Brasil é o segundo
país com mais transações em tempo real do mundo; instantaneidade torna sistema
um dos preferidos pelos criminosos.
O número de golpes e
fraudes associados ao PIX têm crescido no país, apontam especialistas. Esses
ataques acontecem tanto por meio de vírus instalados sem que o consumidor
perceba, como via engenharia social (quando um criminoso usa influência e
persuasão para enganar e manipular pessoas e obter senhas de acesso).
O aumento, dizem
esses especialistas, acompanha a crescente popularização do sistema de
pagamentos instantâneos. Um levantamento recente feito pela ACI WorldWide, por
exemplo, indicou que o Brasil é o 2º país com mais
transações em tempo real do mundo.
Só em 2022 foram
registradas 29,2 bilhões de transações no país, o
equivalente a 15% do total registrado no mundo,
de 195 bilhões.
De acordo com o diretor geral da AllowMe, plataforma de
prevenção à fraude e proteção de identidades digitais, Gustavo Monteiro, o PIX
acaba sendo um dos meios mais utilizados pelos fraudadores principalmente por
conta da instantaneidade do sistema.
"O
que veio como uma facilidade para a sociedade acabou sendo subvertida para os
fraudadores. Os criminosos entenderam que, na prática, cada pessoa tem um banco
no celular, com dinheiro na conta ou possibilidade de crédito, e passaram a se
aproveitar dessa situação. O protocolo do PIX, em si, é extremamente seguro,
mas houve uma intersecção em prol da fraude", explica o executivo.
Nesse sentido,
destacam os especialistas, a principal dificuldade está em bloquear a transação
- já que ela é instantânea - ou em reaver o dinheiro perdido.
Nesse último caso,
dizem, a dificuldade acontece porque, uma vez que os recursos caem na conta do
criminoso, eles são rapidamente pulverizados e divididos em diversas outras
contas, o que acaba dificultando que os bancos rastreiem o caminho do dinheiro.
Segundo dados do
Banco Central, mais de 147 milhões de usuários
estavam cadastrados no Diretório de Identificadores de Contas Transacionais
(DICT) até o final de abril /2023 - um aumento de 0,9% na
comparação mensal (146,4 milhões) e de 16,8% em relação a igual mês de 2022
(126,6 milhões).
Entenda os
ataques feitos a pessoas físicas
Segundo os
especialistas, o volume de fraudes ganhou força durante a pandemia. Informações
da Federação Brasileira de Bancos (Febraban) indicam
que os números de ataques originados
de engenharia social mais do que dobraram (+165%) entre o segundo semestre de
2020 e os primeiros seis meses de 2021.
Já em 2022, dados
da Kaspersky apontam que o número de trojans (um tipo de
software malicioso) bancários para celulares atingiu o maior número em seis
anos, com cerca de 200 mil malwares do tipo identificados no período.
Entre os principais ataques feitos a pessoas físicas
estão:
-Contas falsas de
pagamento com QR Code malicioso;
-Hackeamento
de dispositivos celulares para a criação de contas bancárias;
-Trojans
bancários que infectam o celular e redirecionam os pagamentos feitos em
aplicativos bancários para a conta de um criminoso;
-Golpes
feitos por meio de engenharia social;
-Uso de informações
pessoais e fotos da vítima para a criação de contas laranjas, entre outros.
Nesse sentido, um
levantamento recente da AllowMe apontou que pelo menos 20% de todas as contas abertas no Brasil são suspeitas
de fraude.
Entre as razões
pelas quais as contas são identificadas dessa forma, estão as suspeitas de que
o dispositivo usado possa ter sido hackeado, de adulteração durante a captura
de selfies para validação de identidade e solicitação de prova de vida, e a
incompatibilidade entre as fotografias tiradas e as vinculadas a determinado
CPF, por exemplo.
A companhia destaca,
ainda, que outra fraude poderia estar na tentativa de burlar processos de
cadastro junto a instituições financeiras e, em especial, ferramentas de
biometria facial.
Nesse caso, os
criminosos captam uma imagem a partir de
fotografias e vídeos já existentes e até chegam a imprimir máscaras 2D, com
abertura para olhos e bocas - o que permitiria ao fraudador
atender a comandos de sorrir ou piscar exigidos como prova de vida por algumas
plataformas.
Além disso, há
também o uso de recursos para enganar sistemas, disfarçando endereços IP,
geolocalização, e-mails e outras informações, e a substituição de imagens
capturadas de maneira legítima por versões manipuladas digitalmente.
"Esses
e outros métodos são usados por fraudadores para criação de contas laranjas em
instituições financeiras, justamente para a solicitação de empréstimos e
emissão de cartões de crédito no nome de terceiros ou, ainda, para a lavagem de
dinheiro", diz o gerente de produto sênior da AllowMe, Deaulas Neto, em nota.
