Golpe do Pix: hackers contam como enganam vítimas; saiba como se proteger

Felipe Souza - @felipe_dess - Da BBC News Brasil em Sï¿½o Paulo

16/11/2021 16:22 - atualizado 16/11/2021 18:53

Homem em ambiente escuro olhando para tela de computador — Hackers dizem como enganam vï¿½timas e roubam dados (foto: Reuters)

Uma aposentada de 78 anos recebeu, no fim de julho, uma ligaï¿½ï¿½o do filho dizendo que uma suposta funcionï¿½ria do banco entrou em contato relatando que criminosos tentaram acessar a conta bancï¿½ria dela.

A mulher entï¿½o foi a uma agï¿½ncia na cidade de Santos, no litoral paulista, e fez os procedimentos que a suposta funcionï¿½ria indicou.

No dia seguinte, a aposentada recebeu uma nova ligaï¿½ï¿½o avisando que os procedimentos nï¿½o tinham sido completados e a orientou para ir a um caixa eletrï¿½nico concluï¿½-los. Logo depois de seguir os passos, ela tentou fazer uma compra no dï¿½bito em uma farmï¿½cia e teve a operaï¿½ï¿½o negada.

Ao entrar no aplicativo do banco, a aposentada percebeu que tinham sido feitas diversas transaï¿½ï¿½es, incluindo um Pix no valor de R$ 24,7 mil e diversos emprï¿½stimos. Os golpistas tiraram dinheiro da conta atï¿½ que o saldo ficasse negativo.

A vï¿½tima estima que o prejuï¿½zo total tenha sido de quase R$ 60 mil. O caso ï¿½ investigado como estelionato pelo 3º Distrito Policial de Santos.

A BBC News Brasil ouviu dois hackers (que dizem nï¿½o aplicar mais golpes), especialistas em seguranï¿½a digital e o delegado da divisï¿½o antissequestro do Garra, da Polï¿½cia Civil de Sï¿½o Paulo, para entender como esses crimes sï¿½o cometidos e como se proteger.

Os hackers disseram que os golpes podem ser divididos em duas categorias.

O mais comum ï¿½ aquele que envolve algum contato entre o golpista e a vï¿½tima. E um mais sofisticado, que envolve programas de computador e invasï¿½es de dispositivos eletrï¿½nicos.

As transaï¿½ï¿½es por Pix foram integralmente implantadas no Brasil hï¿½ um ano, no dia 16 de novembro de 2020.

Em entrevista ï¿½ BBC News Brasil, o delegado titular da 3ª Delegacia Antissequestro, da Polï¿½cia Civil de Sï¿½o Paulo, Tarcio Severo, confirmou que o nï¿½mero de sequestros-relï¿½mpago, crime antes considerado adormecido, disparou apï¿½s a implantaï¿½ï¿½o do Pix no Brasil e que hï¿½ inclusive quadrilhas migrando para esse tipo de crime.

Uma semana apï¿½s a reportagem, o Banco Central anunciou que limitarias o valor das transferï¿½ncias bancï¿½rias feitas das 20h ï¿½s 6h.

Ataque hacker

Hï¿½ vï¿½rios tipos de ferramentas digitais para aplicar o golpe. A mais comum chama-se capturador de sessï¿½es. Nela, o golpista envia um PDF ou um e-mail para a vï¿½tima com um arquivo que, caso seja aberto, vai infectï¿½-la de alguma forma.

Com o vï¿½rus implementado, quando a vï¿½tima abrir um aplicativo de banco, o invasor automaticamente receberï¿½ uma notificaï¿½ï¿½o em sua tela informando que a vï¿½tima abriu uma sessï¿½o no banco. O hacker entï¿½o captura a sessï¿½o daquela pessoa, com a combinaï¿½ï¿½o de senhas, para conseguir obter acesso ï¿½ conta dela.

Os bancos, entretanto, reforï¿½aram a seguranï¿½a nesse sentido, ressaltou o delegado.

