O Pix é um meio de pagamento eletrônico que tem como objetivo realizar transações financeiras de forma quase instantânea entre seus usuários, 24 horas por dia, sete dias por semana. A nova tecnologia tem o intuito de simplificar as operações existentes, como TED e DOC, e já foi notada pelos cibercriminosos. A ESET, empresa líder em detecção proativa de ameaças, explica quais são os possíveis golpes aplicados aos usuários da nova ferramenta e como se proteger contra essas ameaças.

A maior novidade da ferramenta é para realizar uma transferência. A partir de agora, bastará fornecer a chave Pix, que pode ser o CPF, celular, e-mail ou uma chave aleatória da pessoa/empresa que irá receber a quantia e, dentro de poucos instantes, a operação é concluída e a transação é completada com sucesso.

Até a última semana de setembro, as chaves de pré-cadastro disponíveis eram e-mail, telefone e CPF. Já na primeira semana de outubro, a opção de chave randômica foi exibida para os usuários que não quiserem fornecer nenhum dado pessoal como chave.

A primeira forma de golpe relacionado ao Pix sobre a qual os pesquisadores da ESET tiveram notícia foi referente ao pré-cadastro. Criminosos estavam enviando um e-mail às vítimas se fazendo passar por uma instituição bancária de confiança com um link para que elas realizem o suposto cadastro. Na verdade, o link falso levava a um site malicioso preparado para coletar dados sensíveis de todas as vítimas que caíssem no golpe e enviava aos criminosos.

“Com esses dados em mãos, os criminosos poderiam cometer vários tipos de delitos e até acessar a conta bancária das vítimas indevidamente”, explica Daniel Cunha Barbosa, especialista em segurança da informação da ESET Brasil.

Além desse golpe, já identificado, há outros possíveis riscos aos usuários da ferramenta. A ESET compartilha, abaixo, alguns dos golpes que podem acontecer:

• Cadastro: por enquanto, o Pix ainda está na fase de pré-cadastro, mas nada impede que os criminosos façam pequenas adaptações para tentar atrair vítimas para uma eventual fase cadastral desse novo meio de pagamento. Em um suposto golpe desse tipo, todo o site falso basicamente seria o mesmo, apenas o discurso mudaria.
• Chaves “falsas”: para aderir ao Pix, é necessário vincular uma chave para que as transações sejam feitas através dela. Independente de qual das informações seja escolhida como chave, criminosos podem se aproveitar do desconhecimento de certas informações para fazer vítimas, como situações em que criminosos fingem ser a vítima e acabam pedindo dinheiro “emprestado” para pessoas da lista de contatos.
• Sequestros relâmpago: a maioria dos brasileiros já teve notícias sobre sequestro relâmpago, quando criminosos mantêm a vítima cativa por um curto período de tempo e aproveitam esse breve período para subtrair o máximo de recursos antes de deixá-la em algum lugar. Com o Pix, isso pode ser um ponto de atenção, pois a vítima poderá transferir esses recursos diretamente para os criminosos, sem a necessidade de ir a uma agência bancária, dificultando ainda mais o trabalho da polícia em identificá-los.

“Não encontrei informações relacionadas a limites para transações ou protocolos de segurança adicionais, sendo assim todos os recursos da conta da vítima poderiam ser transferidos instantaneamente em diferentes tipos de golpes”, salienta o especialista.

Fonte: ESET