Analistas identificam ao menos 30 domínios falsos para aplicar golpes envolvendo Pix

O objetivo desses endereços de internet é conseguir informações pessoais de consumidores para efetuar fraudes em seu nome e disseminar softwares nocivos -hackeando computadores e contas e roubando senhas

As transações do Pix, novo sistema de pagamentos instantâneos do Banco Central, serão criptografadas e feitas por meio de uma rede protegida e separada da internet para evitar ataques, afirma a autoridade monetária. O sistema permitirá transações 24h por dia, sete dias por semana, de maneira gratuita e imediata.

O novo sistema, cujo cadastro começou nesta segunda-feira (5), levantou questionamentos de consumidores nas redes sociais sobre a segurança dos dados. O Pix já foi alvo de cibercriminosos. Só no primeiro dia de cadastros, ao menos 30 domínios falsos foram criados com o nome do novo programa, afirmou a Kaspersky, empresa de cibersegurança.

O objetivo desses endereços de internet é conseguir informações pessoais de consumidores para efetuar fraudes em seu nome e disseminar softwares nocivos -hackeando computadores e contas e roubando senhas.

"Se os registros [em relação ao Pix] continuarem crescendo nos próximos dias na mesma velocidade das primeiras 24 horas, podemos chegar aos 100 sites falsos em menos de uma semana", afirma Fabio Assolini, especialista sênior de segurança da Kaspersky no Brasil.

Apesar do grande número de tentativas de fraudes relacionadas ao Pix, o novo sistema é seguro, segundo o BC e as instituições financeiras e de pagamentos envolvidas com o processo. Os principais meios de roubo de dados ou informações, afirmam, acontecem por meio da engenharia social - uma manipulação psicológica feita por criminosos.

Esse tipo de golpe faz o consumidor acreditar que o fraudador é um representante da instituição financeira ou que o site informado é o oficial do Pix e o convence a passar informações pessoais e financeiras -o que leva à fraude.

Segundo o diretor de estratégias e open banking do Itaú, Carlos Eduardo Peyser, os casos em que alguém convence o consumidor a quebrar o sigilo dos dados é a situação mais comum no Brasil

"O pouco de fraude que pode acontecer vai depender de cada um dos participantes do mercado, principalmente das instituições que tenham menos experiência com bancos e que possam ter alguma fragilidade maior do ponto de vista de segurança [como é o caso de varejistas]. Bancos e todos os participantes mais diretos [regulados pelo BC] já estão muito acostumados a ataques cibernéticos e já estão adaptados com diversas camadas e níveis de segurança", afirmou.

O executivo afirma que há um movimento dentro das instituições financeiras e de pagamentos para que os indiretos estejam com os modelos de negócios preparados e protegidos até o momento de implementação do Pix, em 16 de novembro.

As companhias que não são reguladas pelo BC, mas que poderão fazer uso e oferecer o Pix por meio de uma conexão com os sistemas dos participantes diretos, são chamadas de participantes indiretos.

 "Caso uma fraude aconteça, nesse sentido, é responsabilidade deles. Mas estamos assessorando nossos clientes para que eles tenham capacidade de garantir a segurança, até porque se eu sou um participante direto e ele está conectado ao meu sistema, eu sou responsável por ele [não pela fraude] perante ao BC", afirmou Peyser, do Itaú.

Sem dar mais detalhes, o diretor de política de negócios e operações da Febraban (Federação Brasileira de Bancos), Leandro Vilain, afirmou que segurança é sempre um investimento recorrente dentro dos bancos.
"O setor bancário já está abrangido pela lei complementar nº 105, que obriga toda a questão de sigilo bancário, segurança de informação e tentativas de fraudes. Isso sem contar que também estamos alinhados à LGPD [Lei Geral de Proteção de Dados]", disse.

Entenda mais sobre a segurança do Pix

O Pix é seguro?

Segundo o Banco Central, sim. As transações acontecerão por meio de mensagens assinadas digitalmente e que trafegam de forma criptografada, em uma rede protegida e apartada da internet.
Além disso, no DICT (Diretório de Identificadores de Contas Transacionais), componente que armazenará as informações das chaves Pix, os dados dos usuários também são criptografados. Ainda existem mecanismos de proteção que impedem varreduras das informações pessoais, além de indicadores que auxiliam os participantes na prevenção contra fraudes e lavagem de dinheiro.

Meus dados pessoais usados nas transações com Pix estão protegidos?

Sim. Assim como nas transações de TED e DOCs, as informações pessoais trafegadas nas transações Pix estão protegidas pelo sigilo bancário, de que trata a Lei Complementar nº 105, e pelas disposições da LGPD (Lei Geral de Proteção de Dados). Medidas de segurança, como formas de autenticação e criptografia que já são adotadas na realização de outros meios de pagamento, também serão adotadas pelas instituições para o tratamento das transações via Pix.

Caso haja fraude, serei ressarcido? Por quem?

Caberá ao prestador de serviço de pagamento a análise do caso de fraude e o eventual ressarcimento, a exemplo do que ocorre hoje em fraudes bancárias.

Haverá alguma confirmação de pagamento?

Sim. Ao concluir uma transação no aplicativo, um comprovante é gerado tanto para o pagador quanto para o recebedor. No caso do pagador (quem fez o Pix), o comprovante deverá conter, no mínimo, o número da ID/Transação, o valor, a data, a hora, a descrição da transação e as informações do destinatário (quem receberá o Pix) e do pagador. O comprovante estará disponível independentemente da chave Pix utilizada para o pagamento.

Caso o meu celular seja roubado, eu estarei protegido?

Não basta ao criminoso ter o aparelho roubado. Para que uma tentativa de golpe no cadastro de chave seja concretizada, o fraudador teria de ter cometido uma série de fraudes anteriores, como clonado o número do telefone celular ou roubado a senha do email (para interceptar o SMS ou o email com o token) e tenha acesso à conta do cidadão ou da empresa (senha/biometria/reconhecimento facial).

Como o Pix será disponibilizado por aplicativos financeiros que o consumidor já tem, as medidas de segurança adotadas nas plataformas das próprias instituições também servirão para o novo sistema.
Caso o consumidor tenha conta em um grande banco, e tenha habilitado uma chave Pix para esta conta, as senhas para autenticação e os modelos de biometria usados para que haja o acesso do aplicativo já será a barreira de segurança para o acesso ao Pix.

Em uma situação em que o celular seja roubado, o processo de proteção de dados a ser seguido segue sendo informar as instituições financeiras do ocorrido e fazer um boletim de ocorrência o mais rápido possível.

Como posso me proteger melhor?

Coloque senha no aparelho celular e nos aplicativos bancários -inclusive utilizando dos modelos de autenticação, como biometria facial e digital. Não deixe senhas anotadas no bloco de notas do celular e desative o preenchimento automático de senhas.

Caso eu troque o número de celular, o que devo fazer?

Se houver mudança de número, você precisará incluir uma nova chave usando seu novo número de telefone celular e excluir a chave referente ao número antigo.

O que acontece se eu errar o valor a ser pago ou transferido?

No caso de um engano no pagamento, você poderá alterar o valor ou cancelar a transação apenas antes da confirmação do pagamento. Após a confirmação, como a liquidação do Pix ocorre em tempo real, a transação não poderá ser cancelada. No entanto, você poderá negociar com o recebedor a devolução do valor. A devolução é uma funcionalidade disponível no Pix e é sempre iniciada pelo próprio recebedor.