Em junho de 2023, aconteceu mais uma edição do Fórum Pix do Banco Central. Um dos assuntos discutidos foi a previsão de lançamento para o Pix Automático, novo serviço que pretende viabilizar pagamentos recorrentes de forma automática, mediante autorização prévia do titular da conta.
Junto dessa temática, as fraudes no Pix também foram, mais uma vez, tema de discussão. Nessa pauta, a grande preocupação está no uso de contas laranja por fraudadores, que dificulta bastante o rastreio do dinheiro de forma ágil, impedindo a recuperação dos valores roubados.
De acordo com o próprio Banco Central, a estimativa do prejuízo em fraudes envolvendo contas laranjas em 2022 foi de R$2,5 bilhões, com uma recuperação de apenas 5% dos valores perdidos.
Para mitigar essa realidade, o BC vem estudando, nos últimos anos, novos mecanismos de prevenção à fraude, já que a segurança é um dos pilares fundamentais do Pix e um processo contínuo a ser trabalhado.
Contudo, as contas laranja representam a etapa final do processo de fraude: quando ela já aconteceu. Ou seja, o caminho até essa conclusão pode passar por diferentes tipos de fraude, cada vez mais elaboradas.
Portanto, é importante que as empresas invistam em medidas de segurança que antecipem esta etapa, visando diminuir os prejuízos com fraudes no Pix e colaborar com a proteção do ecossistema de pagamentos instantâneos.
Neste texto você vai conferir alguns exemplos de fraudes no Pix e quais ferramentas podem ser adotadas antes, durante e depois da aplicação de um golpe.
🔒 Leia mais: Segurança no Pix: a biometria de voz como fator de identificação dos usuários
Fraudes com Pix: quais os golpes mais comuns do Pix?
O Pix faz parte do cotidiano do país e da mesma forma que outros métodos de pagamento, como cartão de crédito ou transferência bancária, tem sido alvo de constantes ações de fraudadores.
As fraudes com Pix geralmente envolvem mais de um fator para serem concretizadas. Por isso, é importante entender que elas não ocorrem de forma isolada e podem estar permeadas por diversas práticas ao mesmo tempo.
Por exemplo, um ato comum é o uso de dados vazados para aplicar golpes. Com eles, podem ser feitas alterações cadastrais na conta ou ações de phishing, usando as informações para enganar os consumidores e aumentar a credibilidade da abordagem.
Confira os principais tipos de golpes com Pix, como funcionam e exemplos de como tem sido aplicados:
1) Engenharia social
Esse é um golpe clássico, que existia até mesmo antes da implementação do Pix. Trata-se de um golpe de engenharia social que pode assumir diversas modalidades, mas normalmente é baseado na clonagem do número de celular, roubo de telefone ou cópia de perfil das redes sociais de alguém.
Fingindo ser uma pessoa em específico, os fraudadores entram em contato com amigos e familiares solicitando dinheiro. Em geral, eles inventam alguma história para se passar pela pessoa e conseguir convencer as vítimas da veracidade do pedido.
A ação de fingir ser outra pessoa também pode ser usada para golpes de phishing, em que a vítima é levada a informar seus dados em um site específico ou instalar um aplicativo malicioso.
🔒 Veja também: Deepfake: o que é e como prevenir o uso em fraudes
Sites falsos
Um exemplo de engenharia social é o uso de sites falsos. Este é outro golpe antigo no mercado, mas que ganha uma nova roupagem com o Pix. Nesse caso, os produtos vendidos em sites falsos costumam ter um valor muito atrativo para o pagamento no Pix.
Com técnicas de desenvolvimento, esses portais copiam a identidade visual de outras marcas para parecerem legítimos. O consumidor, acostumado com descontos em pagamentos à vista, é convencido de que se trata de uma excelente oportunidade.
Contudo, ao realizar o pagamento do Pix fraudulento, rapidamente os fraudadores fazem a distribuição do pagamento.
2) Atualização de cadastro
Nesse golpe, os fraudadores enviam uma mensagem para a vítima com um link fraudulento, informando que será preciso atualizar os seus dados cadastrais. Assim, a vítima entra em um site falso e insere as informações necessárias para realizar a transferência por Pix.
Segundo uma reportagem do Fantástico, da Rede Globo, uma rede de fraudadores realizou essa ação contra diversas prefeituras em São Paulo e Minas Gerais. Dados da Polícia Civil mostram que o prejuízo dessas operações já chegava aos R$10 milhões.
Golpe do Pix
Um caso de fraude por atualização de cadastro é o Golpe do Pix, que atinge prefeituras, mas pode ser aplicado em qualquer empresa e segmento.
Usando dados de um grande vazamento ocorrido em 2021, fraudadores entraram em contato com servidores do setor de contas das prefeituras fingindo ser funcionários de um banco. Na conversa, informaram que era preciso atualizar o cadastro e enviaram um site falso em que o phishing foi consumado.
Nessa fraude, o servidor acredita que está fazendo o login na conta bancária da prefeitura, mas, na verdade, está passando os dados para os fraudadores. De posse dessas informações, são feitos saques dos valores e a pulverização do montante em diversas contas laranja.