Contas laranjas são
contas bancárias que usam pessoas como intermediárias em transações financeiras
fraudulentas, ocultando a identidade do criminoso. "Muitas vezes, a vítima só
toma conhecimento de que teve uma conta aberta em seu nome meses depois, quando
recebe cobranças que desconhece", acrescenta Neto.
Os especialistas
ainda destacam que outro golpe comum que envolve o uso de contas laranjas está
associado à instalação de malwares nos
celulares dos consumidores, sem o conhecimento do proprietário.
Nesses casos, o
software malicioso muitas vezes vem em uma mensagem falsa, onde o fraudador se
passa pela instituição financeira e incita o consumidor a clicar em algum link.
Assim que o link abre, se inicia a instalação.
Segundo o diretor da
equipe global de pesquisa e análise da Kaspersky para a América Latina, Fabio
Assolini, esses malwares ficam instalados no celular e são ativados quando o consumidor
vai fazer alguma transação em seu aplicativo financeiro.
"Esses
trojans fazem uma interferência direta no aplicativo do banco ou da fintech.
Assim que o consumidor coloca a chave de transferência e o valor, na hora de
confirmar a transação, o trojan coloca uma tela de espera semelhante à do app e
altera a quantia a conta de destino, muitas vezes sem que o consumidor
perceba", alerta o executivo.
Os especialistas
consultados pelo g1 também destacam uma série de
golpes que podem ser feitos por meio de engenharia social e destacam que esses
crimes são frequentemente adaptados conforme ficam mais conhecidos pela
população.
Como se
proteger de golpes e fraudes?
Segundo os
especialistas consultados pelo g1, o consumidor precisa sempre estar atento na
hora de fazer uma transação no celular ou pagar algo via QR Code, por exemplo,
além de sempre suspeitar caso receba a ligação de alguém que afirma ser algum
funcionário de banco ou de outra empresa conhecida.
De acordo com
Monteiro, da AllowMe, já existe um processo de educação do usuário final sobre
esses possíveis golpes e fraudes por parte das empresas e instituições
financeiras. Ele destaca, no entanto, que é importante que também haja um
esforço dos mais jovens em ensinar e explicar como esses golpes funcionam para
os mais velhos.
"Durante
a pandemia, nós tivemos uma nova safra de pessoas que entraram na internet, e
muita gente de gerações mais velhas que começou a usar aplicativo de banco.
Essas pessoas, que não tinham muito contato com isso antes, podem acabar
virando vítimas potenciais aos olhos dos criminosos", alerta o executivo.
Além disso, os
especialistas destacam a necessidade de atenção sempre que houver alguma
transação financeira. Segundo Assolini, da Kaspersky, é importante que o
consumidor esteja bem-informado sobre os tipos de fraudes que podem acontecer.
"Os criminosos estão
sempre inovando e, atualmente, eles têm buscado se beneficiar da rapidez do PIX
e de fraudes que têm contato direto com o usuário, porque ele é o elo mais
frágil", diz o executivo, reforçando que também é importante que o consumidor
tenha um bom antivírus instalado em seus aparelhos e que sempre esteja atento
ao andar nas ruas, para evitar eventuais roubos.
Já do lado dos
bancos, o diretor adjunto de serviços da Febraban, Walter Faria, afirma que
além de terem grandes equipes de prevenção à fraude que monitoram contas
suspeitas, as instituições financeiras
investem R$ 3,5 bilhões anualmente em sistemas de segurança.
"Os bancos possuem
um processo muito estruturado para abertura de contas, com diversas fases de
segurança e utilização de sistemas para confirmação de dados. Além disso,
também estamos conversando com o Banco Central para ver se conseguimos ampliar
a linha de rastreio [de recursos] e de bloqueio de valores do Med", diz Faria.
O Mecanismo Especial
de Devolução (Med) é um sistema do Banco Central que pode ser acionado tanto
pelas instituições financeiras como pelo usuário final em casos de suspeita de
fraude ou golpe já identificado.
Para as situações em
que o usuário se deu conta que foi vítima de um golpe, é necessário que esse
cliente faça um boletim de ocorrência e avise imediatamente a instituição
financeira por um canal de atendimento oficial, como SAC ou Ouvidoria. Segundo
o BC, há um link direto para o canal a ser utilizado no ambiente PIX nos
aplicativos dos bancos.
Uma vez acionado, o
banco da vítima usa a infraestrutura do PIX para notificar a instituição que
está recebendo a transferência, para que os recursos sejam bloqueados.
"Após
o bloqueio, tanto a instituição do pagador quanto a do possível
golpista/fraudador têm até sete dias para fazer uma análise mais robusta do
caso para ter certeza de que se trata efetivamente de uma fraude. Caso a fraude
se comprove, a instituição de destino da operação devolve os recursos para a do
pagador, que deve efetuar o devido crédito na conta do cliente", informou o BC
em nota.
