Blog da KondutoNotícias da fraude

PIX: os golpes que estão circulando após o início do cadastramento das chaves

Por 15 de outubro de 2020 Nenhum comentário
konduto golpes pix blog

Criminosos cibernéticos estão tirando proveito do PIX antes mesmo do início de operação do sistema de transações instantâneas do Banco Central. Isso porque a fase de cadastramento da chave PIX já apresentou possibilidades para aplicação de variados golpes.

Vale lembrar que a chave PIX é um dos trunfos para tornar o novo meio de pagamento bem mais prático do que DOC ou TED. Afinal, será possível receber a transferência a partir do fornecimento de apenas uma chave, que pode ser o número do CPF ou CNPJ do usuário, ou o endereço de e-mail, ou o número de telefone ou ainda uma combinação numérica aleatória.

Como sabemos, a coisa nunca funcionou assim em transferências financeiras no Brasil, especialmente em caso de instituições ou bancos diferentes. A transação só acontece mediante o preenchimento de dados como CPF ou CNPJ, agência, conta, código do banco e por aí vai. Conclusão: tudo fica mais fácil com as chaves.

De olho nesta vantagem (e em muitas outras que o PIX promete oferecer), bancos, fintechs, carteiras digitais e demais participantes autorizados a oferecerem o sistema de pagamentos capricharam na divulgação do início da fase do cadastramento das chaves dos clientes, que está rolando desde o dia 5 de outubro.

Mais de 30 milhões de chaves foram cadastradas em uma semana, de acordo com o BC, ao mesmo tempo em que o interesse pelo assunto só foi aumentando na população. Sabendo disso, os fraudadores também foram rápidos em agir.

Os golpes envolvendo as chaves PIX

Antes de falarmos das fraudes, é importante explicar que, uma vez cadastradas, estas milhões de chaves PIX ficam armazenadas no Diretório de Identificadores de Contas Transacionais (DICT), um componente desenvolvido pelo Banco Central que é protegido por criptografia e outros mecanismos que impedem varreduras das informações pessoais.

Da mesma maneira, obviamente, as mais de 600 instituições autorizadas a ofertarem o PIX também contam com certificados digitais, criptografia e outros recursos para protegerem os dados dos usuários e tornarem as transações seguras – além das camadas já utilizadas nas transferências por DOC e TED.

Diante disso, você concorda que é bastante improvável que um criminoso cibernético tenha acesso a estes ambientes e consiga roubar milhares de chaves PIX ou desviar recursos, certo? Os fraudadores também estão cientes disso, tanto que mais uma vez a tática tem sido atacar a outra ponta da cadeia – e aquele elo que há muito tempo se mostra o mais vulnerável: o consumidor.

E não foi preciso inventar um novo tipo de golpe. Para conseguir dados e informações sigilosas das vítimas nas últimas semanas, os estelionatários estão aplicando técnicas de phishing e de engenharia social tendo o PIX como pano de fundo.

Segundo a empresa de segurança digital Kaspersky, mais de 70 domínios falsos envolvendo o PIX já foram identificados na web até a data da publicação deste artigo (desde endereços como “gerenciadorpix.com” e “chavepix.me” até sites que usam o nome de instituições financeiras confiáveis para enganar as vítimas).

O fim desta história varia caso a caso, mas você já deve estar imaginando. A pessoa recebe o link falso por e-mail, SMS ou redes sociais e visita o endereço achando que vai se cadastrar no PIX. Na realidade, ela acaba cedendo dados sensíveis aos cibercriminosos (muitas vezes que permitem a invasão de conta) ou ainda fazendo download de arquivos ou softwares maliciosos que permitem acesso remoto ao dispositivo infectado.

Para completar, além das tentativas de account takeover e dos malwares, os golpistas também estão roubando dados nesta fase de cadastramento das chaves para tentar assumir a identidade da vítima e conseguir transacionar usando uma chave que deveria pertencer a ela quando o PIX começar a operar no dia 16 de novembro.

Os desafios para a segurança

Além dos golpes citados, aqui cabe mais uma reflexão: se por um lado a chave PIX vai facilitar as transações, por outro todos nós sabemos que obter dados como CPF, e-mail ou número de telefone hoje em dia é algo longe de ser complicado, o que em tese poderia aumentar o risco do novo sistema.

“É preciso entender que se o PIX for expor as pessoas a novos tipos de riscos, novas medidas de combate precisarão ser criadas. E para isso precisaremos esperar o sistema funcionar”, disse Marcelo Martins, representante da Associação Brasileira de Fintechs no grupo de trabalho do PIX no BC, em entrevista ao Infomoney. Aliás, recomendo muito a leitura deste artigo publicado pelo site que fala sobre 11 pontos de segurança no PIX – e muitas dúvidas ainda não respondidas.

A esta altura deste texto você também pode se perguntar: e se alguém usar um dado meu como chave PIX? Isso é bastante improvável no caso do e-mail, por exemplo, já que um terceiro só conseguiria cadastrá-lo como chave se tivesse acesso à sua caixa de entrada e obtivesse o código de verificação. No caso do telefone celular, o processo de cadastro também é concluído apenas ao inserir um código enviado ao número por SMS.

Ainda assim, há um processo chamado reivindicação de chave, que consiste justamente na chance de a pessoa comprovar que uma chave cadastrada por outro usuário na verdade pertence a ela.

Neste caso, o atual “proprietário” da chave terá sete dias corridos para comprovar a posse da chave (seja celular ou e-mail, pelos códigos que informamos no parágrafo anterior). Se não houver essa comprovação, a posse da chave passa para a pessoa que reivindicou. Aqui vale um conselho: se seu e-mail foi usado por outra pessoa, por exemplo, é fundamental trocar de senha antes de reivindicar a chave.

Por falar nisso, as dicas que os especialistas estão compartilhando para não cair em golpes na fase de cadastro das chaves PIX é a mesma que já relatamos em outras ocasiões: nunca clicar em links desconhecidos (atenção especialmente com URL encurtadas), não compartilhar dados pessoais ou códigos de verificação e sempre desconfiar de promoções ou ofertas muito generosas. E mais importante: lembre-se de que vamos cadastrar as chaves PIX apenas nos canais oficiais dos nossos bancos ou instituições financeiras!

Konduto e o PIX

Simples, prático, barato, democrático… O lançamento do PIX vem sendo aguardado com grande expectativa e promete mudar a forma como o brasileiro lida com o dinheiro. Ao mesmo tempo, a instantaneidade e a facilidade do novo sistema também atraem os fraudadores. Em setembro, nós lançamos o e-book PIX: da promessa da revolução aos desafios da segurança, que fala justamente sobre isso. Baixe aqui!

Além disso, também desenvolvemos na Konduto uma solução de monitoramento transacional capaz de analisar o risco de uma transferência via PIX para as instituições e empresas que estão oferecendo a nova modalidade de pagamento. Envie uma mensagem que nós te explicamos melhor como ela funciona!

Eduardo Carneiro

Autor Eduardo Carneiro

Eduardo é jornalista formado pela Cásper Líbero e trabalhou em sites como Gazeta Esportiva, Terra e UOL ao longo da carreira. Na Konduto desde junho de 2019, escreve sobre as novidades do mundo da fraude e arrisca imitações de celebridades.

Mais posts de Eduardo Carneiro