Topo

Golpe do Pix: hackers contam como enganam vítimas; saiba como se proteger

Hackers dizem como enganam vítimas e roubam dados - Reuters
Hackers dizem como enganam vítimas e roubam dados Imagem: Reuters

Felipe Souza - @felipe_dess - Da BBC News Brasil em São Paulo

16/11/2021 16h22

De acordo especialista ouvido pela reportagem, a Receita Federal bloqueou, até setembro de 2021, mais 2,7 milhões de tentativas de golpes envolvendo o Pix.

Uma aposentada de 78 anos recebeu, no fim de julho, uma ligação do filho dizendo que uma suposta funcionária do banco entrou em contato relatando que criminosos tentaram acessar a conta bancária dela.

A mulher então foi a uma agência na cidade de Santos, no litoral paulista, e fez os procedimentos que a suposta funcionária indicou.

No dia seguinte, a aposentada recebeu uma nova ligação avisando que os procedimentos não tinham sido completados e a orientou para ir a um caixa eletrônico concluí-los. Logo depois de seguir os passos, ela tentou fazer uma compra no débito em uma farmácia e teve a operação negada.

Ao entrar no aplicativo do banco, a aposentada percebeu que tinham sido feitas diversas transações, incluindo um Pix no valor de R$ 24,7 mil e diversos empréstimos. Os golpistas tiraram dinheiro da conta até que o saldo ficasse negativo.

A vítima estima que o prejuízo total tenha sido de quase R$ 60 mil. O caso é investigado como estelionato pelo 3º Distrito Policial de Santos.

A BBC News Brasil ouviu dois hackers (que dizem não aplicar mais golpes), especialistas em segurança digital e o delegado da divisão antissequestro do Garra, da Polícia Civil de São Paulo, para entender como esses crimes são cometidos e como se proteger.

Os hackers disseram que os golpes podem ser divididos em duas categorias.

O mais comum é aquele que envolve algum contato entre o golpista e a vítima. E um mais sofisticado, que envolve programas de computador e invasões de dispositivos eletrônicos.

As transações por Pix foram integralmente implantadas no Brasil há um ano, no dia 16 de novembro de 2020.

Em entrevista à BBC News Brasil, o delegado titular da 3ª Delegacia Antissequestro, da Polícia Civil de São Paulo, Tarcio Severo, confirmou que o número de sequestros-relâmpago, crime antes considerado adormecido, disparou após a implantação do Pix no Brasil e que há inclusive quadrilhas migrando para esse tipo de crime.

Uma semana após a reportagem, o Banco Central anunciou que limitarias o valor das transferências bancárias feitas das 20h às 6h.

Ataque hacker

Há vários tipos de ferramentas digitais para aplicar o golpe. A mais comum chama-se capturador de sessões. Nela, o golpista envia um PDF ou um e-mail para a vítima com um arquivo que, caso seja aberto, vai infectá-la de alguma forma.

Com o vírus implementado, quando a vítima abrir um aplicativo de banco, o invasor automaticamente receberá uma notificação em sua tela informando que a vítima abriu uma sessão no banco. O hacker então captura a sessão daquela pessoa, com a combinação de senhas, para conseguir obter acesso à conta dela.

Os bancos, entretanto, reforçaram a segurança nesse sentido, ressaltou o delegado.

"Mesmo que o hacker tenha a sua senha e sua conta, ele geralmente não consegue logar (acessar pela internet) no banco por ser de um local diferente (do autorizado) ou (por que o banco) identifica um acesso não autorizado", explica.

O vírus permite que o hacker use o computador da própria vítima para acessar o site do banco e fazer transferências via Pix. Em casos em que o banco exige algum tipo de número fornecido por um token, o hacker precisa clonar o número do celular da vítima para ter acesso ao código do token.

Segundo especialistas, isso é feito em parceria com pessoas que trabalham em operadoras de telefonia, que bloqueiam o chip da pessoa e o recadastra em um outro chip, do hacker. O custo desse serviço ilegal varia entre R$ 400 e R$ 500.

Além desses programas que furtam sessões de bancos após infectar o equipamento das vítimas, também há os phishings ? mensagens falsas que induzem a vítima a compartilhas seus dados ? dos simples aos mais avançados. Os mais básicos são aqueles em que o golpista cria uma página falsa na qual a vítima acessa por meio de um link de oferta enganosa ou algo parecido.

Hoje, ele é mais incomum porque as pessoas vão direto no endereço do site quando querem comprar algo, em vez de acessar por meio de um link. Mas esse tipo de golpe ainda ocorre.

O phishing mais complexo exige que o hacker tenha acesso ao DNS (Domain Name System) da vítima. Ao digitar um endereço para acessar um site, o DNS do computador identifica a qual endereço de IP esse site corresponde, analisa se ele é confiável e prossegue com o acesso.