Vale destacar, no entanto, que o mecanismo não se aplica caso:
-O usuário tenha
feito um PIX por engano, por exemplo, digitando a chave errada;
-Em
controvérsias comerciais entre usuários;
-Em transações com fundada
suspeita de fraude em que os recursos forem destinados à conta transacional de
um terceiro de boa-fé.
Ainda segundo o Banco Central, o regulamento do PIX
deixa claro que as instituições que ofertam o sistema a seus clientes "têm o
dever de responsabilizar-se por fraudes decorrentes de falhas nos seus próprios
mecanismos de gerenciamento de riscos, compreendendo a inobservância de medidas
de gestão de risco".
"Adicionalmente,
foi determinado que as instituições devem obrigatoriamente utilizar as informações
vinculadas às chaves PIX como um dos fatores a serem considerados para fins de
autorização e de rejeição de transações. Essas medidas criam incentivos para
que os participantes aprimorem cada vez mais seus mecanismos de segurança e de
análise de fraudes", acrescentou a autarquia.
Saiba dicas de como
se prevenir de golpes e fraudes:
-Atenção
ao receber um email, SMS e até mensagens pelo WhatsApp: não clique em links
suspeitos e sempre verifique o endereço de email do remetente - muitas vezes,
apenas alguns pequenos detalhes são alterados, como uma letra duplicada ou
trocada, para que o consumidor não suspeite;
-Caso
receba a ligação de alguém que diz ser do seu banco, desconfie e entre em
contato com a instituição financeira por meio de outro telefone - isso porque,
segundo os especialistas, muitas vezes os criminosos conseguem travar a linha
em que fizeram o primeiro contato, de maneira que caso o consumidor tente ligar
para o banco da mesma linha telefônica, a ligação é direcionada para outro criminoso,
que confirma o golpe;
-Nunca
entregue seu cartão para nenhum portador retirar na sua casa. Se receber alguma
ligação ou visita, não entregue nada para ninguém e ligue imediatamente para o
seu banco, de preferência de um outro telefone, para saber se existe algum
problema com a sua conta;
-O
banco nunca liga para o cliente pedindo para que ele instale algum tipo de
aplicativo em seu celular. As instituições financeiras também nunca ligam
pedindo senhas, o número do cartão ou ainda para que o cliente faça uma
transferência ou qualquer tipo de pagamento. Se receber esse tipo de contato,
desconfie na hora. Desligue e entre em contato com a instituição financeira
através dos canais oficiais e de um outro telefone para
saber se algo aconteceu mesmo com sua conta;
-Nunca
passe seus dados pessoais;
-Nunca
utilize dados pessoais como senha (ex. data de aniversário, placa de carro
etc.), nem números repetidos ou sequenciais (ex.: 1111 ou 1234), nem anote
senhas em papel, no celular, no computador ou em e-mails;
-Ao
fazer uma transação comercial com o PIX, sempre pesquise sobre a empresa em
sites de reclamação e confira seu CNPJ;
-Se
for pagar com PIX, sempre faça o pagamento dentro do ambiente da loja virtual.
Quando o varejista fornecer o código QR Code, confira com atenção todos os
dados do pagamento e se a loja escolhida é realmente quem irá receber o
dinheiro. Só após essa checagem detalhada, faça a transferência;
-Nunca
faça transações em sites que não tenham o cadeado de segurança no navegador nem
transferências para contas de pessoas físicas;
-Se
for pagar a compra com boleto, confira quem é a empresa beneficiária que
aparece no momento do pagamento do boleto, no aplicativo ou site do banco. Se o
nome for diferente da marca ou empresa onde a compra foi feita, a transação não
deve ser concluída;
-Tome
cuidado em compras nas redes sociais. O consumidor deve verificar se a página
tem selo de autenticação, número de seguidores compatíveis e também comentários
de outros compradores sobre as compras e prazos de entregas;
-Sempre
desconfie quando o vendedor apelar para a urgência em fechar o negócio, dizendo
que você pode perder descontos;
-Nunca
aceite presentes e brindes inesperados, sem saber quem realmente mandou. Não
forneça dados pessoais em links enviados pela internet de supostas promoções e
tenha muito cuidado ao preencher cadastros na internet;
-Ao
comprar algo em qualquer lugar, nunca entregue seu cartão para alguém inserir
na maquininha e realizar o pagamento. Sempre faça este processo você mesmo;
-Ao
digitar sua senha, garanta que não esteja visível para quaisquer pessoas ao seu
redor. Não aceite realizar pagamentos se o visor da maquininha estiver
danificado, impedindo que você veja o valor real que está pagando;
-Se
possível, sempre use um cartão virtual para realizar compras pela internet;
-Desconfie
das promoções cujos preços sejam muito menores que o valor real do produto.
Pesquise a média de preços em vários sites conhecidos;
-Nunca use um
computador público ou de um estranho para efetuar compras ou coloque seus dados
bancários.
Fonte:
G1