Produtividade

Por Paulo Alves, para o TechTudo


O Pix já vem sendo usado como isca em golpes na Internet. Segundo a empresa de segurança Kaspersky, o sistema de pagamentos instantâneos do Banco Central, que promete acabar com TED e DOC, é alvo de campanhas de phishing com mensagens falsas. O objetivo seria coletar dados bancários e pessoais, como senhas bancárias e números de CPF e celular. Existe, portanto, a possibilidade de que essas informações sejam usadas para fraudes no nome da pessoa.

“Caso a vítima forneça seus dados, é possível que seja mais fácil aos fraudadores cometerem golpes no futuro usando o Pix”, explica o analista segurança da Kaspersky Fábio Assolini. O sistema começa a funcionar no dia 16 de novembro a partir das 6h30. Veja, a seguir, quais são os principais golpes e como evitar ser uma vítima.

Pix, sistema do Banco Central, já é usado como isca para golpes; veja como se proteger — Foto: Divulgação/Banco Central

Quer comprar celular, TV e outros produtos com desconto? Conheça o Compare TechTudo

Como funciona o pré-cadastro do Pix

As chaves do Pix são os identificadores que substituem os números de agência e conta em uma transferência do Pix. Em vez de fornecer os conhecidos dados bancários, o usuário pode fornecer apenas o celular, o CPF ou um e-mail para receber um pagamento.

O pré-registro de chaves do Pix vai até 5 de outubro. Até lá, bancos e fintechs são responsáveis por entrar em contato com clientes para oferecer o registro. As instituições têm interesse no cadastro pois ele garante que os recebimentos via Pix sejam creditados na conta já existente do usuário, pelo menos em um primeiro momento.

Quem é cliente de vários bancos, incluindo bancos digitais, pode cadastrar uma chave diferente em cada uma das contas. O usuário pode, por exemplo, registrar o CPF no Nubank, o celular no PicPay e o e-mail no Itaú ou Santander, e por aí vai. O registro só será oficial mediante aceite do usuário a partir de 5 de outubro.

Quais são as principais ameaças envolvendo o Pix no momento?

De acordo com a Kaspersky, golpistas se aproveitam do período de pré-cadastro de chaves do Pix para agir. Os ataques de phishing imitam campanhas legítimas de bancos e fintechs para que clientes registrem suas informações. No caso identificado pela Kaspersky, um e-mail fraudulento solicita que o usuário acesse uma página para cadastrar seus dados. A avaliação da empresa de segurança é que ainda é cedo para prever os vetores de ataque, mas as informações entregues pela vítima deverão ser usadas de alguma maneira para fraudes, sejam ou não no âmbito do Pix.

E-mail usa pré-cadastro do Pix como isca para roubar dados do usuário, diz Kaspersky — Foto: Reprodução/Kaspersky

Já quando o Pix estiver no ar, golpistas podem mirar em pelo menos outros dois aspectos do sistema de pagamentos para atacar. O diretor de Cyber Risk da Kroll Walmir Freitas explica que hackers deverão tentar roubar senhas e autorizações privadas para aprovar débitos indevidamente. Há ainda possibilidade de interceptar transações por QR Code.

“Um invasor pode alterar a geração de QR Codes e criar versões fraudulentas que permitam a realização de desvios e golpes”, explica Freitas. Para realizar a fraude, porém, o criminoso teria que invadir o dispositivo da vítima por meio de roubo ou ataque cibernético. Nesse sentido, portanto, a vulnerabilidade do Pix seria similar às presentes no TED ou DOC.

Como identificar golpes e fraudes envolvendo o Pix

O pré-cadastro de chaves é um procedimento realizado unicamente via instituições financeiras. Elas vêm usando todos os canais para encorajar o registro, desde comerciais na TV até e-mails e posts nas redes sociais. Dessa maneira, não faz sentido receber uma comunicação “do Pix” e tampouco do Banco Central para preencher formulários com dados pessoais.

No caso revelado pela Kaspersky, por exemplo, uma das principais suspeitas surgem ao identificar que o suposto e-mail com pedido de cadastro não está atrelado a um banco ou fintech. É preciso, portanto, suspeitar de remetentes desconhecidos e links que não levam ao site oficial de uma instituição financeira atrelada ao Pix.

Além disso, Walmir Freitas alerta também para solicitações via aplicativos como WhatsApp. “O usuário deve ter cuidado dobrado antes de fornecer qualquer dado pessoal”, ressalta.

Especialistas recomendam sempre usar canais oficiais de bancos para cadastrar chaves do Pix — Foto: Giselle Soares/TechTudo

Dicas para proteger seus dados

Segundo a Kaspersky, o setor bancário brasileiro está preparado para lidar com possíveis ameaças de segurança. Além disso, ainda não se tem registro de vítimas de golpes de phishing envolvendo o Pix. Ainda assim, o cidadão deve se proteger para evitar cair na isca. É importante tomar os mesmos cuidados indicados para Internet Banking ou mobile banking (aplicativo).

Uma das recomendações é utilizar somente o app e site oficiais do banco ou serviços de pagamentos para cadastro de chaves. Já o celular deve ser mantido sempre bloqueado com senha ou biometria, e aplicativos financeiros devem ser deslogados ao terminar de usar.

Outra dica é verificar o link de botões em e-mails, mensagens e redes sociais e não clicar em nada vindo de pessoas ou organizações desconhecidas. Até endereços com HTTPS, que costuma ser um indicador de proteção, devem ser alvo de suspeita, pois muitos sites falsos trazem o cadeado de segurança. Nesse caso, os certificados digitais devem remeter à instituição.

Uso de biometria e outros mecanismos no celular é arma contra invasores e possíveis golpes — Foto: Divulgação/Huawei

“As recomendações são as mesmas que costumamos dar para proteger o acesso aos serviços financeiros já usados. Em um primeiro momento, se o criminoso tem acesso a uma conta, ele poderá fazer transações fraudulentas, seja via Pix, DOC ou TED”, conta Assolini.

Pequenos comércios, por outro lado, devem ter atenção redobrada com os QR Codes, que deverão passar a ser mais usados com a chegada do Pix. Estabelecimentos devem, por exemplo, se certificar de que um código exibido ao cliente seja o real e não tenha sido fraudado por um golpista. Em caso de alteração maliciosa, o pagamento recebido pode cair na conta do criminoso. Boas práticas de segurança consistem, entre outras tarefas, em revisar os códigos QR disponibilizados em sites ou impressos em folha de papel.

Cartão de crédito digital vale a pena? Descubra no Fórum do TechTudo.

Nubank, Inter, Neon e mais: saiba tudo sobre bancos digitais

Nubank, Inter, Neon e mais: saiba tudo sobre bancos digitais

Mais do TechTudo