"Mesmo que o hacker tenha a sua senha e sua conta, ele geralmente nï¿½o consegue logar (acessar pela internet) no banco por ser de um local diferente (do autorizado) ou (por que o banco) identifica um acesso nï¿½o autorizado", explica.

O vï¿½rus permite que o hacker use o computador da prï¿½pria vï¿½tima para acessar o site do banco e fazer transferï¿½ncias via Pix. Em casos em que o banco exige algum tipo de nï¿½mero fornecido por um token, o hacker precisa clonar o nï¿½mero do celular da vï¿½tima para ter acesso ao cï¿½digo do token.

Segundo especialistas, isso ï¿½ feito em parceria com pessoas que trabalham em operadoras de telefonia, que bloqueiam o chip da pessoa e o recadastra em um outro chip, do hacker. O custo desse serviï¿½o ilegal varia entre R$ 400 e R$ 500.

Alï¿½m desses programas que furtam sessï¿½es de bancos apï¿½s infectar o equipamento das vï¿½timas, tambï¿½m hï¿½ os phishings — mensagens falsas que induzem a vï¿½tima a compartilhas seus dados — dos simples aos mais avanï¿½ados. Os mais bï¿½sicos sï¿½o aqueles em que o golpista cria uma pï¿½gina falsa na qual a vï¿½tima acessa por meio de um link de oferta enganosa ou algo parecido.

Hoje, ele ï¿½ mais incomum porque as pessoas vï¿½o direto no endereï¿½o do site quando querem comprar algo, em vez de acessar por meio de um link. Mas esse tipo de golpe ainda ocorre.

Pessoa encapuzada em ambiente escuro mexendo em computador — Receita Federal bloqueou, atï¿½ setembro de 2021, mais 2,7 milhï¿½es de tentativas de golpes envolvendo o Pix (foto: Getty Images)

O phishing mais complexo exige que o hacker tenha acesso ao DNS (Domain Name System) da vï¿½tima. Ao digitar um endereï¿½o para acessar um site, o DNS do computador identifica a qual endereï¿½o de IP esse site corresponde, analisa se ele ï¿½ confiï¿½vel e prossegue com o acesso.

Se um hacker acessa o DNS, ele pode "enganar" o computador da pessoa sobre qual site estï¿½ sendo acessado. No navegador da vï¿½tima, aparecerï¿½ o endereï¿½o digitado pelo usuï¿½rio, com o cadeado verde ao lado, que atesta a seguranï¿½a da pï¿½gina. Mas, na verdade, trata-se de uma pï¿½gina falsa que alguï¿½m clonou para enganar o DNS do computador da vï¿½tima.

Mas conseguir acesso ao DNS para vï¿½tima para alterar esses dados ï¿½ a parte mais difï¿½cil da invasï¿½o. Uma das formas ï¿½ incluir algum cï¿½digo em algum site de acesso em massa — como um portal de notï¿½cias ou um site de gaming — para que o hacker possa trocar o DNS de diversos usuï¿½rios que tenham senhas facilmente decifrï¿½veis em seu roteador (como "1234").

Esse mï¿½todo hoje, ele explica, ï¿½ mais difï¿½cil de ocorrer em sites de bancos, que investiram em novas tecnologias de proteï¿½ï¿½o. Mas costumava ser algo comum.

Um hacker ouvido pela BBC News Brasil explicou que a maior dificuldade desse mï¿½todo ï¿½ espalhar o vï¿½rus ou conseguir vï¿½timas. Quando o criminoso consegue isso, ele rouba o dinheiro imediatamente e o usa para comprar criptomoedas e ocultar a sua origem.

Isso criou um segundo mercado paralelo: o de vendas de licenï¿½as de programas para hackers. Para ganhar dinheiro cooperando com o crime, mas "sem sujar as mï¿½os", alguns programadores desenvolvem programas que roubam dados e "alugam" a licenï¿½a de um programa desses por atï¿½ R$ 2 mil por semana.

