O número de golpes e fraudes associados ao PIX têm crescido no país, apontam especialistas. Esses ataques acontecem tanto por meio de vírus instalados sem que o consumidor perceba, como via engenharia social (quando um criminoso usa influência e persuasão para enganar e manipular pessoas e obter senhas de acesso).
O aumento, dizem esses especialistas, acompanha a crescente popularização do sistema de pagamentos instantâneos. Um levantamento recente feito pela ACI WorldWide, por exemplo, indicou que o Brasil é o 2º país com mais transações em tempo real do mundo.
Só em 2022 foram registradas 29,2 bilhões de transações no país, o equivalente a 15% do total registrado no mundo, de 195 bilhões.
De acordo com o diretor geral da AllowMe, plataforma de prevenção à fraude e proteção de identidades digitais, Gustavo Monteiro, o PIX acaba sendo um dos meios mais utilizados pelos fraudadores principalmente por conta da instantaneidade do sistema.
“O que veio como uma facilidade para a sociedade acabou sendo subvertida para os fraudadores. Os criminosos entenderam que, na prática, cada pessoa tem um banco no celular, com dinheiro na conta ou possibilidade de crédito, e passaram a se aproveitar dessa situação. O protocolo do PIX, em si, é extremamente seguro, mas houve uma intersecção em prol da fraude”, explica o executivo.
Nesse sentido, destacam os especialistas, a principal dificuldade está em bloquear a transação — já que ela é instantânea — ou em reaver o dinheiro perdido.
Nesse último caso, dizem, a dificuldade acontece porque, uma vez que os recursos caem na conta do criminoso, eles são rapidamente pulverizados e divididos em diversas outras contas, o que acaba dificultando que os bancos rastreiem o caminho do dinheiro.
Segundo dados do Banco Central, mais de 147 milhões de usuários estavam cadastrados no Diretório de Identificadores de Contas Transacionais (DICT) até o final de abril — um aumento de 0,9% na comparação mensal (146,4 milhões) e de 16,8% em relação a igual mês de 2022 (126,6 milhões).
Entenda os ataques feitos a pessoas físicas
Segundo os especialistas, o volume de fraudes ganhou força durante a pandemia. Informações da Federação Brasileira de Bancos (Febraban) indicam que os números de ataques originados de engenharia social mais do que dobraram (+165%) entre o segundo semestre de 2020 e os primeiros seis meses de 2021.
Já em 2022, dados da Kaspersky apontam que o número de trojans (um tipo de software malicioso) bancários para celulares atingiu o maior número em seis anos, com cerca de 200 mil malwares do tipo identificados no período.
Entre os principais ataques feitos a pessoas físicas estão:
Contas falsas de pagamento com QR Code malicioso;
Hackeamento de dispositivos celulares para a criação de contas bancárias;
Trojans bancários que infectam o celular e redirecionam os pagamentos feitos em aplicativos bancários para a conta de um criminoso;
Golpes feitos por meio de engenharia social;
Uso de informações pessoais e fotos da vítima para a criação de contas laranjas, entre outros.
Nesse sentido, um levantamento recente da AllowMe apontou que pelo menos 20% de todas as contas abertas no Brasil são suspeitas de fraude.
Entre as razões pelas quais as contas são identificadas dessa forma, estão as suspeitas de que o dispositivo usado possa ter sido hackeado, de adulteração durante a captura de selfies para validação de identidade e solicitação de prova de vida, e a incompatibilidade entre as fotografias tiradas e as vinculadas a determinado CPF, por exemplo.
A companhia destaca, ainda, que outra fraude poderia estar na tentativa de burlar processos de cadastro junto a instituições financeiras e, em especial, ferramentas de biometria facial.
Nesse caso, os criminosos captam uma imagem a partir de fotografias e vídeos já existentes e até chegam a imprimir máscaras 2D, com abertura para olhos e bocas – o que permitiria ao fraudador atender a comandos de sorrir ou piscar exigidos como prova de vida por algumas plataformas.
Além disso, há também o uso de recursos para enganar sistemas, disfarçando endereços IP, geolocalização, e-mails e outras informações, e a substituição de imagens capturadas de maneira legítima por versões manipuladas digitalmente.
“Esses e outros métodos são usados por fraudadores para criação de contas laranjas em instituições financeiras, justamente para a solicitação de empréstimos e emissão de cartões de crédito no nome de terceiros ou, ainda, para a lavagem de dinheiro”, diz o gerente de produto sênior da AllowMe, Deaulas Neto, em nota.
Contas laranjas são contas bancárias que usam pessoas como intermediárias em transações financeiras fraudulentas, ocultando a identidade do criminoso. “Muitas vezes, a vítima só toma conhecimento de que teve uma conta aberta em seu nome meses depois, quando recebe cobranças que desconhece”, acrescenta Neto.
Os especialistas ainda destacam que outro golpe comum que envolve o uso de contas laranjas está associado à instalação de malwares nos celulares dos consumidores, sem o conhecimento do proprietário.
Nesses casos, o software malicioso muitas vezes vem em uma mensagem falsa, onde o fraudador se passa pela instituição financeira e incita o consumidor a clicar em algum link. Assim que o link abre, se inicia a instalação.
Segundo o diretor da equipe global de pesquisa e análise da Kaspersky para a América Latina, Fabio Assolini, esses malwares ficam instalados no celular e são ativados quando o consumidor vai fazer alguma transação em seu aplicativo financeiro.
“Esses trojans fazem uma interferência direta no aplicativo do banco ou da fintech. Assim que o consumidor coloca a chave de transferência e o valor, na hora de confirmar a transação, o trojan coloca uma tela de espera semelhante à do app e altera a quantia a conta de destino, muitas vezes sem que o consumidor perceba”, alerta o executivo.
Os especialistas consultados pelo g1 também destacam uma série de golpes que podem ser feitos por meio de engenharia social e destacam que esses crimes são frequentemente adaptados conforme ficam mais conhecidos pela população.
Como se proteger de golpes e fraudes?
Segundo os especialistas consultados pelo g1, o consumidor precisa sempre estar atento na hora de fazer uma transação no celular ou pagar algo via QR Code, por exemplo, além de sempre suspeitar caso receba a ligação de alguém que afirma ser algum funcionário de banco ou de outra empresa conhecida.
De acordo com Monteiro, da AllowMe, já existe um processo de educação do usuário final sobre esses possíveis golpes e fraudes por parte das empresas e instituições financeiras. Ele destaca, no entanto, que é importante que também haja um esforço dos mais jovens em ensinar e explicar como esses golpes funcionam para os mais velhos.
“Durante a pandemia, nós tivemos uma nova safra de pessoas que entraram na internet, e muita gente de gerações mais velhas que começou a usar aplicativo de banco. Essas pessoas, que não tinham muito contato com isso antes, podem acabar virando vítimas potenciais aos olhos dos criminosos”, alerta o executivo.
Além disso, os especialistas destacam a necessidade de atenção sempre que houver alguma transação financeira. Segundo Assolini, da Kaspersky, é importante que o consumidor esteja bem-informado sobre os tipos de fraudes que podem acontecer.
“Os criminosos estão sempre inovando e, atualmente, eles têm buscado se beneficiar da rapidez do PIX e de fraudes que têm contato direto com o usuário, porque ele é o elo mais frágil”, diz o executivo, reforçando que também é importante que o consumidor tenha um bom antivírus instalado em seus aparelhos e que sempre esteja atento ao andar nas ruas, para evitar eventuais roubos.
“Os bancos possuem um processo muito estruturado para abertura de contas, com diversas fases de segurança e utilização de sistemas para confirmação de dados. Além disso, também estamos conversando com o Banco Central para ver se conseguimos ampliar a linha de rastreio [de recursos] e de bloqueio de valores do Med”, diz Faria.
O Mecanismo Especial de Devolução (Med) é um sistema do Banco Central que pode ser acionado tanto pelas instituições financeiras como pelo usuário final em casos de suspeita de fraude ou golpe já identificado.
Para as situações em que o usuário se deu conta que foi vítima de um golpe, é necessário que esse cliente faça um boletim de ocorrência e avise imediatamente a instituição financeira por um canal de atendimento oficial, como SAC ou Ouvidoria. Segundo o BC, há um link direto para o canal a ser utilizado no ambiente PIX nos aplicativos dos bancos.
Uma vez acionado, o banco da vítima usa a infraestrutura do PIX para notificar a instituição que está recebendo a transferência, para que os recursos sejam bloqueados.
“Após o bloqueio, tanto a instituição do pagador quanto a do possível golpista/fraudador têm até sete dias para fazer uma análise mais robusta do caso para ter certeza de que se trata efetivamente de uma fraude. Caso a fraude se comprove, a instituição de destino da operação devolve os recursos para a do pagador, que deve efetuar o devido crédito na conta do cliente”, informou o BC em nota.
Vale destacar, no entanto, que o mecanismo não se aplica caso:
O usuário tenha feito um PIX por engano, por exemplo, digitando a chave errada;
Em controvérsias comerciais entre usuários;
Em transações com fundada suspeita de fraude em que os recursos forem destinados à conta transacional de um terceiro de boa-fé.
