Com pouco mais de seis meses de funcionamento, o sistema de pagamento instantâneo (Pix) brasileiro é um sucesso. Um estudo recente do Banco Central do Brasil (Bacen) mostra que seu uso já supera o de outros meios de pagamentos, como DOC, TED, transferência e boleto bancário. Mais de 1,5 bilhão de transações já foram realizadas pelo Pix e movimentaram mais de R$ 1,109 trilhão.
No fim de março, já havia mais de 206 milhões de chaves registradas para o recebimento de recursos: elas podem ser e-mail, CPF, CNPJ, celular ou número aleatório. Muito mais inclusivo do que outros métodos por não estar atrelado a contas nos bancos tradicionais, o crescimento do protocolo atinge 45% ao mês, em média, segundo dados da fintech Spin Pay.
Esses bons resultados têm atraído, além de novos adeptos para o sistema, a atenção de golpistas. Loucos para conseguir reais facilmente, eles não param de criar formas de enganar os usuários da ferramenta. A agilidade do Pix tem servido aos criminosos, já que permite movimentações rápidas e gratuitas a qualquer dia e horário. Com isso, a vítima tem menos tempo para perceber a artimanha e pode não conseguir cancelar a operação.
Por isso, é essencial ficar atento para evitar ser vítima de fraude na plataforma. Conheça, a seguir, os principais golpes que envolvem o sistema e veja como se proteger deles.
1. Clonagem de WhatsApp
Esse é um dos ataques mais comuns e existe desde muito antes de o Pix ser lançado. Com a nova tecnologia, a clonagem foi aprimorada. A primeira etapa do golpe é o contato com a vítima: o criminoso finge ser representante de uma empresa e solicita um código de segurança ao proprietário da conta como se ele fosse necessário para atualização, manutenção ou confirmação de cadastro.
Só que esse código permite o sequestro do perfil: se o usuário não tiver habilitado a autenticação em duas etapas, basta essa informação para que a conta de WhatsApp seja instalada em um dispositivo diferente. Com acesso ao perfil, o golpista aborda os contatos da vítima e pede ajuda financeira, de preferência com transferência por Pix. Depois que o dinheiro é transferido, recuperá-lo é pouco provável, já que a transferência é feita por vontade própria (mesmo que seja motivada por um golpe).
Uma variação desse ataque é a da falsa pesquisa sobre COVID-19. O golpista se passa por representante do Ministério da Saúde e faz perguntas sobre sintomas relacionados à doença. Ao fim do contato, solicita que o usuário informe um código recebido por SMS, como se fosse um dado necessário para confirmar a realização da pesquisa, mas a ideia é usá-lo para clonar o WhatsApp da vítima.
2. Perfil falso no WhatsApp
Esta modalidade geralmente é relacionada à clonagem da conta — é como se fosse um upgrade do método. Depois de sequestrar a conta da vítima, o golpista passa a usar fotos suas, obtidas em redes sociais. Em seguida, ele passa a procurar os contatos da vítima. Como o número de celular é desconhecido, ele alega que teve de trocá-lo. Em seguida, diz que está em uma emergência e pede uma transferência via Pix.
Por isso, é muito importante ter cuidado com a exposição de dados em redes sociais. E mais: vale ficar atento quando receber mensagens de contatos com números novos, especialmente se eles pedirem dinheiro com urgência. Antes de fazer um Pix, entre em contato com a pessoa por chamada telefônica ou pessoalmente (pelo WhatsApp não vale, porque a conta pode estar em posse de criminosos).
3. Engenharia social aprimorada
Mais uma evolução do golpe da clonagem de perfil do WhatsApp. Já faz algum tempo que a versão simples do ataque é combatida com o uso da autenticação em duas etapas e isso tem levado os criminosos a incluírem uma segunda fase à ação.
Depois de obter o código enviado por SMS, o golpista entra em contato com a vítima e se apresenta como integrante da equipe de suporte do WhatsApp. Ele informa ao usuário que identificou uma suposta atividade maliciosa na conta e que enviou um e-mail para que ele recadastre a dupla autenticação.
A vítima, de fato, recebe uma mensagem legítima do WhatsApp. Ela contém um link para a redefinição da verificação em duas etapas (Two-Step Verification Reset). Ao clicar nele, o usuário desabilita a proteção. O golpista, então, aproveita que a conta está desprotegida para seguir com o golpe.
4. Central de relacionamento bancária falsa
Nesta modalidade, o criminoso se aproveita do desconhecimento sobre as formas de cadastro das chaves Pix. Ele se passa por funcionário do banco em que a vítima tem conta e oferece ajuda para efetuar o cadastro ou informa que é preciso fazer um teste com o sistema de pagamentos para regularizar o registro. A vítima, então, é induzida a fazer uma transferência via Pix.