Se um hacker acessa o DNS, ele pode "enganar" o computador da pessoa sobre qual site está sendo acessado. No navegador da vítima, aparecerá o endereço digitado pelo usuário, com o cadeado verde ao lado, que atesta a segurança da página. Mas, na verdade, trata-se de uma página falsa que alguém clonou para enganar o DNS do computador da vítima.

Mas conseguir acesso ao DNS para vítima para alterar esses dados é a parte mais difícil da invasão. Uma das formas é incluir algum código em algum site de acesso em massa ? como um portal de notícias ou um site de gaming ? para que o hacker possa trocar o DNS de diversos usuários que tenham senhas facilmente decifráveis em seu roteador (como "1234").

Esse método hoje, ele explica, é mais difícil de ocorrer em sites de bancos, que investiram em novas tecnologias de proteção. Mas costumava ser algo comum.

Um hacker ouvido pela BBC News Brasil explicou que a maior dificuldade desse método é espalhar o vírus ou conseguir vítimas. Quando o criminoso consegue isso, ele rouba o dinheiro imediatamente e o usa para comprar criptomoedas e ocultar a sua origem.

Isso criou um segundo mercado paralelo: o de vendas de licenças de programas para hackers. Para ganhar dinheiro cooperando com o crime, mas "sem sujar as mãos", alguns programadores desenvolvem programas que roubam dados e "alugam" a licença de um programa desses por até R$ 2 mil por semana.

SMS emergencial

Um dos golpes mais comuns é o do SMS emergencial, no qual o golpista dispara milhares de mensagens automáticas pedindo socorro e solicitando uma transferência via Pix para solucionar um problema financeiro.

Os especialistas ouvidos pela BBC News Brasil dizem que poucas pessoas caem nesse tipo de golpe, mas que ainda assim é vantajoso para o golpista.

"Se o cibercriminoso mandou mensagem para mil pessoas e uma delas caiu no golpe, já é um estrago gigantesco. Ainda mais se ele conseguir acesso a uma conta e conseguir fazer um empréstimo pessoal, consignado, fazer transferências. Ele chega a roubar R$ 10 mil por dia. Um negócio muito lucrativo para ele", afirmou Emílio Simoni, especialista em segurança digital e diretor do dfndr Lab, do grupo CyberLabs-PSafe.

Como se proteger?

Segundo Simoni, a maioria dos golpes aplicados por hackers exigem uma engenharia social para enganar as vítimas, muitas vezes com o criminoso se passando por banco ou por empresa.

"É comum o golpista dizer que o cliente está com um problema no Pix e que precisa fazer uma transferência para testá-lo. Ou até dizem que se ele fizer um Pix vai receber em dobro porque o sistema está com problemas."

De acordo com o especialista, a Receita Federal bloqueou, até setembro de 2021, mais de 2,7 milhões de tentativas de golpes envolvendo o Pix.

1. Baixe um antivírus

Uma das maneiras de proteger o celular de um golpe é instalando um software antivírus no aparelho. Simoni disse que o mais baixado no Brasil é o Defender Security, gratuito e criado no Brasil ? com 200 milhões de downloads e 6 milhões de aparelhos que o usam diariamente. Segundo ele, aplicativos de defesa contribuem para que o aparelho não fique vulnerável a ataques.

2. Fique atento ao visitado e desconfie de mensagens recebidas

Além de instalar um antivírus, o especialista em segurança cibernética disse que as pessoas precisam desconfiar de mensagens e ligações de desconhecidos. Essa é a origem da maior parte dos golpes que envolvem estelionato.

"Na dúvida, procure a instituição que entrou em contato. Ligue para o gerente perguntando se realmente há uma cobrança, retorne a ligação para o número que te procurou e tome cuidado ao passar seus dados pessoais, principalmente senhas.

Um desses ataques é aplicado por meio de conexões wi-fi ou páginas de sites confiáveis, como portais de notícias e lojas de departamento.

3. Escolha senhas seguras e difíceis

Criado por hackers em 2013, o programa DNS Change invade celulares com senhas de wi-fi fáceis, como "12345678" ou "adm1234" e troca a identidade do aparelho.

Desta forma, o golpista consegue ter acesso ao aparelho e espelhar a tela em seu computador sempre que o usuário entrar em um site ou página que o interesse, como a de um banco. O hacker usa uma página falsa para que o usuário coloque suas senhas, número de agência e conta.

Segundo Simoni, especialista em segurança, cerca de 40% dos celulares brasileiros estão vulneráveis a esse tipo de golpe porque possuem senhas fáceis ou não têm senha.