Brasil é o segundo país com mais transações em tempo real do mundo; instantaneidade torna sistema um dos preferidos pelos criminosos.
O número de golpes e fraudes associados ao PIX têm crescido no país, apontam especialistas. Esses ataques acontecem tanto por meio de vírus instalados sem que o consumidor perceba, como via engenharia social (quando um criminoso usa influência e persuasão para enganar e manipular pessoas e obter senhas de acesso).
O aumento, dizem esses especialistas, acompanha a crescente popularização do sistema de pagamentos instantâneos. Um levantamento recente feito pela ACI WorldWide, por exemplo, indicou que o Brasil é o 2º país com mais transações em tempo real do mundo.
Só em 2022 foram registradas 29,2 bilhões de transações no país, o equivalente a 15% do total registrado no mundo, de 195 bilhões.
De acordo com o diretor geral da AllowMe, plataforma de prevenção à fraude e proteção de identidades digitais, Gustavo Monteiro, o PIX acaba sendo um dos meios mais utilizados pelos fraudadores principalmente por conta da instantaneidade do sistema.
“O que veio como uma facilidade para a sociedade acabou sendo subvertida para os fraudadores. Os criminosos entenderam que, na prática, cada pessoa tem um banco no celular, com dinheiro na conta ou possibilidade de crédito, e passaram a se aproveitar dessa situação. O protocolo do PIX, em si, é extremamente seguro, mas houve uma intersecção em prol da fraude”, explica o executivo.
Nesse sentido, destacam os especialistas, a principal dificuldade está em bloquear a transação — já que ela é instantânea — ou em reaver o dinheiro perdido.
Nesse último caso, dizem, a dificuldade acontece porque, uma vez que os recursos caem na conta do criminoso, eles são rapidamente pulverizados e divididos em diversas outras contas, o que acaba dificultando que os bancos rastreiem o caminho do dinheiro.
Segundo dados do Banco Central, mais de 147 milhões de usuários estavam cadastrados no Diretório de Identificadores de Contas Transacionais (DICT) até o final de abril — um aumento de 0,9% na comparação mensal (146,4 milhões) e de 16,8% em relação a igual mês de 2022 (126,6 milhões).
Entenda os ataques feitos a pessoas físicas
Segundo os especialistas, o volume de fraudes ganhou força durante a pandemia. Informações da Federação Brasileira de Bancos (Febraban) indicam que os números de ataques originados de engenharia social mais do que dobraram (+165%) entre o segundo semestre de 2020 e os primeiros seis meses de 2021.
Já em 2022, dados da Kaspersky apontam que o número de trojans (um tipo de software malicioso) bancários para celulares atingiu o maior número em seis anos, com cerca de 200 mil malwares do tipo identificados no período.
Entre os principais ataques feitos a pessoas físicas estão:
- Contas falsas de pagamento com QR Code malicioso;
- Hackeamento de dispositivos celulares para a criação de contas bancárias;
- Trojans bancários que infectam o celular e redirecionam os pagamentos feitos em aplicativos bancários para a conta de um criminoso;
- Golpes feitos por meio de engenharia social;
- Uso de informações pessoais e fotos da vítima para a criação de contas laranjas, entre outros.
Nesse sentido, um levantamento recente da AllowMe apontou que pelo menos 20% de todas as contas abertas no Brasil são suspeitas de fraude.
Entre as razões pelas quais as contas são identificadas dessa forma, estão as suspeitas de que o dispositivo usado possa ter sido hackeado, de adulteração durante a captura de selfies para validação de identidade e solicitação de prova de vida, e a incompatibilidade entre as fotografias tiradas e as vinculadas a determinado CPF, por exemplo.
A companhia destaca, ainda, que outra fraude poderia estar na tentativa de burlar processos de cadastro junto a instituições financeiras e, em especial, ferramentas de biometria facial.
Nesse caso, os criminosos captam uma imagem a partir de fotografias e vídeos já existentes e até chegam a imprimir máscaras 2D, com abertura para olhos e bocas – o que permitiria ao fraudador atender a comandos de sorrir ou piscar exigidos como prova de vida por algumas plataformas.
Além disso, há também o uso de recursos para enganar sistemas, disfarçando endereços IP, geolocalização, e-mails e outras informações, e a substituição de imagens capturadas de maneira legítima por versões manipuladas digitalmente.
“Esses e outros métodos são usados por fraudadores para criação de contas laranjas em instituições financeiras, justamente para a solicitação de empréstimos e emissão de cartões de crédito no nome de terceiros ou, ainda, para a lavagem de dinheiro”, diz o gerente de produto sênior da AllowMe, Deaulas Neto, em nota.
Contas laranjas são contas bancárias que usam pessoas como intermediárias em transações financeiras fraudulentas, ocultando a identidade do criminoso. “Muitas vezes, a vítima só toma conhecimento de que teve uma conta aberta em seu nome meses depois, quando recebe cobranças que desconhece”, acrescenta Neto.
Os especialistas ainda destacam que outro golpe comum que envolve o uso de contas laranjas está associado à instalação de malwares nos celulares dos consumidores, sem o conhecimento do proprietário.