3) Invasão de conta
A invasão de conta consiste no fraudador usar os dados da vítima para acessar a conta e realizar a transferência de forma autônoma.
Para conseguir esses dados, existem várias estratégias, como: engenharia social, fingindo ser um atendente de banco e solicitando os dados; roubo de celular e quebra das senhas de bloqueio; e phishing para capturar essas informações.
Roubo de celular
Uma prática muito comum de invasão de conta é a que acontece a partir do roubo de aparelhos de celular. De posse do aparelho, os criminosos conseguem quebrar o bloqueio inicial e acessar os aplicativos da vítima.
Mas, como são descobertas as senhas para realizar as transferências? Existem diversas formas. Muitos aparelhos, por exemplo, são roubados enquanto estão desbloqueados e em uso, o que facilita bastante a ação dos fraudadores.
Uma outra técnica é a pesquisa no próprio aparelho, verificando em anotações, mensagens ou conversas se a vítima já mencionou a senha em algum momento.
Além dessas, outra possibilidade é realizar a troca de senha. Em geral, esse processo solicita a confirmação de mudança via e-mail ou mensagem de texto. De posse do aparelho, o fraudador consegue ter acesso aos dois canais.
Com essas informações, fica fácil acessar o aplicativo do banco ou do e-commerce para realizar o Pix fraudulento em nome da vítima.
4) Uso de dados vazados
Usando informações pessoais vazadas, os fraudadores podem realizar uma série de ações em nome da vítima. Essa prática pode estar combinada com outras ações, como a invasão de contas ou ações de engenharia social, além de outras possibilidades.
Essas informações podem ser aplicadas para alterar o cadastro no banco, por exemplo. Assim, com o cadastro alterado, é possível solicitar novas senhas de acesso ao internet banking e efetuar transferências usando o Pix da vítima.
Esses dados também podem ser usados na criação de contas laranja, em nome das vítimas. Sem que elas sequer saibam, os fraudadores usam essas contas como “cúmplices” para auxiliar na pulverização das transferências por Pix e dificultar o rastreio dos valores.
Fraude do falso fornecedor
A fraude do falso fornecedor combina estratégias de invasão de contas com o uso de dados vazados e funciona a partir da abertura de contas de Pessoa Jurídica por parte dos fraudadores.
Com essas contas ativas, os golpistas entram em contato com as empresas como se fossem seus verdadeiros fornecedores e informam que ocorreu uma mudança no pagamento, solicitando que o Pix seja enviado para uma nova conta. Dessa forma, o dinheiro é desviado.
Toda a operação parece bastante confiável, pois os fraudadores fazem um grande esforço para soarem legítimos representantes daquele negócio. Outro elemento que torna a fraude mais verossímil é o uso de dados vazados, que viabilizam o conhecimento da lista de fornecedores da empresa e até mesmo os valores exatos do serviço contratado.
🔒 Aprofunde-se: Passwordless: a autenticação biométrica em um contexto sem senhas
Bacen e as novas medidas de combate à fraude do PIX
Recentemente, o Banco Central do Brasil divulgou ações adicionais para fortalecer a segurança e combater golpes envolvendo o Pix. Essas novas medidas entrarão em vigor a partir de novembro de 2023, com o objetivo de aprimorar a proteção nas transações realizadas por meio do sistema.
A atuação seguirá duas frentes principais:
- Consulta de informações atreladas às chaves Pix;
- Notificações de infração.
1. Consulta de informações atreladas às chaves Pix
As instituições financeiras terão acesso a um conjunto ampliado de informações para realizar verificações antifraude nas operações com Pix. As consultas poderão ser feitas 24 horas por dia, todos os dias, utilizando a chave Pix ou os dados pessoais do usuário, como CPF ou CNPJ.
Isso inclui dados sobre infrações relacionadas a contas laranja ou falsidade ideológica ligadas a um usuário ou chave Pix, quantidade de contas vinculadas a um determinado usuário a participantes que notificaram infrações de um usuário ou chave.
Além disso, o prazo de disponibilização dessas informações será estendido de 6 meses para até 5 anos.
2. Notificações de infração
Esse recurso já existe no sistema do Pix, permitindo que as instituições financeiras identifiquem e marquem chaves e usuários suspeitos de fraude. No entanto, com as novas regras, haverá campos adicionais para preenchimento, melhorando a especificação das notificações.
Será possível vincular informações como golpes, estelionato, invasão de conta e coação, o que auxiliará as instituições a identificar o tipo de fraude aplicado.
Fraude no Pix: quais os mecanismos de segurança existentes?
Além das medidas adotadas pelo Banco Central, existem outras maneiras de garantir a segurança na jornada dos usuários. Afinal, embora os bancos sejam responsáveis por ressarcir as vítimas de fraudes bancárias, ataques realizados em qualquer empresa geram má reputação para a marca e uma experiência ruim ao cliente.
Para coibir as ações fraudulentas que envolvem o Pix, é importante que as organizações tenham em mente cada um dos pilares da prevenção à fraude e quais tecnologias estão sendo usadas nas estratégias antifraude. Confira a tabela:
Esses tópicos representam um processo de análise de fraudes completo. Confira exemplos de mecanismos eficientes de proteção para cada etapa e quais fraudes podem ser prevenidas com essas ferramentas:
Mecanismo especial de devolução (MED)
Pilar: remediação.
