Início » Antivírus e Segurança » Pix é usado como isca em novos golpes via SMS para roubar dinheiro

Pix é usado como isca em novos golpes via SMS para roubar dinheiro

Táticas usadas por criminosos têm funcionamento semelhante ao de faturas falsas enviadas por e-mail; velocidade do Pix facilita golpes, diz Kaspersky

Ana Marques Por

Criminosos estão inventando novas formas de roubar dinheiro usando o Pix, sistema de pagamentos instantâneos do Banco Central. Desta vez, a ferramenta é usada como isca em um golpe via SMS. Segundo um relatório da empresa de cibersegurança Kaspersky, o novo esquema é uma evolução de outra tática usada há alguns anos: a fatura falsa por e-mail.

Pix no aplicativo (Imagem: Emerson Alecrim/Tecnoblog)
Pix no aplicativo (Imagem: Emerson Alecrim/Tecnoblog)

Lançado em novembro de 2020, o Pix fez rápido sucesso entre os brasileiros, e sua popularidade vem chamando a atenção de pessoas mal intencionadas. A nova forma de golpe se adapta à nova forma de pagamento e aproveita seu dinamismo para enganar quem está menos atento ou tem pouca familiaridade com tecnologia.

Golpes prometem desconto em faturas de cartão e celular

De acordo com os especialistas da Kaspersky, as mensagens chegam à vítima por SMS e prometem desconto no pagamento de faturas de celular ou cartão de crédito utilizando Pix. Em um dos exemplos divulgados pela empresa de segurança, a mensagem falsa afirmava que o consumidor poderia ter abatimento de R$ 35,90 na conta — em seguida, informava a chave Pix para a transferência do dinheiro.

Criminosos enviam chave Pix em falsa promoção por SMS (Imagem: Reprodução/Kaspersky)

Outra ação consistia no anúncio de uma união entre bandeiras de cartões para oferecer descontos de até 40% na fatura — ao acessar um site falso, a vítima é solicitada para inserir CPF, valor da fatura original, bandeira e os quatro últimos números do cartão.

Por fim, um novo valor falso para a fatura é gerado, e uma chave Pix é informada para transferência. Neste caso, além de perder dinheiro, a pessoa também acaba entregando dados pessoais de bandeja para os criminosos.

Site malicioso capta dados e fornece chave Pix para suposta oferta, mas é um golpe (Imagem: Reprodução/Kaspersky)

Uso de short-code dificulta identificação do golpe

O analista de segurança Fabio Assolini chama a atenção para outro fator que facilita a circulação desse tipo de golpe: o uso de números curtos (short-codes), geralmente utilizados por empresas, para envio de SMS falso.

“Os chamados ‘short-codes’ são canais que deveriam ser usados exclusivamente pelas operadoras e grandes empresas para realizar a comunicação com clientes, pois eles têm uma maior credibilidade e são usados geralmente para o envio de tokens ou códigos de confirmação. Mas é incontestável que eles estão sendo abusados para aplicar golpes online.”

A Kaspersky afirma que já bloqueou mais de 22 milhões de tentativas de phishing desde a estreia do Pix. De acordo com a empresa, 81% das mensagens fraudulentas usam nomes de instituições financeiras. Entre maio e agosto de 2021, mais de 2.400 URLs de phishing que mencionaram o termo “Pix” foram bloqueadas.

“Nos últimos meses, identificamos golpes explorando o SMS, como as mensagens de classe zero e o uso de códigos unicode para burlar os filtros das operadoras. Com o uso de engenharia social para enganar as vítimas e receber pagamentos via PIX, cujo estorno do valor pago é algo muito difícil de ser feito, o golpe é se completa de maneira bem-sucedida. Neste contexto, é muito importante que as pessoas saibam que os golpes existem, entendam como se proteger e que contem com uma solução de segurança em seus celulares”.

Fabio Assolini, Kaspersky

Como não cair em golpes com Pix

O mecanismo para golpes com Pix explora a mesma fraqueza de outros golpes online: a falta de atenção (ou conhecimento) do usuário. No caso da transferência via Pix, ao inserir a chave no app do banco para realizar o pagamento, você pode confirmar os dados sobre o destinatário — desconfie ao perceber informações discrepantes nestes campos de identificação, e questione qualquer dado suspeito.

Para evitar esse tipo de problema, é importante estar atento e não acreditar em todas as promoções que chegam via SMS, WhatsApp ou outro canal de comunicação. Visite sempre canais oficiais da empresa por trás da suposta oferta para saber se ela é verdadeira, por mais que a aparência seja convincente.

Como já alertamos diversas vezes aqui no Tecnoblog, é necessário ter cautela antes de compartilhar seus dados pessoais ou bancários com qualquer pessoa pela internet — evite enviar informações sobre conta ou número de cartão de crédito por mensageiros, e-mail ou redes sociais. Também desconfie sempre que um site pedir essas informações e, na hora de fazer uma compra online, verifique se a loja é segura.

Comentários da Comunidade

Participe da discussão
5 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Everton Favretto (@evefavretto)

Meu entendimento é que você pode contratar envio através de um short code por qualquer um dos gateways de SMS publicitário legal.

Me espanta é não terem feito um mínimo de escrutínio.

Anderson Carvalho (@andersondicarvalho)

Screenshot_20210819-172634_Messages1439×1748 162 KB
Então, existe aplicativos para Android que faz o envio de SMS por short-codes. O funcionamento é o mesmo de aplicativos Voip. Foi-se o tempo que receber mensagens de número short-codes era seguro, igual acessar sites com cadeado verde era sinal de segurança porque hoje até os sites falsos possuem esse cadeado.

Douglas Knevitz (@Douglas_Knevitz)

Queria saber qual a dificuldade técnica em implementarem uma forma dos apps bancários serem um canal direto de comunicação para pagamentos. Ao invés das empresas enviarem fatura por e-mail, ela já chegaria direto no app e o usuário poderia escolher pagamento automático ou agendado. Simples, rápido e seguro.

Outra coisa que até hoje não me conformo, é em não ter domínios de e-mails verificados. Como por exemplo os usados para comunicação de grandes empresas, isso ajudaria bastante para dificultar esse tipo de golpe.

Aliás, está na hora de se criar um padrão mundial de contas verificadas (e-mails, redes sociais, números de telefone …), para realmente por ordem e facilitar o trabalho dos filtros de spams.