta dinheiro ou instala programas.
- 2
2. Ligue para o banco pelo número oficial
Disque você mesmo o telefone impresso no verso do cartão ou no aplicativo oficial. Nunca retorne para o número que ligou. Confirme se há de fato alguma transação ou bloqueio em sua conta.
- 3
3. Desinstale qualquer app de acesso remoto
Se instalou AnyDesk, TeamViewer ou similar, desinstale imediatamente e desligue a conexão de internet do aparelho. Esses programas permitem que o golpista veja e controle a tela enquanto você usa o banco.
- 4
4. Acione o Mecanismo Especial de Devolução (MED) do Pix
Se a transferência foi por Pix, abra o app do banco e registre a contestação pelo MED, criado pelo Banco Central para tentar bloquear e devolver valores enviados em golpes. Quanto mais rápido, maior a chance de recuperar.
- 5
5. Registre o boletim de ocorrência
Faça o B.O. presencialmente ou pela delegacia eletrônica do seu estado. Esse registro é exigido pelo banco para a análise de contestação e serve como prova formal do crime de estelionato.
- 6
6. Conteste formalmente a transação no banco
Abra uma reclamação no canal oficial pedindo o estorno e guarde o número de protocolo. Anexe o B.O. e o relato do golpe. Se o banco negar, escale para a ouvidoria e, se necessário, registre no Banco Central (canal 145) e no consumidor.gov.br.
- 7
7. Troque senhas e ative alertas
Altere a senha do internet banking e do aplicativo a partir de outro dispositivo confiável. Ative notificações de transação e, se disponível, limites e bloqueios adicionais para Pix e cartão.
O que NÃO fazer
- ✕Não instale nenhum aplicativo indicado por quem ligou, principalmente programas de acesso remoto como AnyDesk ou TeamViewer.
- ✕Não transfira dinheiro para conta segura, conta cofre ou conta espelho: esse tipo de conta não existe e o destino é sempre do criminoso.
- ✕Não leia nem digite códigos de SMS, tokens ou senhas para o atendente; esses dados autorizam transações em seu nome.
- ✕Não confie no número que aparece no visor, pois ele pode ser falsificado para imitar o do banco.
- ✕Não retorne a ligação pelo mesmo número nem clique em links enviados por mensagem durante o contato.
Como o golpe da falsa central funciona na prática
O golpe quase sempre começa antes da ligação. Muitas vezes a vítima recebe primeiro um SMS, e-mail ou notificação falsa avisando sobre uma compra suspeita, e em seguida vem a chamada de um suposto atendente que se oferece para resolver. Essa sequência dá credibilidade ao contato e explica por que a pessoa atende já preocupada.
Para parecer legítimo, o criminoso usa spoofing de chamada, técnica que falsifica o número exibido no celular para que apareça o telefone real do banco. Ele cita dados que pode ter obtido em vazamentos, como nome completo, parte do CPF e os quatro últimos dígitos do cartão, reforçando a sensação de que fala mesmo com a instituição.
A partir daí o roteiro tem três variações principais: pedir a instalação de um app de acesso remoto para que o golpista opere o banco pela tela da vítima; orientar a transferência do saldo para uma conta segura inexistente; ou induzir a leitura de códigos e tokens que autorizam transações. Em todos os casos, o objetivo é fazer a própria vítima autorizar a operação.
Segundo orientações de Banco Central, Febraban e CERT.br, a regra é simples: instituições financeiras não pedem instalação de programas, não mantêm contas seguras para guardar seu dinheiro e nunca solicitam que você informe códigos ou senhas por telefone. Qualquer pedido nesse sentido é fraude, independentemente do número que aparece na tela.
Como identificar a ligação falsa em poucos segundos
O sinal mais confiável é a combinação de urgência com instrução de ação financeira. Atendimentos legítimos não exigem que você movimente dinheiro ou instale algo enquanto está na linha. Se a conversa caminha para transferência, instalação de app ou leitura de código, trate como golpe e desligue.
Há um teste prático que neutraliza o spoofing: desligue e ligue você mesmo para o número oficial do banco. Como o golpista não controla a linha de saída, ele perde o contato e o roteiro desmorona. Por isso insistem tanto para você não desligar; a recusa em encerrar a chamada é, por si só, um indicador de fraude.
Desconfie também de pedidos de sigilo. Frases como não comente com ninguém ou não vá à agência existem para impedir que um familiar, gerente ou policial interrompa o golpe a tempo. Atendimento bancário verdadeiro nunca pede silêncio nem isolamento da vítima.
Cuida da segurança de uma empresa?
Veja de graça o que já vazou do seu negócio.
O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.
Comece grátis agoraProteja toda a sua organização com a Decripte
O mesmo vishing que ataca pessoas físicas é usado contra empresas, e o estrago tende a ser maior. No ambiente corporativo, a fraude evolui para o BEC por telefone (Business Email Compromise), em que o criminoso liga para o setor financeiro fingindo ser o banco, um fornecedor ou um diretor e solicita um pagamento urgente, a troca de dados bancários de um boleto ou a aprovação de uma transferência fora do fluxo normal.
A defesa contra esse tipo de engenharia social não é tecnológica e sim humana: o colaborador precisa reconhecer a pressão, validar o pedido por um canal independente e seguir um processo de dupla verificação para qualquer pagamento. Isso se constrói com treinamento contínuo e simulações realistas, não com um aviso isolado.
