Após vazamentos e golpes, como continuar usando Pix de forma segura?

Aumenta a pressão sobre as empresas para mais investimentos em segurança informação; do outro lado, usuários devem ficar atentos a golpes de engenharia social

O Pix — sistema de transferências e pagamento instantâneo e gratuito para pessoas físicas — começou a operar em novembro de 2020. No início, houve resistências por desconhecimento e temores em relação à segurança, mas logo a ferramenta tornou-se um sucesso. 

Em pouco mais de um ano, a maioria dos comerciantes, ambulantes, mercados de bairros e trabalhadores autônomos passou a aceitar o meio de pagamento. Pessoas físicas também adotaram o serviço em razão da rapidez e isenção de taxas. 

Tipos de fraudes envolvendo o Pix

Diante da alta adesão, criminosos observaram oportunidades para utilizar a credibilidade do serviço em fraudes. A mais famosa foi o “golpe do Pix”. De engenharia simples, esse crime ocorre por uma ligação.

A vítima, que pensa que estar falando com familiar ou funcionário do banco, entrega dados que dão acesso a sua conta bancária a um bandido. 

Mas também houve crimes mais sofisticados, envolvendo programas de computador e invasões de dispositivos eletrônicos. O mais recente foi o vazamento de 2,1 mil chaves do Pix da Logbank Soluções em Pagamentos, entre os dias 24 e 25 de janeiro.

Este foi o terceiro caso de divulgação ilícita de dados desde a criação do Pix.

É arriscado continuar usando o Pix?

Em nota, a Federação Brasileira de Banco (Febraban) informou que o "sistema bancário confia nos mecanismos de segurança adotados pelo Banco Central (BC), que já esclareceu o ocorrido".

"Os bancos utilizam o que há de mais moderno em termos de tecnologia e segurança da informação, sempre em consonância com as regras do produto estabelecidas pelo Banco Central", disse. 

A entidade acrescenta que o primeiro ano de funcionamento do Pix comprova sua eficiência e segurança, com volumes significativos de transações e adesões.

Já o Banco Central frisou não haver falhas no próprio serviço. 

"Houve vazamento de dados de chaves Pix sob a guarda e a responsabilidade da instituição em questão, em razão de falhas pontuais em sistemas dessa instituição de pagamento", informou o BC

O pesquisador do Morphus Labs (laboratório de estudos avançados em Segurança da Informação), Renato Marinho, aponta que o ideal é as empresas investirem em processos para minimizar as chances de fraudes e realizarem testes para simular um atacante fazendo um acesso malicioso.

Assim, terão uma garantia a mais de que não há fragilidades em seus sistemas. "Já a pessoa física concede sua informação em diferentes locais. Fica muito difícil para ela ter o controle se os dados irão ou não vazar. Por isso, existe Lei Geral de Proteção de Dados Pessoais (LGPD)", explica.

"O que ela pode fazer é se preocupar se não estão utilizando algo em seu nome. "Do outro lado, as empresas têm que garantir a segurança", enfatiza. 

Quais dados foram vazados e riscos para os usuários

Os dados vazados no caso da Logbank 

  • Nome completo e CPF;
  • Número do banco ISPB (instituição), número da conta;
  • Dados relacionados às chaves: tipo de chave, data de criação ou reinvindicação da chave.

Segundo o BC, essas informações não são sensíveis ou sigilosas e parte delas são usualmente informadas pelos usuários ao se fazer uma TED ou DOC, estão impressas nos cheques e podem constar nos comprovantes das transações.

O BC reforçou que as pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo de sua instituição de relacionamento.

"Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail", orientou.

"Ressalta-se que as informações são de natureza cadastral, não permitindo a movimentação de recursos, nem acesso às contas ou a outras informações financeiras", informou.

Como se proteger de golpes envolvendo o Pix

Nos demais casos, como o "golpe do Pix", é possível adotar algumas medidas. Veja como se proteger, conforme orientações do Banco Central.

  • Os titulares de dados expostos devem se manter alertas;
  • Sempre suspeitar de mensagens SMS ou em aplicativos enviadas por números desconhecidos e nunca clicar em links enviados por tais números;
  • Tenha atenção redobrada ao receber ligações de pessoas se passando por Bancos e jamais fornecer informações pessoais, códigos recebidos via SMS ou senhas bancárias, nem tampouco autorizar acesso remoto ao aplicativo ou internet banking;
  • Tenha cuidado com e-mails e páginas falsas que tentem se passar por qualquer instituição financeira;
  • Nunca utilizar senhas fáceis de serem descobertas. Essas precauções, a propósito, devem ser tomadas por todos os clientes bancários, independentemente de incidentes. 

O que as empresas podem fazer para evitar vazamentos, segundo o BC 

  • Os participantes do Pix devem adotar mecanismos de controle capazes de identificar consultas em volumes atípicos de seus clientes no âmbito dos seus sistemas, bem como devem estabelecer procedimento de identificação e de tratamento dos casos de excessivas consultas de chaves Pix, por seus clientes, que não resultarem em liquidação ou que sejam chaves inválidas;
  • Os participantes também devem observar as regras de segurança descritas no Manual de Segurança do Pix, que incluem aspectos de segurança obrigatórios na implementação de APIs. A implementação dos aspectos previstos impede, por exemplo, que agentes maliciosos tenham acesso aos dados cadastrais completos vinculados às chaves;
  • Com relação aos controles estabelecidos pelo BCB, além do monitoramento das consultas de chaves Pix, existem mecanismos de prevenção a ataques de leitura, com base na limitação de consultas sem liquidação ou inválidas, e de limitação de requisições à API do DICT (que é a plataforma que armazena as informações das chaves Pix);
  • As chaves Pix são usadas para o recebimento de recursos, ou seja, é uma identificação facilitada dos dados de qual é a instituição de relacionamento, agência, conta e tipo da conta. Isso significa que mesmo em posse dessa informação, não é possível o acesso ao saldo ou lançamentos da conta ou a realização de pagamentos ou transferências.

Telegram

Antes de ir, que tal se atualizar com as notícias mais importantes do dia? Acesse o Telegram do DN e acompanhe o que está acontecendo no Brasil e no mundo com apenas um clique: https://t.me/diario_do_nordeste