Golpistas simulam Pix e enganam lojas com app falso de banco

Ação identificada pela Kaspersky visa produtos de pequeno valor no varejo, aproveitando desatenção ao conferir comprovante

Por Giovanni Santa Rosa

23/08/2024 às 11:41

O Pix é um dos responsáveis pelo declínio do cheque (imagem: Vitor Pádua/Tecnoblog) — Pagamento com Pix no varejo precisa ser conferido imediatamente para evitar golpes (Imagem: Vitor Pádua / Tecnoblog)

Criminosos usam aplicativos falsos de bancos para simular o pagamento de compras em lojas físicas e enganar comerciantes. As ferramentas simulam todas as etapas de um pagamento por Pix, como digitar chave, valor e senha e até mesmo exibir uma tela de carregamento, gerando um comprovante falso no final.

O golpe foi identificado pela Kaspersky e noticiado inicialmente pela Folha de S.Paulo. “São fraudes de pequeno valor e que se aproveitam da desatenção do atendente”, explica Leandro Cuozzo, pesquisador da empresa.

Pix no aplicativo do Nubank (imagem: Emerson Alecrim/Tecnoblog) — Nubank é um dos apps falsificados pelos criminosos (Imagem: Emerson Alecrim / Tecnoblog)

Para se proteger, os comerciantes precisam ficar atentos e conferir se as transações realmente caíram na conta indicada. Como o Pix é instantâneo, isso pode ser feito imediatamente após a venda.

“Golpe para comprar sapatos”

Segundo o jornal, estes aplicativos são vendidos pelo Telegram por uma quadrilha especializada. Os preços variam de R$ 25 a R$ 45, de acordo com o banco — Nubank, Inter, Mercado Pago, Caixa e Itaú são algumas das “opções”. O pacote com todos sai por R$ 120.

Pix em aplicativo da Caixa (imagem: Emerson Alecrim/Tecnoblog) — Caixa é outro alvo dos golpistas (imagem: Emerson Alecrim/Tecnoblog)

O grupo criminoso também está fornece “conteúdo” em Telegram, TikTok, Instagram e YouTube. No Telegram e no WhatsApp, eles dão dicas de como aplicar o golpe, como dias e horários com maior movimento, em que a pressa para atender atrapalha os funcionários, e pegar produtos mais baratos, em que não há tanta atenção ao comprovante.

Cuozzo diz que este tipo de ação é voltada a pequenos roubos. “É um golpe para comprar sapatos”, explica o pesquisador.

Apps colocam celular em risco

A Kaspersky também alerta que quem instala este tipo de app está sujeito a ataques, já que é preciso desbloquear o smartphone para a instalação de APKs, enfraquecendo a segurança do dispositivo.

A mesma quadrilha oferece utilitários que prometem burlar NFC, geradores de tela, de notificações e de documentos falsos, e até um criador de deepfakes para enganar a biometria exigida pelos bancos.

O que dizem as empresas

As plataformas de redes sociais foram procuradas pela Folha. O Telegram diz ter removido o canal mencionado e afirma monitorar ativamente este tipo de conteúdo. O YouTube derrubou os vídeos enviados pela reportagem. Já o TikTok bloqueou a conta da quadrilha.

Também procurada, a Federação Brasileira de Bancos (Febraban) diz que as instituições financeiras têm investido em campanhas de conscientização e esclarecimento em TVs, rádios, redes sociais e comunicados à imprensa.

Com informações: Folha de S.Paulo

Escrito por

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.

Comentários da Comunidade

5 comentários

Participe da discussão

Os mais notáveis

Comentários com a maior pontuação

Vítor Gomes 1 semana atrás

Sempre achei um risco enorme e já até critiquei várias vezes isso. 99% dos lojistas que vejo, usam QR Codes estáticos da chave Pix, cuja única conferência é o comprovante.

Infelizmente as maquininhas de cartão cobram taxas enormes pra fazer esse trabalho e, até onde sei, não há nenhuma API aberta do Banco Central que pudesse ser utilizado em um software pra confirmação do depósito (a não ser APIs proprietárias caras de bancos).

Acidez Controlada 1 semana atrás

País da pilantragem da falcatrua, da fraude, sempre bem franqueado no que há de pior e nunca nas coisas boas como educação saúde e neste caso, segurança. E apesar de óbvio que quem faz uma transação dessas, sendo grande ou pequena precisa estar atenta, o foco sempre deve ser primariamente falar mal e fazer mal o ao bandido, ptendendo-os em massa, se necessário. As luzes têm de estar sobre aqueles que es-co-lhe-ram cometer fraudes.

brasileiro inapto 1 semana atrás

“As plataformas de redes sociais foram procuradas pela Folha . O Telegram diz ter removido o canal mencionado e afirma monitorar ativamente este tipo de conteúdo. O YouTube derrubou os vídeos enviados pela reportagem. Já o TikTok bloqueou a conta da quadrilha.”

Me engana que eu gosto. Até parece que isso acontece de forma rápida e eficiente.

Carlos Rodrigues 1 semana atrás

Quando eu tinha o telegram com o bloqueio dos outros me adicionarem em grupos desativado, fui colocado em um grupo que fornecia esses apps lá de graça, na cara de pau, só clicar e baixar, e isso faz mais de ano já, então esse golpe já acontece a muito tempo com certeza.
O grupo em si fornecia como “produto principal” consultas de informações cadastrais (CPF, Nome, Placa de veículo etc.)

Gustavo Silva 1 semana atrás

Sou Uber e o mercado pago tem um recurso interessante que mesmo no QR estático (tenho ele impresso) eu consigo fazer uma venda com o valor pre definido como se fosse na maquininha, e a taxa é 0