A Decripte oferece treinamento de conscientização e simulação de ataques de engenharia social, incluindo cenários de vishing e fraude financeira, para times de qualquer tamanho, de 1 a mais de 100.000 colaboradores. Há um plano gratuito para começar a testar a maturidade da sua equipe sem custo. Conheça a plataforma em decripte.com.br.
O que muda quando o golpe usa Pix, cartão ou empréstimo
Quando o prejuízo é por Pix, o caminho prioritário é o MED, o Mecanismo Especial de Devolução do Banco Central. Ele permite que o banco da vítima sinalize a fraude ao banco do recebedor e tente bloquear o valor ainda disponível na conta de destino. A janela de ação é curta, então registre a contestação assim que perceber o golpe.
Em transações com cartão de crédito ou débito, o caminho é a contestação por desconhecimento ou fraude junto à bandeira e ao emissor, que pode resultar em chargeback. Já quando o golpista contrata um empréstimo ou abre crédito em seu nome usando o acesso obtido, é preciso contestar a operação como fraude e exigir o cancelamento, anexando o B.O.
Em qualquer modalidade, reúna provas desde o primeiro momento: print das mensagens recebidas, número de telefone que ligou, horário, valores e protocolos. Esse conjunto fortalece a contestação no banco, no Banco Central pelo canal 145 e, se houver impasse, no consumidor.gov.br ou na Justiça.
Hábitos que reduzem o risco antes da próxima ligação
Adote como regra fixa nunca executar ações financeiras durante uma ligação recebida. Anote a justificativa do atendente, desligue e confirme tudo por um canal oficial que você mesmo iniciou. Esse único hábito derruba a maior parte das tentativas de vishing.
Reduza a superfície de exposição mantendo o aplicativo do banco atualizado, evitando instalar programas a pedido de terceiros e ativando todas as notificações de transação. Configure limites de Pix e de cartão compatíveis com seu uso real, para que um eventual desvio tenha teto baixo.
Por fim, converse sobre o golpe com pessoas próximas, especialmente idosos, que são alvos frequentes. Quem já conhece o roteiro reage com desconfiança em vez de medo, e a desconfiança no momento certo é a defesa mais eficaz contra a falsa central do banco.
Termos importantes
- Vishing
- Fraude de engenharia social feita por chamada de voz (voice phishing), em que o criminoso se passa por uma instituição confiável, como o banco, para enganar a vítima e obter dados ou autorizações.
- Spoofing de chamada
- Técnica que falsifica o número exibido no identificador de chamadas, fazendo aparecer no celular da vítima um telefone confiável, como o oficial do banco, mesmo sem ser a origem real da ligação.
- MED (Mecanismo Especial de Devolução)
- Procedimento do Banco Central que permite ao banco da vítima solicitar o bloqueio e a devolução de valores transferidos por Pix em casos de fraude ou erro, dentro de prazos definidos pela regulação.
- BEC (Business Email Compromise)
- Fraude direcionada a empresas em que o criminoso se passa por executivo, fornecedor ou instituição financeira para induzir pagamentos indevidos ou alteração de dados bancários; pode ocorrer por e-mail ou por telefone.
Perguntas frequentes
O banco pode mesmo ligar para mim?
Sim, bancos fazem contatos legítimos, mas nunca pedem instalação de aplicativos, transferência para contas seguras ou leitura de códigos e senhas por telefone. Na dúvida, desligue e ligue você mesmo para o número oficial do cartão.
O número que apareceu era o do banco. Ainda assim pode ser golpe?
Pode. Criminosos usam spoofing para falsificar o identificador de chamadas e exibir o número real do banco. O número visível não é prova de autenticidade; confie apenas em ligações que você mesmo iniciou pelos canais oficiais.
Caí no golpe e fiz um Pix. Consigo recuperar o dinheiro?
Há chance, principalmente se agir rápido. Registre a contestação pelo MED no aplicativo do banco, faça o boletim de ocorrência e formalize a reclamação. O valor só costuma ser devolvido se ainda estiver disponível na conta de destino.
Instalei o AnyDesk durante a ligação. O que faço agora?
Desinstale o aplicativo imediatamente, desligue a internet do aparelho e troque suas senhas a partir de outro dispositivo confiável. Em seguida, ligue para o banco pelo número oficial e verifique se houve transações não reconhecidas.
Existe conta segura ou conta cofre do banco?
Não. Conta segura, conta cofre e conta espelho são invenções do golpe. Bancos não pedem que você mova seu dinheiro para uma conta de proteção; qualquer pedido nesse sentido é fraude.
Onde denuncio o golpe além do banco?
Registre boletim de ocorrência na delegacia eletrônica do seu estado, reclame no Banco Central pelo canal 145 e use o consumidor.gov.br se o banco não resolver. Vale também relatar incidentes ao CERT.br para apoio ao combate de fraudes.
Esse golpe afeta empresas?
Sim. Contra empresas, o vishing costuma virar fraude financeira ou BEC por telefone, com criminosos pedindo pagamentos urgentes ou troca de dados bancários ao setor financeiro. Treinamento e dupla verificação de pagamentos são as defesas mais eficazes.
Segurança para empresas
A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.
Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.
