As transferências bancárias via do Pix
completaram apenas um ano em novembro de 2021, mas já se tornaram um hábito no Brasil.
Hoje, é comum ver uma pessoa com um celular na mão perguntando o número do CPF ou CNPJ para fazer
um Pix, seja na feira, no mercado ou na padaria. Mas, com a grande popularidade, também surgiram
os golpes, que estão cada vez mais sofisticados. Só até setembro de 2021, a Receita
Federal bloqueou mais de 2,7 milhões de tentativas de golpes envolvendo o Pix.
Sou Felipe Souza, repórter da BBC News Brasil em São Paulo. Eu conversei com hackers e
especialistas em segurança digital e vou explicar, neste vídeo, como são aplicados
alguns dos golpes mais comuns envolvendo o Pix e como evitar cair neles.
A maior parte dos golpes usam engenharia social, ou seja, a manipulação psicológica ou
estelionato para enganar as vítimas. Em um caso em Santos, no litoral de São
Paulo, uma aposentada teve um prejuízo estimado em R$ 60 mil depois que os golpistas se
passaram por funcionários de um banco e tiveram acesso a dados da conta e senha dela.
O delegado Tarcio Severo, me contou que o número de sequestros-relâmpago, um
crime antes considerado adormecido, também disparou após a implantação do Pix.
Ou seja, tem criminosos sequestrando pessoas e mantendo como reféns até que
elas façam transferências. Como com o Pix agora elas são instantâneas,
fica cancelar a transferência e reaver o dinheiro depois, já que muitas vezes ele
já saiu da conta para a qual foi enviado. O delegado me disse ainda que quadrilhas
especializadas em outros crimes, como furtar condomínios ou explodir caixas eletrônicos,
estão migrando para crimes envolvendo o Pix. Para dificultar a ação dos criminosos,
o Banco Central limitou o valor das transferências bancárias feitas das 20h às 6h.
Mas a Polícia Civil continua identificando e caçando diariamente quadrilhas
que atuam neste tipo de crime. O golpe mais comum chama-se capturador de
sessões. Nele, o golpista envia um PDF ou email para a vítima com um arquivo que, caso seja
aberto, vai infectar o dispositivo eletrônico, seja celular, tablet ou computador.
Com o vírus instalado, o invasor receberá uma notificação quando a
vítima abrir um aplicativo de banco. O hacker então captura a sessão daquela
pessoa, inclusive a combinação de senhas, e obtém acesso à conta dela.
O vírus permite que o hacker use o aparelho da própria vítima para acessar o
site do banco e fazer transferências via Pix. Em casos em que o banco exige algum
tipo de número fornecido por um token, o hacker ainda consegue clonar
o número do celular da vítima, com a ajuda de funcionários das
operadoras, para ter acesso ao código. Os mais básicos são aqueles em que
o golpista cria uma página falsa, na qual a vítima acessa por meio de um
link uma oferta enganosa ou algo parecido. Já o phishing mais complexo exige que o hacker
tenha acesso ao DNS, sigla em inglês para Sistema de Nomes de Domínio da vítima. Sigla
em inglês para Sistema de Nomes de Domínio. Funciona assim: quando a gente digita o
endereço de um site, o DNS do computador identifica a qual endereço de IP, que é
um código numérico, esse site corresponde. Aí, ele analisa se o endereço é
confiável e prossegue com o acesso. Se um hacker acessa o DNS, ele
pode “enganar” o computador da pessoa sobre qual site está sendo acessado.
Mas conseguir acesso ao DNS da vítima para alterar esses dados é a parte mais difícil da invasão.
Uma das formas é incluir algum código em um site de acesso em massa — como um portal de notícias
ou um site de gaming — para que o hacker possa trocar o DNS de diversos usuários que
tenham senhas facilmente decifráveis em seu roteador de internet, como 1234.
Isso criou um segundo mercado paralelo: o de vendas de licenças de programas para hackers.
Para ganhar dinheiro cooperando com o crime, mas “sem sujar as mãos”, alguns programadores
criam programas que roubam dados e “alugam” a licença dele por até R$ 2 mil por semana.
Um hacker com que meu conversei explicou que a maior dificuldade desse método é
espalhar o vírus ou conseguir vítimas.
Quando o criminoso consegue isso, ele
rouba o dinheiro imediatamente e usa para comprar criptomoedas e ocultar a sua origem.
Outro golpe comum é o do SMS emergencial ou SMS premiado, no qual o golpista dispara milhares de
mensagens automáticas pedindo socorro ou dizendo que a pessoa ganhou um prêmio e solicitando
uma transferência via Pix para solucionar um problema financeiro ou resgatar a bolada.
Agora, vou falar dos três principais passos que os especialistas com quem eu conversei
indicaram para evitar que você seja mais uma vítima de golpes digitais, tanto
por Pix ou em aplicativos de conversa. A primeira dica é baixar um antivírus no celular. Assim, você cria uma barreira de
proteção contra a maioria dos golpes, como os que tentam infectar seu celular
através de e-mails ou arquivos digitais. A segunda, é desconfiar de mensagens
e ligações de contatos desconhecidos. Essa é a origem da maior parte dos
golpes que envolvem estelionato ou engenharia social. Ficou desconfiado?
Procure a instituição que teoricamente entrou em contato com você.
E nunca passe suas senhas. A terceira é escolher senhas
seguras e difíceis para seu celular, acessos e até para a rede Wi-Fi da sua casa. Nada de 123456 ou admadm… Os golpistas podem entrar pela internet sem fio, ter acesso à tela do seu celular e até fazer
você entrar em páginas falsas sem saber. Segundo Emílio Simoni, especialista em
segurança digital e diretor do dfndr Lab, do grupo CyberLabs-PSafe, cerca de 40% dos celulares
brasileiros estão vulneráveis a esse tipo de golpe porque possuem senhas fáceis ou não têm senha.
Existe programa para esse tipo de roubo de dado. O DNS Change, criado por hackers em 2013,
invade celulares com senhas de wi-fi fáceis, como “12345678” ou “adm1234” e
troca a identidade do aparelho. Ou seja, todo cuidado é pouco. Espero que essas dicas ajudem você a se proteger. Eu fico por aqui! Obrigado e até a próxima