Após vazamentos e golpes, como continuar usando Pix de forma segura?
Aumenta a pressão sobre as empresas para mais investimentos em segurança informação; do outro lado, usuários devem ficar atentos a golpes de engenharia social
O Pix — sistema de transferências e pagamento instantâneo e gratuito para pessoas físicas — começou a operar em novembro de 2020. No início, houve resistências por desconhecimento e temores em relação à segurança, mas logo a ferramenta tornou-se um sucesso.
Em pouco mais de um ano, a maioria dos comerciantes, ambulantes, mercados de bairros e trabalhadores autônomos passou a aceitar o meio de pagamento. Pessoas físicas também adotaram o serviço em razão da rapidez e isenção de taxas.
Tipos de fraudes envolvendo o Pix
Diante da alta adesão, criminosos observaram oportunidades para utilizar a credibilidade do serviço em fraudes. A mais famosa foi o “golpe do Pix”. De engenharia simples, esse crime ocorre por uma ligação.
A vítima, que pensa que estar falando com familiar ou funcionário do banco, entrega dados que dão acesso a sua conta bancária a um bandido.
Veja também
Mas também houve crimes mais sofisticados, envolvendo programas de computador e invasões de dispositivos eletrônicos. O mais recente foi o vazamento de 2,1 mil chaves do Pix da Logbank Soluções em Pagamentos, entre os dias 24 e 25 de janeiro.
Este foi o terceiro caso de divulgação ilícita de dados desde a criação do Pix.
É arriscado continuar usando o Pix?
Em nota, a Federação Brasileira de Banco (Febraban) informou que o "sistema bancário confia nos mecanismos de segurança adotados pelo Banco Central (BC), que já esclareceu o ocorrido".
"Os bancos utilizam o que há de mais moderno em termos de tecnologia e segurança da informação, sempre em consonância com as regras do produto estabelecidas pelo Banco Central", disse.
A entidade acrescenta que o primeiro ano de funcionamento do Pix comprova sua eficiência e segurança, com volumes significativos de transações e adesões.
Já o Banco Central frisou não haver falhas no próprio serviço.
"Houve vazamento de dados de chaves Pix sob a guarda e a responsabilidade da instituição em questão, em razão de falhas pontuais em sistemas dessa instituição de pagamento", informou o BC
O pesquisador do Morphus Labs (laboratório de estudos avançados em Segurança da Informação), Renato Marinho, aponta que o ideal é as empresas investirem em processos para minimizar as chances de fraudes e realizarem testes para simular um atacante fazendo um acesso malicioso.
Assim, terão uma garantia a mais de que não há fragilidades em seus sistemas. "Já a pessoa física concede sua informação em diferentes locais. Fica muito difícil para ela ter o controle se os dados irão ou não vazar. Por isso, existe Lei Geral de Proteção de Dados Pessoais (LGPD)", explica.
"O que ela pode fazer é se preocupar se não estão utilizando algo em seu nome. "Do outro lado, as empresas têm que garantir a segurança", enfatiza.
Quais dados foram vazados e riscos para os usuários
Os dados vazados no caso da Logbank
- Nome completo e CPF;
- Número do banco ISPB (instituição), número da conta;
- Dados relacionados às chaves: tipo de chave, data de criação ou reinvindicação da chave.
Segundo o BC, essas informações não são sensíveis ou sigilosas e parte delas são usualmente informadas pelos usuários ao se fazer uma TED ou DOC, estão impressas nos cheques e podem constar nos comprovantes das transações.
O BC reforçou que as pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo de sua instituição de relacionamento.
"Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail", orientou.
"Ressalta-se que as informações são de natureza cadastral, não permitindo a movimentação de recursos, nem acesso às contas ou a outras informações financeiras", informou.
Como se proteger de golpes envolvendo o Pix
Nos demais casos, como o "golpe do Pix", é possível adotar algumas medidas. Veja como se proteger, conforme orientações do Banco Central.
- Os titulares de dados expostos devem se manter alertas;
- Sempre suspeitar de mensagens SMS ou em aplicativos enviadas por números desconhecidos e nunca clicar em links enviados por tais números;
- Tenha atenção redobrada ao receber ligações de pessoas se passando por Bancos e jamais fornecer informações pessoais, códigos recebidos via SMS ou senhas bancárias, nem tampouco autorizar acesso remoto ao aplicativo ou internet banking;
- Tenha cuidado com e-mails e páginas falsas que tentem se passar por qualquer instituição financeira;
- Nunca utilizar senhas fáceis de serem descobertas. Essas precauções, a propósito, devem ser tomadas por todos os clientes bancários, independentemente de incidentes.
O que as empresas podem fazer para evitar vazamentos, segundo o BC
- Os participantes do Pix devem adotar mecanismos de controle capazes de identificar consultas em volumes atípicos de seus clientes no âmbito dos seus sistemas, bem como devem estabelecer procedimento de identificação e de tratamento dos casos de excessivas consultas de chaves Pix, por seus clientes, que não resultarem em liquidação ou que sejam chaves inválidas;
- Os participantes também devem observar as regras de segurança descritas no Manual de Segurança do Pix, que incluem aspectos de segurança obrigatórios na implementação de APIs. A implementação dos aspectos previstos impede, por exemplo, que agentes maliciosos tenham acesso aos dados cadastrais completos vinculados às chaves;
- Com relação aos controles estabelecidos pelo BCB, além do monitoramento das consultas de chaves Pix, existem mecanismos de prevenção a ataques de leitura, com base na limitação de consultas sem liquidação ou inválidas, e de limitação de requisições à API do DICT (que é a plataforma que armazena as informações das chaves Pix);
- As chaves Pix são usadas para o recebimento de recursos, ou seja, é uma identificação facilitada dos dados de qual é a instituição de relacionamento, agência, conta e tipo da conta. Isso significa que mesmo em posse dessa informação, não é possível o acesso ao saldo ou lançamentos da conta ou a realização de pagamentos ou transferências.
Telegram
Antes de ir, que tal se atualizar com as notícias mais importantes do dia? Acesse o Telegram do DN e acompanhe o que está acontecendo no Brasil e no mundo com apenas um clique: https://t.me/diario_do_nordeste