Na mesma velocidade em que as soluções financeiras avançam também surgem ameaças sofisticadas que visam roubar não só o dinheiro como também os dados pessoais dos usuários. E com o PIX não é diferente. Desde que começaram a ser feitos os cadastros das chaves, no último dia 5 de outubro, logo nas primeiras horas, especialistas em segurança da Kaspersky identificaram o registro de 30 domínios fraudulentos com o termo “pix” para captura de dados. Agora já são mais de 100.
O rápido interesse dos cibercriminosos não surpreendeu o especialista sênior de segurança da Kaspersky no Brasil, Fabio Assolini. “Quando o governo federal anunciou o cadastro do auxílio emergencial, no dia 3 de abril, até o dia 8 já tínhamos identificamos 100 domínios falsos”, diz. O registro de um domínio é o primeiro estágio de um golpe. Eles simulam endereços oficiais de bancos, com pequenas mudanças em letras e pontos e são esses endereços que são enviados em links para e-mails, SMS e WhatsApp — são abertos quando o usuário clica. Entre os nomes desses domínios maliciosos sempre há uma ligação com o tema, como por exemplo chavepix.me; gerenciadorpix.com; pagarpix.com; pixapp.online; pixbrasil.tech; pixempresas.com; suportepix.online e pix.atualizacaowebsegura.gq. Esse tipo de ameaça é denominada “Phishing” porque simula uma “pescaria” para fisgar os desatentos e capturar login e senhas bancárias.
Segundo a empresa, o Brasil é um dos países mais afetados por esses programas maliciosos em todo o mundo. Em 2019, foram mais de 30 milhões de ataques. Neste ano, com a pandemia, houve uma verdadeira explosão, subindo mais de 124%. O primeiro foco é roubar senhas, o segundo é se instalar no equipamento e monitorar quando você entra nos sites ou aplicativos de bancos para roubar todos os dados e o dinheiro nas contas. “Por isso, desconfie sempre e não clique em nada que te enviem”, diz Assolini.
A Federação Brasileira de Bancos (Febraban) reforça que o cadastramento das chaves do novo sistema de pagamentos instantâneos só deve ser feito nos canais oficiais das instituições financeiras, como os aplicativos bancários, internet banking, agências ou através de contato direto feito pelo cliente com a central de atendimento. Não é preciso baixar nenhum outro programa adicional. Além de não clicar em links recebidos, os consumidores não devem falar com supostas centrais de call center que ligam se dizendo do banco e oferecendo o cadastramento pelo telefone. Os dados pessoais do cliente jamais são solicitados ativamente pelas instituições financeiras, segundo a Febraban. “Na dúvida, sempre procure seu gerente, uma agência ou a central de atendimento oficial da instituição para obter esclarecimentos”, afirma Isaac Sidney, presidente da entidade, reafirmando que os bancos investem cerca de R$ 2 bilhões por ano em sistemas de tecnologia voltados para segurança justamente para garantir todas as transações financeiras. Apesar disso, no período de quarentena, as instituições financeiras admitem que registraram um aumento de 80% nas tentativas de ataques de “Phishing”.
Transações limitadas
Mesmo não sendo obrigatório, Assolini recomenda que todos façam seu cadastro no PIX. Isso porque quando faz o cadastro a pessoa pode descobrir se alguém já fez sem seu conhecimento ou consentimento. O que já tem gerado muita reclamação. O Procon-SP inclusive precisou notificar o Nubank e o Mercado Pago pedindo explicações sobre ocorrência de cadastros das chaves de segurança do Pix sem a solicitação do cliente e, também sobre dificuldades de cancelamento. Notícias divulgadas relatam reclamações de consumidores sobre a ocorrência dessas práticas nas duas instituições, que lideraram o cadastramento desde o início. Segundo o Procon, o cadastro precisa ter autorização expressa de consumidores e empresas para ser efetivado.
Mas vale lembrar que, ao fazer seu cadastro, a pessoa automaticamente impede que outra pessoa faça em seu lugar. “Eu mesmo tive meu cadastro feito automaticamente pela instituição e solicitei a mudança”, diz o especialista. Para empresas, a maior preocupação tem que ser no departamento financeiro. Especialmente na adaptação e interface dos sistemas com o sistema bancário. Vale também lembrar que, assim como a pessoa física, é preciso todo um cuidado com os equipamentos que fazem operações bancárias nas empresas, porque é preciso ter bem claro que agora todas as transferências do Pix são instantâneas e funcionam 24 horas, sete dias por semana. Por isso, as proteções precisam ser ainda mais robustas e o acesso limitado a poucas pessoas.
Exatamente por isso, o Banco Central, a pedido das instituições financeiras, decidiu limitar valores para as transações em horários pré-determinados, como finais de semana, e assim tentar evitar possíveis fraudes ou roubos. Outro cuidado essencial terá de ser tomado com os QR Codes. Certifique-se sempre da origem do código, porque assim como o código de barras, o QR Code também pode ser fraudado para transferências em contas escusas. Como tudo que é novo, o PIX vai passar por um amadurecimento, mas como prudência nunca é demais, é sempre bom ficar atento.
Fonte: Istoé
Créditos: Polêmica Paraíba