Nesses casos, o software malicioso muitas vezes vem em uma mensagem falsa, onde o fraudador se passa pela instituição financeira e incita o consumidor a clicar em algum link. Assim que o link abre, se inicia a instalação.
Segundo o diretor da equipe global de pesquisa e análise da Kaspersky para a América Latina, Fabio Assolini, esses malwares ficam instalados no celular e são ativados quando o consumidor vai fazer alguma transação em seu aplicativo financeiro.
“Esses trojans fazem uma interferência direta no aplicativo do banco ou da fintech. Assim que o consumidor coloca a chave de transferência e o valor, na hora de confirmar a transação, o trojan coloca uma tela de espera semelhante à do app e altera a quantia a conta de destino, muitas vezes sem que o consumidor perceba”, alerta o executivo.
Os especialistas consultados pelo g1 também destacam uma série de golpes que podem ser feitos por meio de engenharia social e destacam que esses crimes são frequentemente adaptados conforme ficam mais conhecidos pela população.
Como se proteger de golpes e fraudes?
Segundo os especialistas consultados pelo g1, o consumidor precisa sempre estar atento na hora de fazer uma transação no celular ou pagar algo via QR Code, por exemplo, além de sempre suspeitar caso receba a ligação de alguém que afirma ser algum funcionário de banco ou de outra empresa conhecida.
De acordo com Monteiro, da AllowMe, já existe um processo de educação do usuário final sobre esses possíveis golpes e fraudes por parte das empresas e instituições financeiras. Ele destaca, no entanto, que é importante que também haja um esforço dos mais jovens em ensinar e explicar como esses golpes funcionam para os mais velhos.
“Durante a pandemia, nós tivemos uma nova safra de pessoas que entraram na internet, e muita gente de gerações mais velhas que começou a usar aplicativo de banco. Essas pessoas, que não tinham muito contato com isso antes, podem acabar virando vítimas potenciais aos olhos dos criminosos”, alerta o executivo.
Além disso, os especialistas destacam a necessidade de atenção sempre que houver alguma transação financeira. Segundo Assolini, da Kaspersky, é importante que o consumidor esteja bem-informado sobre os tipos de fraudes que podem acontecer.
“Os criminosos estão sempre inovando e, atualmente, eles têm buscado se beneficiar da rapidez do PIX e de fraudes que têm contato direto com o usuário, porque ele é o elo mais frágil”, diz o executivo, reforçando que também é importante que o consumidor tenha um bom antivírus instalado em seus aparelhos e que sempre esteja atento ao andar nas ruas, para evitar eventuais roubos.
Já do lado dos bancos, o diretor adjunto de serviços da Febraban, Walter Faria, afirma que além de terem grandes equipes de prevenção à fraude que monitoram contas suspeitas, as instituições financeiras investem R$ 3,5 bilhões anualmente em sistemas de segurança.
“Os bancos possuem um processo muito estruturado para abertura de contas, com diversas fases de segurança e utilização de sistemas para confirmação de dados. Além disso, também estamos conversando com o Banco Central para ver se conseguimos ampliar a linha de rastreio [de recursos] e de bloqueio de valores do Med”, diz Faria.
O Mecanismo Especial de Devolução (Med) é um sistema do Banco Central que pode ser acionado tanto pelas instituições financeiras como pelo usuário final em casos de suspeita de fraude ou golpe já identificado.
Para as situações em que o usuário se deu conta que foi vítima de um golpe, é necessário que esse cliente faça um boletim de ocorrência e avise imediatamente a instituição financeira por um canal de atendimento oficial, como SAC ou Ouvidoria. Segundo o BC, há um link direto para o canal a ser utilizado no ambiente PIX nos aplicativos dos bancos.
Uma vez acionado, o banco da vítima usa a infraestrutura do PIX para notificar a instituição que está recebendo a transferência, para que os recursos sejam bloqueados.
“Após o bloqueio, tanto a instituição do pagador quanto a do possível golpista/fraudador têm até sete dias para fazer uma análise mais robusta do caso para ter certeza de que se trata efetivamente de uma fraude. Caso a fraude se comprove, a instituição de destino da operação devolve os recursos para a do pagador, que deve efetuar o devido crédito na conta do cliente”, informou o BC em nota.
Vale destacar, no entanto, que o mecanismo não se aplica caso:
- O usuário tenha feito um PIX por engano, por exemplo, digitando a chave errada;
- Em controvérsias comerciais entre usuários;
- Em transações com fundada suspeita de fraude em que os recursos forem destinados à conta transacional de um terceiro de boa-fé.
Ainda segundo o Banco Central, o regulamento do PIX deixa claro que as instituições que ofertam o sistema a seus clientes “têm o dever de responsabilizar-se por fraudes decorrentes de falhas nos seus próprios mecanismos de gerenciamento de riscos, compreendendo a inobservância de medidas de gestão de risco”.
“Adicionalmente, foi determinado que as instituições devem obrigatoriamente utilizar as informações vinculadas às chaves PIX como um dos fatores a serem considerados para fins de autorização e de rejeição de transações. Essas medidas criam incentivos para que os participantes aprimorem cada vez mais seus mecanismos de segurança e de análise de fraudes”, acrescentou a autarquia.