Criminosos cibernéticos estão tirando proveito do PIX antes mesmo do início de operação do sistema de transações instantâneas do Banco Central. Isso porque a fase de cadastramento da chave PIX já apresentou possibilidades para aplicação de variados golpes.
Vale lembrar que a chave PIX é um dos trunfos para tornar o novo meio de pagamento bem mais prático do que DOC ou TED. Afinal, será possível receber a transferência a partir do fornecimento de apenas uma chave, que pode ser o número do CPF ou CNPJ do usuário, ou o endereço de e-mail, ou o número de telefone ou ainda uma combinação numérica aleatória.
Como sabemos, a coisa nunca funcionou assim em transferências financeiras no Brasil, especialmente em caso de instituições ou bancos diferentes. A transação só acontece mediante o preenchimento de dados como CPF ou CNPJ, agência, conta, código do banco e por aí vai. Conclusão: tudo fica mais fácil com as chaves.
De olho nesta vantagem (e em muitas outras que o PIX promete oferecer), bancos, fintechs, carteiras digitais e demais participantes autorizados a oferecerem o sistema de pagamentos capricharam na divulgação do início da fase do cadastramento das chaves dos clientes, que está rolando desde o dia 5 de outubro.
Mais de 30 milhões de chaves foram cadastradas em uma semana, de acordo com o BC, ao mesmo tempo em que o interesse pelo assunto só foi aumentando na população. Sabendo disso, os fraudadores também foram rápidos em agir.
Os golpes envolvendo as chaves PIX
Antes de falarmos das fraudes, é importante explicar que, uma vez cadastradas, estas milhões de chaves PIX ficam armazenadas no Diretório de Identificadores de Contas Transacionais (DICT), um componente desenvolvido pelo Banco Central que é protegido por criptografia e outros mecanismos que impedem varreduras das informações pessoais.
Da mesma maneira, obviamente, as mais de 600 instituições autorizadas a ofertarem o PIX também contam com certificados digitais, criptografia e outros recursos para protegerem os dados dos usuários e tornarem as transações seguras – além das camadas já utilizadas nas transferências por DOC e TED.
Diante disso, você concorda que é bastante improvável que um criminoso cibernético tenha acesso a estes ambientes e consiga roubar milhares de chaves PIX ou desviar recursos, certo? Os fraudadores também estão cientes disso, tanto que mais uma vez a tática tem sido atacar a outra ponta da cadeia – e aquele elo que há muito tempo se mostra o mais vulnerável: o consumidor.
E não foi preciso inventar um novo tipo de golpe. Para conseguir dados e informações sigilosas das vítimas nas últimas semanas, os estelionatários estão aplicando técnicas de phishing e de engenharia social tendo o PIX como pano de fundo.
Segundo a empresa de segurança digital Kaspersky, mais de 70 domínios falsos envolvendo o PIX já foram identificados na web até a data da publicação deste artigo (desde endereços como “gerenciadorpix.com” e “chavepix.me” até sites que usam o nome de instituições financeiras confiáveis para enganar as vítimas).
O fim desta história varia caso a caso, mas você já deve estar imaginando. A pessoa recebe o link falso por e-mail, SMS ou redes sociais e visita o endereço achando que vai se cadastrar no PIX. Na realidade, ela acaba cedendo dados sensíveis aos cibercriminosos (muitas vezes que permitem a invasão de conta) ou ainda fazendo download de arquivos ou softwares maliciosos que permitem acesso remoto ao dispositivo infectado.
Para completar, além das tentativas de account takeover e dos malwares, os golpistas também estão roubando dados nesta fase de cadastramento das chaves para tentar assumir a identidade da vítima e conseguir transacionar usando uma chave que deveria pertencer a ela quando o PIX começar a operar no dia 16 de novembro.
Os desafios para a segurança
Além dos golpes citados, aqui cabe mais uma reflexão: se por um lado a chave PIX vai facilitar as transações, por outro todos nós sabemos que obter dados como CPF, e-mail ou número de telefone hoje em dia é algo longe de ser complicado, o que em tese poderia aumentar o risco do novo sistema.
“É preciso entender que se o PIX for expor as pessoas a novos tipos de riscos, novas medidas de combate precisarão ser criadas. E para isso precisaremos esperar o sistema funcionar”, disse Marcelo Martins, representante da Associação Brasileira de Fintechs no grupo de trabalho do PIX no BC, em entrevista ao Infomoney. Aliás, recomendo muito a leitura deste artigo publicado pelo site que fala sobre 11 pontos de segurança no PIX – e muitas dúvidas ainda não respondidas.
A esta altura deste texto você também pode se perguntar: e se alguém usar um dado meu como chave PIX? Isso é bastante improvável no caso do e-mail, por exemplo, já que um terceiro só conseguiria cadastrá-lo como chave se tivesse acesso à sua caixa de entrada e obtivesse o código de verificação. No caso do telefone celular, o processo de cadastro também é concluído apenas ao inserir um código enviado ao número por SMS.
Ainda assim, há um processo chamado reivindicação de chave, que consiste justamente na chance de a pessoa comprovar que uma chave cadastrada por outro usuário na verdade pertence a ela.
Neste caso, o atual “proprietário” da chave terá sete dias corridos para comprovar a posse da chave (seja celular ou e-mail, pelos códigos que informamos no parágrafo anterior). Se não houver essa comprovação, a posse da chave passa para a pessoa que reivindicou. Aqui vale um conselho: se seu e-mail foi usado por outra pessoa, por exemplo, é fundamental trocar de senha antes de reivindicar a chave.
Por falar nisso, as dicas que os especialistas estão compartilhando para não cair em golpes na fase de cadastro das chaves PIX é a mesma que já relatamos em outras ocasiões: nunca clicar em links desconhecidos (atenção especialmente com URL encurtadas), não compartilhar dados pessoais ou códigos de verificação e sempre desconfiar de promoções ou ofertas muito generosas. E mais importante: lembre-se de que vamos cadastrar as chaves PIX apenas nos canais oficiais dos nossos bancos ou instituições financeiras!
Konduto e o PIX
Simples, prático, barato, democrático… O lançamento do PIX vem sendo aguardado com grande expectativa e promete mudar a forma como o brasileiro lida com o dinheiro. Ao mesmo tempo, a instantaneidade e a facilidade do novo sistema também atraem os fraudadores. Em setembro, nós lançamos o e-book PIX: da promessa da revolução aos desafios da segurança, que fala justamente sobre isso. Baixe aqui!
Além disso, também desenvolvemos na Konduto uma solução de monitoramento transacional capaz de analisar o risco de uma transferência via PIX para as instituições e empresas que estão oferecendo a nova modalidade de pagamento. Envie uma mensagem que nós te explicamos melhor como ela funciona!