Após as atualizações feitas pelo Banco Central em 2022, ficou mais fácil estornar um Pix em caso de fraude. Esse procedimento pode ser feito de duas formas:
- Bloqueio cautelar: os bancos podem bloquear o valor que caiu na conta por até 72 horas para avaliar se é um caso de fraude;
- Mecanismo especial de devolução ou MED: o próprio cliente avisa ao banco sobre a suspeita de fraude com Pix, solicitando o bloqueio da transferência.
Segundo dados do relatório do Grupo de Estudos em Segurança, o MED é capaz de recuperar cerca de 5% dos valores perdidos em fraudes. Esse número baixo diz respeito ao fato do MED ainda não ser capaz de barrar a “triangulação dos valores”, apesar de ser uma forma eficiente de recuperação.
Nesse cenário, os fraudadores pulverizam o montante em transferências para diversas outras contas. Geralmente, essas receptoras são contas laranjas e, após o envio, perde-se o rastreio do dinheiro. Esse processo acontece quase instantaneamente, segundo o Banco Central.
Atualmente, o Bacen trabalha no MED 2.0 que prevê, dentre outras ações, a abertura automática de eventos em caso de triangulação de valores usando o Pix. Isso significa que instantaneamente é realizada uma verificação das transferências com esse perfil.
Você pode entender mais detalhes sobre o MED no vídeo abaixo:
Biometria de voz
Pilares: prevenção, detecção, remediação e repressão.
A biometria de voz é uma ação de identificação e verificação de usuários que considera as características físicas e comportamentais únicas da voz de cada pessoa. Essa tecnologia é capaz de verificar se a transação realizada é legítima ou uma tentativa de fraude.
Caso a ferramenta reconheça que a voz de entrada não é compatível com os dados do cliente verdadeiro, a empresa pode impedir a operação e verificar se aquela voz já foi identificada em outro contexto, estando presente na lista de fraudadores já conhecidos.
Com relação aos pilares, na prevenção, a biometria de voz pode ser usada na autenticação do cliente para confirmar se realmente é quem diz ser. Na detecção, é possível, a qualquer momento, checar quem está efetuando determinado processo.
Já a remediação parte da tentativa de minimizar os danos da perda. A biometria de voz pode ser usada para comprovar a fraude, ajudando o bloqueio cautelar ou o mecanismo especial de devolução.
Além disso, na repressão, as vozes podem ser relacionadas para indicar se uma mesma pessoa já tentou realizar essa ação com outros clientes e entender a conexão e o modus operandi em cada fraude.
Para criar um sistema antifraude robusto e preservar a segurança do Pix, a biometria de voz pode ser implementada na jornada do cliente para que a validação da identidade seja feita antes que o sistema autorize a transferência.
Reconhecimento facial
Pilares: prevenção e detecção.
O reconhecimento facial consiste em verificar, por características da face de uma pessoa, se ela é quem afirma ser. Essa ferramenta pode ser aplicada na prevenção à fraude, evitando que uma pessoa não autorizada acesse um dispositivo, ou na detecção, quando são percebidos comportamentos incomuns e a IA solicita validação por reconhecimento facial.
🔒 É melhor adotar reconhecimento facial ou biometria de voz? Saiba as diferenças!
Device fingerprint
Pilar: prevenção e detecção.
O device fingerprint conta com um conjunto de ações comuns atribuídas a um dispositivo, como o local onde ele geralmente é utilizado ou o Wi-Fi em que costuma estar conectado.
Quando uma ação fora do comum é percebida, esse mecanismo pode solicitar uma segunda verificação, como a solicitação de um código único ou um fator biométrico, formando uma autenticação multifator e aumentando a segurança das transações.
Educação do público
Pilar: prevenção.
Por fim, a educação do público é um mecanismo essencial para ajudar a prevenir fraudes. Quanto mais as pessoas sabem sobre fraudes e como evitá-las, menores as chances de serem vítimas de golpes.
Nenhum banco solicita informações como a senha do usuário, mas muitos atos fraudulentos são baseados neste argumento. Fora que, muitas vezes as pessoas têm conhecimento sobre esse tipo de ataque cibernético, mas acabam sendo levados pela emoção do momento ou pela abordagem convincente dos fraudadores.
Assim, é muito importante que exista um diálogo frequente entre a marca e seus usuários, além do esforço na divulgação de informações efetivas sobre prevenção de fraudes. Uma maneira de fazer isso é inserindo recomendações de segurança no processo de onboarding dos clientes, preparando o público para identificar uma fraude e educando-o sobre como lidar em situações como essa.
Agora que você entendeu como funcionam as fraudes com o Pix, é hora de investir em ações práticas para evitar prejuízos na operação e proteger a reputação da sua marca e seus clientes. Clique no banner abaixo e confira o nosso guia completo e gratuito de como criar uma inteligência antifraude nas empresas.
A seguir, você vai aprender sobre: