Como cadastrar o seu Pix com segurança no banco e aplicativos
Escolha cadastrar as chaves do Pix pelo aplicativo do banco, para evitar fraudes relacionadas ao novo sistema de pagamentos
Escolha cadastrar as chaves do Pix pelo aplicativo do banco, para evitar fraudes relacionadas ao novo sistema de pagamentos
O cadastro das chaves do Pix já foi liberado, embora as transações com o novo sistema de pagamentos do Banco Central só estarem disponíveis a partir de 16 de novembro de 2020. Contudo, mesmo nesse primeiro momento, é preciso estar atento às fraudes e roubo de dados que aproveitam da novidade. Saiba como cadastrar as chaves do Pix com segurança.
Nas primeiras cinco horas comerciais da liberação do cadastro das chaves do Pix, em 5 de outubro, a Kaspersky identificou mais de 30 domínios fraudulentos relacionados ao sistema de pagamentos. A preocupação de Fábio Assolini, especialista sênior de segurança da empresa, é que esse número só cresça, sendo este o primeiro passo para realização de um golpe.
Por se tratar de um sistema financeiro, o interesse pelo Pix é grande. Afinal, é muito mais rápido fazer uma transferência por esse método. Mas, é preciso que as chaves do Pix estejam nas mãos erradas para o golpe funcionar.
Os e-mails de phishing começaram até mesmo antes da liberação do cadastro, usando o nome de bancos populares para enviar um link para o pré-cadastro das chaves do Pix. Na tentativa fraudulenta identificada pela Kaspersky, o site para o qual o link levava o usuário solicitava senha bancária, número de celular e CPF.
A forma mais segura de fazer o cadastro de uma chave do Pix é pelo aplicativo do banco ou fintech, de forma voluntária e sem partir de nenhum link recebido via SMS ou e-mail. Nas instituições que já estão habilitadas a cadastrar a chave, haverá uma opção disponível para o sistema de pagamentos do Banco Central.
Como exemplos:
O Nubank colocou o botão para cadastrar a chave do Pix na tela inicial. Acima de todas as outras opções da conta. Basta tocar em “Registre suas chaves” e seguir as instruções na tela.
Geralmente, ao entrar em um aplicativo de banco ou fintech (como o exemplo da imagem abaixo) a opção deve estar clara e destacada na tela inicial, isso se não surgir um pop-up para anunciar a novidade e solicitar o registro das chaves.
Há uma intensa disputa entre os próprios bancos para ter as principais chaves dos clientes: e-mail, telefone e CPF. Como o sistema facilita a transação por essas identificações, é vantajoso para o banco tê-las (ainda que seja possível fazer a portabilidade), mas já discutimos isso no Tecnocast 160 — Todo mundo quer o seu Pix.
Inclusive os golpistas.
A chave do Pix está diretamente ligada à conta bancária do cliente, para receber ou fazer transferências e pagamentos. Mas, manter a segurança dela vai além disso: ainda que alguns desses dados sejam facilmente encontrados na internet, ninguém deve espalhar aos quatro cantos do mundo quais são as usadas e em qual banco.
Isso facilita o roubo das chaves. Digamos que alguém registou o e-mail exemplo@tecnoblog.net como principal forma de recebimento. Um golpista pode elaborar uma estratégia para migrar essa chave para a conta dele e com isso receber os recursos em nome da vítima.
Hipoteticamente, esse cliente poderia receber um e-mail em nome do banco, solicitando dados relacionados à chave já cadastrada, quais, na verdade, podem ser tokens ou informações de confirmação para que a chave seja portada para outra conta.
Outro exemplo é a fraude com o chamado SIM swap, método que permite transferir um número existente para um novo chip. Essa técnica é usada para clonar o WhatsApp e pedir dinheiro a amigos ou parentes. Mas, pode ser usada para roubar outras credenciais e, nesse caso, cadastrar uma chave do Pix com o telefone de outra pessoa.
Informações financeiras são dados sensíveis. Quanto menos pública for a chave, melhor é e ainda mais fácil de identificar uma tentativa de golpe. Telefone, CPF e e-mail são dados fáceis de memorizar e facilitam sim a transferência, mas o cuidado deve ser dobrado.
O mesmo ocorre ao dizer qual o banco usado no Pix. Receber um e-mail (falso) de um banco aleatório torna fácil identificar que se trata de um golpe (já que a pessoa não tem conta lá), mas quando o e-mail recebido vem do banco que usa, a pulga coça atrás da orelha — confiar ou não na mensagem?
Tentativas vão ocorrer sempre. Nossa melhor defesa é a informação. Como alerta a Kaspersky, é necessário desconfiar de qualquer conteúdo que chega por SMS, e-mail ou redes sociais e não clicar em links contidos nessas mensagens. As recomendações são:
Além do roubo de informações, sites fraudulentos sobre o Pix podem convidar o usuário a baixar malwares para infectar o dispositivo em uso, permitindo o acesso remoto por algum hacker e isso pode complicar ainda mais, já que alguns apps de bancos não obrigam o cliente a inserir uma senha ou biometria para login.
É melhor optar por fazer um cadastro voluntário das chaves pelo aplicativo do banco ou fintech ao invés de seguir links ou notificações que têm a intenção de levar à página de cadastro. Essa é forma mais segura de se registrar. E, como toda navegação na internet, manter a segurança da informação é importante em tempos modernos, cuide dos seus dados.