Segundo a Federação Brasileira de Bancos (Febraban), as instituições financeiras não solicitam dados pessoais de seus clientes ativamente e seus funcionários não ligam para fazer testes com o Pix. Por isso, não se deve passar informações por telefone e, em caso de dúvida, vale a pena procurar os canais oficiais da instituição bancária para confirmar a necessidade de atualização de dados, bem como antes de fazer movimentações.
5. Bug do Pix
Essa fraude começa em mensagens e vídeos divulgados em redes sociais. São fake news que afirmam que um bug no Pix permite que o usuário receba de volta um prêmio em dinheiro quando transfere valores para determinadas chaves.
A vítima acredita e envia dinheiro diretamente para o golpista (o dono da chave supostamente contemplada). Dinheiro fácil, anunciado em mensagens em redes sociais, deve ser um sinal de alerta para todos os usuários. E lembre-se: o sistema criado pelo Bacen é robusto, seguro e sem bugs.
6. QR Code adulterado
Os pagamentos pelo Pix podem ser feitos a partir de códigos QR. Atualmente, durante a pandemia, é comum que artistas façam lives em benefício de organizações não governamentais e recebam doações, muitas vezes, por QR code.
Alguns criminosos fazem o download dessas apresentações e criam uma transmissão nova em que colocam seu próprio código QR. Assim, recebem as doações de quem não tem muita experiência com a tecnologia.
Fique sempre alerta para não ser vítima de golpes com Pix
Em conversa com o Canaltech, Arthur Igreja, especialista em tecnologia e segurança digital, fez uma lista de dicas para você se proteger dos golpes que se aproveitam do Pix. Confira a seguir:
- Sempre verifique a identidade de quem está solicitando o Pix;
- Na hora de efetivar a transação, fique atento: os aplicativos estão cada vez mais fáceis de utilizar e o usuário, muitas vezes, seleciona ‘Confirmar’ sem nem perceber que está transferindo recursos para um nome que não conhece;
- Alguns sites já estão adotando pagamento por Pix. Nesse caso, se o usuário estiver em um ambiente falso, o dinheiro vai para a conta do golpista;
- É fundamental confirmar o limite disponível para transferência por Pix com a instituição financeira. Às vezes, o próprio usuário comete um erro de digitação e atribui a perda a um golpe;
- Usuários que não têm familiaridade com o Pix, podem treinar o uso do recurso. Uma boa ideia é fazer um Pix de R$ 1 para um conhecido para testar a funcionalidade. E, se quiser, pode até pedir o dinheiro de volta, já que o processo é gratuito.
O Bacen também tem uma lista de sugestões importantes. Acompanhe:
- Confira os remetentes de e-mails e não acesse páginas suspeitas, com endereços curtos ou com erros de digitação;
- Não clique em links recebidos por e-mail, WhatsApp, redes sociais ou mensagens de SMS que direcionam a cadastros de chaves do Pix;
- Cadastre chaves do Pix apenas em canais oficiais de bancos ou fintechs;
- Em caso de suspeita, procure a equipe oficial do banco;
- Após o cadastro, o Bacen envia o código por SMS (se a chave cadastrada for um celular) ou e-mail (se ela for um e-mail). Essa confirmação não vem por ligação telefônica nem por link;
- Não compartilhe esse código;
- Não faça transferências para conhecidos sem confirmar por chamada telefônica ou pessoalmente. O WhatsApp não é uma boa opção porque pode estar clonado.
O Pix encontra-se em fase de pré-cadastro e já está sendo utilizado em crimes digitais. Saiba quais poderão ser os próximos golpes utilizados pelos criminosos e como se proteger deles.
O Pix é um meio de pagamento eletrônico que tem como objetivo realizar transações financeiras de forma quase instantânea entre seus usuários, 24 horas por dia, sete dias por semana. A nova tecnologia tem o intuito de simplificar as operações existentes, como TED e DOC: para realizar uma transferência com o Pix bastará fornecer a chave Pix, que pode ser o CPF, celular, e-mail ou uma chave aleatória, da pessoa/empresa que irá receber a quantia e pronto, dentro de poucos instantes a operação é concluída e a transação é completada com sucesso. Dentre as chaves passíveis de serem utilizadas estão o CPF, celular, e-mail e uma chave aleatória.
Golpes relacionados ao pré-cadastro
A primeira forma que tivemos notícia sobre golpes relacionados ao Pix foi referente ao pré-cadastro. Os criminosos enviam um e-mail às vítimas se fazendo passar por uma instituição bancária de confiança com um link para que elas realizem o suposto cadastro. Na verdade, o link falso leva a um site malicioso preparado para coletar dados sensíveis de todas as vítimas que caírem no golpe e enviar aos criminosos.
