“Novo golpe do PIX” viraliza nas redes sociais e preocupa internautas; entenda
Uma aparente nova modalidade de fraude bancária tem preocupado internautas em todo o Brasil, após um relato de uma jornalista que quase foi vítima do novo golpe. Logo após o ocorrido, ela resolveu emitir um alerta público, que viralizou nas redes sociais.
O passo a passo do “novo golpe do PIX”
O primeiro passo do criminoso é ligar para a vítima se passando por um suposto funcionário da instituição bancária da qual ela é cliente. Logo depois, ele menciona que foram encontradas algumas movimentações “suspeitas” fictícias, geralmente na faixa de R$ 9 mil e R$ 10 mil, e que, por questões de segurança, a conta foi bloqueada.
Então, para conquistar a confiança da vítima, o golpista passa a descrever outras transações reais do extrato bancário dela, incluindo o nome e o montante de transferências PIX que, de fato, foram realizadas pelo correntista. Ora, em teoria, essas informações só poderiam estar em mãos de um atendente do banco, certo?
Por fim, o estelionatário solicita que o correntista efetue transações via Pix nos mesmos três valores citados para determinada conta, sob o pretexto de que, ao fazer isso, o sistema do banco automaticamente iria identificar uma duplicidade e cancelaria todas as movimentações.
Esse argumento, claro, é falso. Caso o internauta caia na armadilha, poderá perder um grande montante de dinheiro para os cibercriminosos. Além disso, vale lembrar que transações via PIX são praticamente irreversíveis e que dificilmente os bancos conseguem tomar alguma providência em caso de fraude.
Teorias e mais teorias
Até o momento, não há muitas informações sobre outras vítimas de uma tentativa de golpe tão elaborada quanto a relatada pela jornalista. Ainda assim, o incidente coloca toda a comunidade brasileira de segurança da informação em alerta, já que a grande incógnita é como os fraudadores tiveram acesso ao extrato bancário real da conta em questão. É justamente a oferta dessas informações legítimas que dá realismo à encenação e pode levar muitos internautas a confiar nas alegações.
Uma das possibilidades é que, para essa nova campanha de golpes, os meliantes estejam abordando especificamente internautas cujas contas eles possuam a senha primária para adentrar no internet banking. Vale lembrar que a maioria das instituições trabalha com duas camadas de proteção: i) uma senha alfanumérica, que dá acesso apenas ao direito de visualizar seu extrato e acessar os menus; ii) e um PIN numérico (geralmente o mesmo usado no cartão de crédito ou de débito) para efetivamente realizar transações.
A primeira senha poderia ser descoberta por um ataque de força bruta ou password spraying, caso a vítima utilize a mesma combinação em outro serviço online que já tenha sofrido um vazamento de dados, por exemplo. Sendo assim, seria perfeitamente possível que os golpistas tivessem acesso ao extrato da vítima, abordando-a apenas para que a própria use o PIN numérico para efetivar as movimentações fraudulentas.
Ainda é um mistério
Claro, há diversas outras possibilidades e teorias que não podemos descartar: o uso de algum malware bancário específico capaz de extrair essas informações, o roubo de extratos bancários impressos jogados nas lixeiras dos caixas de autoatendimento (caracterizando assim uma forma de dumpster diving) ou até mesmo a existência de insiders maliciosos trabalhando em parceria com os cibercriminosos dentro das instituições bancárias. Sobre esta última tese, o banco da jornalista que reportou o incidente se pronunciou à mídia, garantindo seguir as melhores práticas de segurança internamente.
No fim das contas, ainda não é possível saber como o novo tipo de golpe funciona exatamente, e sequer se o caso relatado é isolado ou não. De qualquer maneira, vale ressaltar o aviso: nenhuma instituição bancária solicita que o cliente faça transferências via Pix “por motivos de segurança”. Caso seja abordado e orientado a fazê-lo, desligue o telefone imediatamente e entre em contato com a sua instituição bancária para receber eventuais instruções.