Ainda segundo o Banco Central, o regulamento do PIX deixa claro que as instituições que ofertam o sistema a seus clientes “têm o dever de responsabilizar-se por fraudes decorrentes de falhas nos seus próprios mecanismos de gerenciamento de riscos, compreendendo a inobservância de medidas de gestão de risco”.
“Adicionalmente, foi determinado que as instituições devem obrigatoriamente utilizar as informações vinculadas às chaves PIX como um dos fatores a serem considerados para fins de autorização e de rejeição de transações. Essas medidas criam incentivos para que os participantes aprimorem cada vez mais seus mecanismos de segurança e de análise de fraudes”, acrescentou a autarquia.
Saiba dicas de como se prevenir de golpes e fraudes:
Atenção ao receber um email, SMS e até mensagens pelo WhatsApp: não clique em links suspeitos e sempre verifique o endereço de email do remetente – muitas vezes, apenas alguns pequenos detalhes são alterados, como uma letra duplicada ou trocada, para que o consumidor não suspeite;
Caso receba a ligação de alguém que diz ser do seu banco, desconfie e entre em contato com a instituição financeira por meio de outro telefone – isso porque, segundo os especialistas, muitas vezes os criminosos conseguem travar a linha em que fizeram o primeiro contato, de maneira que caso o consumidor tente ligar para o banco da mesma linha telefônica, a ligação é direcionada para outro criminoso, que confirma o golpe;
Nunca entregue seu cartão para nenhum portador retirar na sua casa. Se receber alguma ligação ou visita, não entregue nada para ninguém e ligue imediatamente para o seu banco, de preferência de um outro telefone, para saber se existe algum problema com a sua conta;
O banco nunca liga para o cliente pedindo para que ele instale algum tipo de aplicativo em seu celular. As instituições financeiras também nunca ligam pedindo senhas, o número do cartão ou ainda para que o cliente faça uma transferência ou qualquer tipo de pagamento. Se receber esse tipo de contato, desconfie na hora. Desligue e entre em contato com a instituição financeira através dos canais oficiais e de um outro telefone para saber se algo aconteceu mesmo com sua conta;
Nunca passe seus dados pessoais;
Nunca utilize dados pessoais como senha (ex. data de aniversário, placa de carro etc.), nem números repetidos ou sequenciais (ex.: 1111 ou 1234), nem anote senhas em papel, no celular, no computador ou em e-mails;
Ao fazer uma transação comercial com o PIX, sempre pesquise sobre a empresa em sites de reclamação e confira seu CNPJ;
Se for pagar com PIX, sempre faça o pagamento dentro do ambiente da loja virtual. Quando o varejista fornecer o código QR Code, confira com atenção todos os dados do pagamento e se a loja escolhida é realmente quem irá receber o dinheiro. Só após essa checagem detalhada, faça a transferência;
Nunca faça transações em sites que não tenham o cadeado de segurança no navegador nem transferências para contas de pessoas físicas;
Se for pagar a compra com boleto, confira quem é a empresa beneficiária que aparece no momento do pagamento do boleto, no aplicativo ou site do banco. Se o nome for diferente da marca ou empresa onde a compra foi feita, a transação não deve ser concluída;
Tome cuidado em compras nas redes sociais. O consumidor deve verificar se a página tem selo de autenticação, número de seguidores compatíveis e também comentários de outros compradores sobre as compras e prazos de entregas;
Sempre desconfie quando o vendedor apelar para a urgência em fechar o negócio, dizendo que você pode perder descontos;
Nunca aceite presentes e brindes inesperados, sem saber quem realmente mandou. Não forneça dados pessoais em links enviados pela internet de supostas promoções e tenha muito cuidado ao preencher cadastros na internet;
Ao comprar algo em qualquer lugar, nunca entregue seu cartão para alguém inserir na maquininha e realizar o pagamento. Sempre faça este processo você mesmo;
Ao digitar sua senha, garanta que não esteja visível para quaisquer pessoas ao seu redor. Não aceite realizar pagamentos se o visor da maquininha estiver danificado, impedindo que você veja o valor real que está pagando;
Se possível, sempre use um cartão virtual para realizar compras pela internet;
Desconfie das promoções cujos preços sejam muito menores que o valor real do produto. Pesquise a média de preços em vários sites conhecidos;
Nunca use um computador público ou de um estranho para efetuar compras ou coloque seus dados bancários.
Foto: Giovane Oliveira/SEMUC PMBV