Desde que começou sua operação no final de 2020, o Pix já ultrapassou a marca de 400 milhões de chaves cadastradas. Com a difusão, o método de pagamento instantâneo também passou a ser percebido por criminosos como um terreno fértil para aplicação de novos golpes.

Entre setembro de 2021 e março deste ano, o BC registrou três vazamentos de dados de usuários que utilizam o Pix. Apesar de envolver apenas informações cadastrais —como nome, CPF, telefone e instituição bancária—, 576.785 chaves foram expostas no total.

Em nota, o BC esclareceu que as informações não são sensíveis ou sigilosas. “Parte costuma ser compartilhada pelos usuários ao se fazer uma operação TED ou DOC, estão impressas nos cheques e podem constar nos comprovantes das transações.”

O perigo, contudo, está no que cibercriminosos têm feito com essas informações, dizem especialistas. Com dados cadastrais em mãos, é possível que cruzem com vazamentos anteriores e também identifiquem perfis pessoais de usuários em redes sociais —e, a partir daí, apliquem golpes phishing e de “engenharia social”.

Phishing —termo do inglês que deriva de “pesca”— é a tentativa de “fisgar” uma vítima através de falsas solicitações por mensagens de texto, WhatsApp, links enganosos ou mesmo ligações. Já a engenharia social é aquela em que criminosos tentam manipular a vítima para que forneçam informações.

O cibercriminoso, em posse de CPF, nome completo e até data de nascimento, pode se passar por um funcionário do banco e pedir senhas de cartões, dados de conta e de caráter sigiloso. Por serem informações reais e, teoricamente, somente de posse da instituição financeira, é comum que a vítima confie que seja uma solicitação verdadeira e caia na armadilha.

“A partir do momento em que a vítima cria um elo de confiança com o criminoso, ele pode criar inúmeras histórias para tentar efetuar o estelionato”, explica Wanderson Castilho, perito em crimes digitais. “Os vazamentos em si não são nocivos, mas facilitam a criação de novos golpes.”

Na ligação, por exemplo, o golpista pode dizer que tem um empréstimo pré-aprovado no nome da vítima ou até mesmo alegar que houve uma tentativa de invasão à conta e, por isso, precisa alterar a senha de ingresso.

Outro caso recorrente, segundo Castilho, é o hackeamento de contas de redes sociais, como WhatsApp e Instagram, em que, passando-se pela vítima, é disparada uma mensagem para contatos frequentes pedindo ajuda financeira ou oferecendo falsas promoções.

“As histórias são infinitas, mas a metodologia é sempre a mesma. A partir das informações cadastrais que já tem, o estelionatário busca outras para conseguir, efetivamente, aplicar o golpe, quer seja na vítima inicial, quer seja nos contatos dela”, diz Castilho.

Aumento de casos

A pandemia, segundo os especialistas, desempenhou um papel crucial na alta de casos de crimes virtuais no país. “Quem era avesso ao mundo digital teve que se adaptar, inevitavelmente, e aqueles que não tinham conhecimento ou expertise dos perigos da internet ficaram mais expostos”, explica Renata Abalém, advogada especialista em direito do consumidor e consultora da OAB de Goiás.

Só em 2020, a CEACrim (Coordenadoria de Estatística e Análise Criminal), da Secretaria de Segurança Pública paulista, registrou aumento de 265% nos crimes praticados no ambiente virtual em todo o estado de São Paulo.

No Rio de Janeiro, os casos de golpes na internet aumentaram em 11,8% do total de crimes, de acordo com o Instituto de Segurança Pública (ISP). No mesmo período, Minas Gerais viu alta de 50% no número de delitos virtuais, segundo a polícia civil.

A falta de dados atualizados e centralizados, aliás, é um ponto de atenção para Castilho. “O Brasil não tem uma estatística oficial sobre crimes digitais. Por qualquer que seja o motivo, isso facilita a desinformação e o surgimento de novas vítimas”, avalia o perito.

Como se prevenir

Nesse contexto de exposição de dados pessoais e fragilidade na internet, a principal arma contra golpes, de acordo com os especialistas, é justamente a informação.

“A partir do momento em que o usuário desconfia que se trata de um golpe, ele já está mais do que na metade do caminho para não cair”, diz Castilho.

Para evitar golpes, especialistas aconselham uma série de medidas de segurança. “Do ponto de vista do consumidor, o que eu mais recomendo é fazer a autenticação em duas etapas de cada rede social para evitar clonagens, e, sobretudo, comprar apenas de lugares que você mesmo buscou”, diz Abalém.

“Sempre desconfie de links e supostos funcionários de bancos que chegam até você, e, na dúvida, vá por conta própria até um canal oficial de comunicação.”

O Banco Central ressalta que cada usuário que teve sua chave Pix exposta foi notificado, individualmente, por meio do sistema interno da instituição bancária de relacionamento. Isso quer dizer que nenhuma outra forma de contato, quer seja mensagem de texto, quer seja ligação ou e-mail, foi utilizada.

Em nota à CNN, a Federação Brasileira de Bancos (Febraban) reforça que o Pix “continua seguro e não há risco de o fraudador se apropriar de uma chave em nome do cliente”.

“A Febraban e os bancos associados têm como prioridade a segurança dos seus clientes e investem R$ 25,7 bilhões por ano em tecnologia e segurança da informação, através do monitoramento constante de suas respectivas infraestruturas.”

*Sob supervisão de Thâmara Kaoru

Este conteúdo foi originalmente publicado em Golpistas cruzam chaves vazadas de Pix com outros dados para aplicar novas fraudes no site CNN Brasil.