SMS emergencial

Um dos golpes mais comuns ï¿½ o do SMS emergencial, no qual o golpista dispara milhares de mensagens automï¿½ticas pedindo socorro e solicitando uma transferï¿½ncia via Pix para solucionar um problema financeiro.

Os especialistas ouvidos pela BBC News Brasil dizem que poucas pessoas caem nesse tipo de golpe, mas que ainda assim ï¿½ vantajoso para o golpista.

"Se o cibercriminoso mandou mensagem para mil pessoas e uma delas caiu no golpe, jï¿½ ï¿½ um estrago gigantesco. Ainda mais se ele conseguir acesso a uma conta e conseguir fazer um emprï¿½stimo pessoal, consignado, fazer transferï¿½ncias. Ele chega a roubar R$ 10 mil por dia. Um negï¿½cio muito lucrativo para ele", afirmou Emï¿½lio Simoni, especialista em seguranï¿½a digital e diretor do dfndr Lab, do grupo CyberLabs-PSafe.

Como se proteger?

Segundo Simoni, a maioria dos golpes aplicados por hackers exigem uma engenharia social para enganar as vï¿½timas, muitas vezes com o criminoso se passando por banco ou por empresa.

"ï¿½ comum o golpista dizer que o cliente estï¿½ com um problema no Pix e que precisa fazer uma transferï¿½ncia para testï¿½-lo. Ou atï¿½ dizem que se ele fizer um Pix vai receber em dobro porque o sistema estï¿½ com problemas."

De acordo com o especialista, a Receita Federal bloqueou, atï¿½ setembro de 2021, mais de 2,7 milhï¿½es de tentativas de golpes envolvendo o Pix.

1. Baixe um antivï¿½rus

Uma das maneiras de proteger o celular de um golpe ï¿½ instalando um software antivï¿½rus no aparelho. Simoni disse que o mais baixado no Brasil ï¿½ o Defender Security, gratuito e criado no Brasil — com 200 milhï¿½es de downloads e 6 milhï¿½es de aparelhos que o usam diariamente. Segundo ele, aplicativos de defesa contribuem para que o aparelho nï¿½o fique vulnerï¿½vel a ataques.

2. Fique atento ao visitado e desconfie de mensagens recebidas

Alï¿½m de instalar um antivï¿½rus, o especialista em seguranï¿½a cibernï¿½tica disse que as pessoas precisam desconfiar de mensagens e ligaï¿½ï¿½es de desconhecidos. Essa ï¿½ a origem da maior parte dos golpes que envolvem estelionato.

"Na dï¿½vida, procure a instituiï¿½ï¿½o que entrou em contato. Ligue para o gerente perguntando se realmente hï¿½ uma cobranï¿½a, retorne a ligaï¿½ï¿½o para o nï¿½mero que te procurou e tome cuidado ao passar seus dados pessoais, principalmente senhas.

Um desses ataques ï¿½ aplicado por meio de conexï¿½es wi-fi ou pï¿½ginas de sites confiï¿½veis, como portais de notï¿½cias e lojas de departamento.

3. Escolha senhas seguras e difï¿½ceis

Criado por hackers em 2013, o programa DNS Change invade celulares com senhas de wi-fi fï¿½ceis, como "12345678" ou "adm1234" e troca a identidade do aparelho.

Desta forma, o golpista consegue ter acesso ao aparelho e espelhar a tela em seu computador sempre que o usuï¿½rio entrar em um site ou pï¿½gina que o interesse, como a de um banco. O hacker usa uma pï¿½gina falsa para que o usuï¿½rio coloque suas senhas, nï¿½mero de agï¿½ncia e conta.

Segundo Simoni, especialista em seguranï¿½a, cerca de 40% dos celulares brasileiros estï¿½o vulnerï¿½veis a esse tipo de golpe porque possuem senhas fï¿½ceis ou nï¿½o tï¿½m senha.

Jï¿½ assistiu aos nossos novos vï¿½deos no YouTube? Inscreva-se no nosso canal!

receba nossa newsletter

Comece o dia com as notï¿½cias selecionadas pelo nosso editor