Os principais atrativos do PIX, sistema de pagamentos instantâneos do Banco Central lançado nesta segunda-feira (16), são a redução do tempo de processamento das transações e a disponibilidade da plataforma em tempo integral. Esses aspectos trazem melhorias à experiência dos clientes, mas também podem ser um prato cheio para golpistas.
Segundo um especialista brasileiro, que é um programador pioneiro no mercado financeiros e de criptomoedas e pediu para não ser identificado, embora o sistema em si seja seguro e praticamente impossível de ser invadido, seu modo de funcionamento oferece oportunidades para que fraudadores obtenham dinheiro ilegalmente utilizando técnicas de engenharia social.
Para isso, eles irão usar características sensíveis do sistema a seu favor. É o que fez por muitos anos o famoso hacker Kevin Mitnick, uma espécie de “pai” da engenharia social, que se aproveitava de informações fornecidas pelas próprias vítimas para cometer crimes.
Roubo de dados
Com o PIX, muitas informações dos clientes ficam à mostra. Para realizar uma transferência utilizando o sistema, basta indicar a chave de identificação do destinatário, que pode ser um número de telefone, CPF ou e-mail. Quando a operação está prestes a ser concluída, porém, o próprio banco informa outros dados relevantes do recebedor.
O lado bom é que isso confere segurança à transação, já que evita que um estelionatário se passe por outra pessoa ou empresa para conseguir dinheiro. Mesmo que ele se apresente como a Gol, por exemplo, a chave PIX vai revelar seu nome verdadeiro, desmantelando a farsa.
Em contrapartida, há comprometimento da privacidade do usuário recebedor. Fica fácil saber qual é o CPF atrelado a determinado endereço de e-mail, ou o nome do titular de uma linha telefônica móvel. Tendo posse de apenas uma informação pessoal, é possível acessar outras, o que pode facilitar a ocorrência de roubos de dados.
Um dos caminhos possíveis para os criminosos seria registrar cartões SIM em nome de terceiros para aplicar golpes. Bastaria adquirir um chip de qualquer operadora, cadastrá-lo com um CPF roubado — um processo simples por conta da insegurança das companhias de telefonia — e registrar o número como chave PIX.
Falsa sensação de segurança
Um golpista, por exemplo, poderia criar uma chave falsa de uma companhia aérea, se passando por um suposto representante da empresa que solicitasse pagamento para a sua própria conta bancária levantaria desconfiança. No modelo antigo, ele teria de fornecer sua agência, conta e CPF, no mínimo, e ficaria evidente se tratar de um golpe.
Com o Pix, o criminoso tem meios de criar uma falsa sensação de segurança nas potenciais vítimas. Ele poderia criar uma empresa falsa e registrar um nome fantasia semelhante ao da empresa aérea, por exemplo. Depois, criar um domínio de e-mail e cadastrá-lo como chave de identificação no sistema de pagamentos.
A partir de então, tudo o que ele precisa fazer é passar o e-mail para as vítimas no momento do golpe. Números de agência e conta não passam credibilidade, mas o endereço “[email protected]” poderia convencer.
Este é um exemplo simples, mas eficiente de como a engenharia social pode atuar para enganar consumidores. Com este e-mail e a titularidade da conta atrelada à empresa falsa, mas com nome semelhante à companhia original, a vítima pode transfer o dinheiro sem suspeitar do golpe.
Transações 24h, atendimento não
Um criminoso que solicita TEDs e DOCs depois das 18h só recebe a quantia no dia seguinte. Utilizando o Pix, o dinheiro cai na conta imediatamente. A vítima, por outro lado, continua tendo de esperar a abertura dos bancos para reportar o problema ou tentar rastrear o dinheiro.
Por isso, mesmo que descubra o golpe logo após realizar a transação, o usuário não tem muito o que fazer dependendo do horário. Antes, era possível localizar o criminoso antes mesmo que ele tivesse acesso ao dinheiro roubado, devido à demora no processamento das transferências; agora, ele pode limpar o dinheiro mandando milhares de PIX para diversos vendedores de bitcoin diferentes antes que o dia amanheça.
Agilidade do sistema facilita fraudes
O golpista pode converter a quantia para bitcoin rapidamente, já que algumas corretoras de moeda digital irão investir em automatização com o Pix. Desse modo, é praticamente impossível que as autoridades cheguem a tempo de recuperar o dinheiro antes que ele “desapareça” de vista.
Diferentemente das operadoras de cartão de crédito, que lidam regularmente com fraudes complexas e sofisticadas, os bancos não possuem uma estrutura robusta para combater esse tipo de ocorrência. Hoje, explica o especialista brasileiro, é difícil limpar dinheiro porque toda transação demora para chegar de um ponto a outro, e o tempo joga contra o fraudador. Com o Pix, o tempo passa a estar a seu favor.
Traders P2P serão os mais afetados
Os traders peer to peer e corretoras de criptomoedas que não tiverem um bom sistema de segurança serão particularmente afetados pelos possíveis golpes envolvendo o Pix, conclui o programador. Isso porque os bancos raramente informam os dados do remetente, o que deixa os traders sem garantias de que estão recebendo o dinheiro dos clientes certos.
Isso pode ocasionar a uma avalanche de processos judiciais contra P2P, porque o fraudador não coloca seus próprios dados, mas provavelmente os de intermediadores que vendem bitcoin, afirma. “O golpista pode atuar como man-in-the-middle, e o trader vai entregar o Bitcoin porque pensa estar recebendo dinheiro de seu cliente”.
Como se prevenir contra golpes?
Outro especialista em segurança da informação ouvido pela reportagem, Galeno Garbe, adota postura tranquilizadora em relação às possibilidades de fraude. Ele lembra que pode, sim, haver golpes criativos e bem elaborados com a chegada do PIX, mas que esse tipo de crime sempre existiu.
Logo, os clientes não devem ter medo de usar o novo sistema. Pelo contrário: quanto mais cedo cadastrarem suas chaves, melhor. Uma vez que o CPF, número de telefone e e-mail estiverem atrelados a uma conta bancária, será impossível usá-los em outra conta ou instituição — ou seja, ninguém poderá se passar por você.
Mesmo que alguém cadastre um cartão SIM com o CPF de terceiros, explica Garbe, não há maneira de usar o número de telefone como chave fingindo ser o titular do documento se este já estiver cadastrado em outra conta. Além disso, o número de telefone de cada usuário é validado pela instituição financeira, que vincula o documento com o qual o cliente abriu sua conta à linha.
Por fim, Garbe observa que a criação de um e-mail falso que lembre o domínio de uma companhia famosa é algo que já pode ser feito. Antes de existir o PIX, já havia ataques phishing, golpes difíceis de se rastrear envolvendo TEDs e truques de engenharia social como um todo.
A dica que vale, portanto, é a mesma de sempre: é preciso estar atento à idoneidade das lojas, serviços e pessoas com as quais se faz transações financeiras. Mudam os meios, mudam as formas de se cometer um crime, mas aqueles que se mantiverem atentos a abordagens e comportamentos suspeitos não devem ter muitos problemas.
