O PIX, meio de pagamento mais utilizado pelos brasileiros atualmente, mostrou-se uma ferramenta extremamente eficiente para a transferência de recursos e, como toda boa ferramenta, também se tornou foco dos cibercriminosos.
Assim como todos os meios de pagamento fornecidos por grandes instituições financeiras, a estrutura de segurança do PIX é extremamente robusta. Isso significa que, caso cibercriminosos queiram utilizar essa ferramenta como parte de seus golpes, precisarão focar na parte menos protegida: as pessoas que a utilizam.
Muitos dos golpes disseminados no Brasil, sejam eles digitais ou não, utilizam técnicas de engenharia social para alcançar seus objetivos - e, com esse meio de pagamento, não foi diferente. A seguir, listarei alguns dos principais golpes dos últimos tempos que envolvem diretamente o PIX e, claro, as formas de evitá-los.
1. Golpe da devolução do dinheiro
Vi notícias sobre esse golpe no último trimestre de 2024, e ele exemplifica bem como os criminosos abusam da falta de conhecimento das pessoas e das características da ferramenta que estão utilizando.
Para iniciar o golpe, o criminoso envia uma quantia em dinheiro para a vítima. Em seguida, entra em contato por telefone ou aplicativo de troca de mensagens e informa que cometeu um "erro" ao enviar o valor, pedindo que a vítima devolva o dinheiro para a chave PIX que ele irá fornecer. Essa chave PIX refere-se à mesma conta que enviou o dinheiro "por engano" para a vítima, o que diminui significativamente as suspeitas sobre todo o processo.
Assim que a vítima devolve o dinheiro, a segunda parte do golpe se inicia. O PIX possui um recurso de segurança chamado MED (Mecanismo Especial de Devolução), desenvolvido especialmente para evitar fraudes. O criminoso, então, entra em contato com o banco e alega ter sido vítima de um golpe, solicitando a devolução do valor transferido. Quando o MED é acionado, ele bloqueia e estorna o saldo da conta que recebeu os recursos, devolvendo a quantia para a conta inicial. Dessa forma, o criminoso obtém o valor em dobro, pois, além do estorno realizado pelo MED, ele já havia recebido o dinheiro que a vítima devolveu para corrigir o suposto equívoco.
Proteja-se!
Neste caso, os criminosos exploram dois pontos principais: a falta de conhecimento da vítima e o recurso de proteção do PIX. Caso você receba uma transferência via PIX e desconheça a origem, procure entrar em contato com o seu banco para obter mais detalhes, mesmo que a suposta pessoa que enviou a quantia entre em contato com você.
Se optar por devolver o valor, não o transfira diretamente, pois isso será considerado uma transferência normal, e não uma devolução. Em vez disso, utilize a ferramenta de reembolso, normalmente disponível ao acessar os detalhes da transação no extrato. Dessa forma, o mecanismo de proteção entenderá que a transação já foi estornada devidamente e não bloqueará o saldo em sua conta, evitando que mais recursos sejam enviados aos criminosos.
2. Golpe da falsa taxa de importação
Outro golpe bastante comum é o da falsa taxa sobre importação. Nele, os cibercriminosos enviam um link às vítimas, informando que uma taxa precisa ser paga para que uma suposta compra internacional seja liberada para entrega.
Esses golpes geralmente incluem telas de rastreamento falsificadas e um código PIX para pagamento, o que dá a impressão de legitimidade e aumenta as chances de a vítima realizar a transferência.
Proteja-se!
Mesmo com uma estrutura visual bastante similar à dos Correios, esse tipo de campanha maliciosa apresenta diversos pontos de atenção. O primeiro deles é o endereço do site de rastreamento, que alega ser dos Correios, mas, na verdade, pertence a outro domínio sem qualquer vínculo com o site oficial.
Outro ponto é que o site falso direciona a vítima diretamente para a área de pagamento, que, nesse golpe, só pode ser realizado via PIX. No entanto, o site oficial dos Correios disponibiliza atualmente três formas de pagamento: cartão de crédito¹, boleto bancário e PIX.
Se você receber qualquer informação de forma passiva - ou seja, sem tê-la solicitado previamente -, desconfie. Essas abordagens costumam ser golpes. Além disso, lembre-se de que empresas legítimas geralmente oferecem diversas opções de pagamento aos clientes, ao contrário dos golpes, que normalmente apresentam apenas uma única forma de pagamento.
Por fim, sempre verifique atentamente o endereço dos sites recebidos. Em caso de dúvida, acesse o site da empresa ativamente, digitando o endereço completo diretamente no navegador.
3. Falso site de apostas
Esse golpe costuma chegar de forma diferente dos últimos que citei, pois nem sempre as vítimas o recebem de forma passiva. A propagação dessa campanha maliciosa ocorre de duas formas principais:
- Contratação de serviços de propaganda: os cibercriminosos contratam serviços de publicidade em diversas redes sociais e sites.
- Exploração de vulnerabilidades em sites legítimos: os criminosos exploram falhas em sites legítimos e os configuram para redirecionar os acessos ao suposto site de apostas.
Ambos os métodos têm um alcance muito grande, o que pode resultar em um número significativamente maior de vítimas.
Carga de créditos apenas via PIX.
Proteja-se!
Como a abordagem dos criminosos muda nesse tipo de ataque, não basta apenas ficar alerta ao que se recebe de forma passiva, pois as vítimas clicam ativamente em links de propaganda ou acessam sites legítimos que acabam redirecionando para páginas maliciosas.
Para evitar esse tipo de golpe, também é necessário prestar atenção ao endereço da página que está sendo acessada. Desconfie de endereços desconhecidos e, caso opte por fazer apostas online, busque sites de apostas reconhecidos e pesquise previamente para verificar se a empresa tem um bom histórico com seus clientes.
Outro ponto de atenção, que pode ser observado na campanha citada na imagem, é que existe apenas uma forma de pagamento disponível: o PIX. Sites de apostas legítimos costumam oferecer diversas formas de pagamento, a fim de tornar a operação mais conveniente. Caso se depare com apenas um meio para realizar depósitos, pode se tratar de um golpe.
Esses foram três dos principais golpes envolvendo o PIX, ainda presentes em campanhas maliciosas que circulam por todo o Brasil. Se você tiver alguma dúvida sobre o tema ou sugestões de assuntos relacionados à segurança digital que gostaria de ver em publicações futuras, escreva nos comentários abaixo.