Com esses dados em mãos, os criminosos podem cometer vários tipos de delitos e até acessar a conta bancária das vítimas indevidamente.
Golpes que ainda podem acontecer
#Cadastro
Por enquanto, ainda estamos na fase de pré-cadastro, mas nada impede que os criminosos façam pequenas adaptações para tentar atrair vítimas para uma eventual fase cadastral desse novo meio de pagamento. Em um suposto golpe desse tipo, todo o site falso basicamente seria o mesmo, apenas o discurso mudaria.
#Chaves “falsas”
Como citamos, para aderir ao Pix é necessário vincular uma chave para que as transações sejam feitas através dela. Até a última semana de setembro, na plataforma bancária que sou correntista, as chaves de pré-cadastro disponíveis eram e-mail, telefone e CPF. Já na primeira semana de outubro, a opção de chave randômica foi exibida para os usuários que não quiserem fornecer nenhum dado pessoal como chave.
Independente de qual das informações seja escolhida como chave, criminosos podem se aproveitar do desconhecimento de certas informações para fazer vítimas. Por exemplo, como é o caso dos golpes que temos visto de sequestro de WhatsApp, no quais criminosos fingem ser a vítima e acabam pedindo dinheiro “emprestado” para pessoas da lista de contatos, o pagamento via Pix poderia ser utilizado para tornar o golpe ainda mais rápido de ser executado, pois nem sempre a pessoa que se dispõe a ajudar o suposto amigo sabe informações como e-mail, telefone ou CPF e podem acabar transferindo a quantia para os criminosos. Então, mesmo que até o presente momento nada indique que seja possível cadastrar chaves falsas, o desconhecimento das chaves verdadeiras de alguém pode ser facilmente utilizado em um golpe.
#Sequestros relâmpago
Saindo um pouco da atmosfera digital, a maioria dos brasileiros já teve notícias sobre sequestro relâmpago, quando criminosos mantêm a vítima cativa por um curto período de tempo e aproveitam esse breve período para subtrair o máximo de recursos dessas vítimas antes de deixá-la em algum lugar. Com o Pix, isso pode ser um ponto de atenção, pois a vítima poderá transferir esses recursos diretamente para os criminosos, sem a necessidade de ir a uma agência bancária, dificultando ainda mais o trabalho da polícia em identificá-los. Até o momento em que escrevia este artigo, não encontrei informações relacionadas a limites para transações ou protocolos de segurança adicionais, sendo assim todos os recursos da conta da vítima poderiam ser transferidos instantaneamente.
Como se proteger
- Antivírus/Endpoint protection
Muitos phishings contém arquivos maliciosos ou redirecionam a vítima para páginas maliciosas. Por isso, possuir uma solução de proteção em seus dispositivos evitará que estes códigos sejam executados em seu equipamento.
- Phishings everywhere
O phishing é um dos ataques de engenharia social mais comuns e mais efetivos em todo o mundo. A ameaça pode ser recebida via e-mail, mas também há variações em mensagens de SMS, aplicativos de mensagem instantânea como o WhatsApp e até por voz. Para usar esses meios de forma mais segura, é necessário manter-se alerta para qualquer tipo de conteúdo recebido, procurar por indícios de fraude e nunca compartilhar sem ter certeza de que se trata de um conteúdo confiável. Caso queira mais informações sobre como identificar phishings, veja nossa publicação sobre o assunto.
- Procure informações em meios oficiais
O Pix é pincipalmente oferecido por instituições bancárias, sendo assim, informações confiáveis sobre a utilização do mesmo podem ser encontradas nas mídias oficiais do seu banco de preferência. Ao buscar informações, utilize apenas os sites oficiais como referência. Não acesse links enviados à você com promessas de informações ou cadastros mais rápidos para a utilização da nova ferramenta, quando bancos ou quaisquer empresas querem passar uma informação aos seus clientes, eles enviam um link que redireciona o cliente para o site oficial ou instruem que o próprio cliente acesso ao site para obter tais informações. Qualquer tipo de procedimento diferente desse pode ser um golpe.
- Valide a chave diretamente com o recebedor
Para evitar golpes, é interessante saber com antecedência as chaves Pix de seus contatos, ou quaisquer pessoas/estabelecimentos que você acredite que precisará fazer alguma transferência de valores. Por serem informações sensíveis, é interessante armazená-las da melhor forma possível.
- Fique alerta
Haverá uma curva de aprendizado dessa nova ferramenta, certamente diversos tipos de golpes surgirão, desde QR codes falsos para a realização de pagamentos até tentativas de extorsão utilizando as chaves para tornar o processo mais rápido. Por isso, é importante que fiquemos atentos as novas informações e procedimentos que surgirão sobre essa nova tecnologia para que possamos usufruir dos benefícios sempre com o menor risco possível.