Il phishing vocale, o vishing, è una tecnica di social engineering veicolata tramite telefono, segreteria telefonica o chat vocale. Invece di inviare un link dannoso, l'attaccante usa urgenza, autorità o fiducia per convincere un bersaglio a rivelare credenziali, codici di accesso monouso, dettagli di recupero dell'account o informazioni interne. Lo spoofing delle chiamate e l'impersonificazione rendono queste truffe credibili, così la vittima può credere di parlare con un help desk, una banca, un fornitore o un dirigente.
Il vishing è importante perché prende di mira le persone e i processi aziendali, non solo il software. Negli attacchi reali, viene spesso usato per reimpostare password, registrare nuovi dispositivi MFA, aggirare i flussi di supporto o ottenere un punto d'appoggio prima di un'intrusione e di un'estorsione più ampie. I difensori riducono il rischio formando il personale a verificare i chiamanti tramite numeri noti, richiedendo approvazioni fuori banda per le richieste sensibili, limitando ciò che i team di supporto possono modificare e registrando il recupero degli account e le modifiche ai privilegi per la revisione.