O PIX, novo sistema de pagamentos do Banco Central, teve o cadastro de usuários iniciado na segunda-feira (5) e entrará em funcionamento em 16 de novembro. Mas, como quase toda novidade, o PIX já atraiu a atenção de criminosos.
Foram identificadas campanhas que visam roubar dados dos usuários e espalhar malwares por mensagens e páginas falsas. Segundo o Banco Central, mais de 3,5 milhões de chaves foram cadastradas até às 18h do primeiro dia de abertura dos cadastros. Tanto que, no mesmo dia, bancos sofreram com instabilidade.
Geralmente, os fraudadores utilizam técnicas de phishing para atrair a atenção das vítimas. São enviadas mensagens por aplicativos, SMS e também e-mail contendo falsas informações sobre o cadastro das chaves. As comunicações se passam por instituições oficiais e afirmam que a vítima já pode fazer o seu cadastro “em menos de um minuto”, por exemplo.
As chaves são cadastradas utilizando o CPF, número de telefone e endereço de e-mail dos clientes. Ou, se preferir, pode ser utilizada uma chave aleatória, gerada pelo sistema das instituições.
E-mail falso utiliza nome da Caixa Econômica Federal, embora endereço do remetente seja ‘@gmail.com’. Imagem: Kaspersky/Reprodução
Segundo a empresa de cibersegurança Kaspersky, em menos de 24 horas foi possível identificar pelo menos 30 domínios fraudulentos registrados usando o termo ‘pix’. De acordo com o especialista sênior de segurança Fabio Assolini, o registro de domínio é o primeiro estágio de um golpe. Ele compara, por exemplo, com a rápida disseminação de golpes durante o início da liberação do auxílio emergencial.
Entre os domínios encontrados pela companhia, destacam-se alguns como ‘chavepix.me’, ‘gerenciadorpix.com’, ‘pagarpix.com’ e ‘suportepix.online’. As chaves, entretanto, só podem ser cadastradas nos serviços de instituições bancárias – como em bancos tradicionais, como o Itaú, ou fintechs, como o Nubank.
Como identificar um golpe?
A Kaspersky destaca que os golpes têm sido aplicados de três formas distintas. Na mais comum, os criminosos entram em contato por e-mail, redes sociais ou SMS. Normalmente, é oferecido o cadastro de forma simplificada e um endereço para uma página fraudulenta que tenta fazer o download de um arquivo malicioso.
Assim, em computadores com Windows ou smartphones com Android, será baixado um arquivo ‘.zip’ ou ‘.RAT’ (ferramenta de acesso remoto), a depender do sistema operacional. A instalação do malware pode permitir aos fraudadores o acesso ao dispositivo conectado e coletar informações sensíveis. O recomendado é nunca baixar arquivos suspeitos.
Chaves do PIX e informações pessoais que dão acesso ao sistema não devem ser informadas em canais não oficiais. Imagem: Samantha Lam (Unsplash)/Reprodução
Outras páginas já simulam o visual dos próprios bancos e as vítimas são induzidas a acessar suas contas com dados reais, como o próprio código de autenticação. Assim, os criminosos podem invadir as contas e realizar transações. Por último, um golpe visa coletar dados pessoais de vítimas para que sejam usados em fraudes no sistema quando for lançado no próximo mês.
Fora dos canais oficiais, bancos e instituições bancárias não solicitarão dados pessoais e sensíveis dos clientes. O registro de chaves também não é feito por telefone, apenas por canais digitais. Logo, se você estiver interessado em fazer o cadastro, procure sempre o aplicativo ou site oficial do seu banco, ou ainda, procure o gerente de sua conta.
Fonte: Kaspersky
Tags: