Skip to main content
A- A+

Fraude Pix: 4 principais tipos e medidas de segurança

As fraudes no Pix são um desafio de grande importância para empresas e instituições que trabalham com esse meio de pagamento. Conheça os principais golpes aplicados hoje e algumas formas de coibir a atuação dos fraudadores.

Em setembro de 2022, aconteceu mais uma edição do Fórum Pix do Banco Central. O evento tem como objetivo discutir as possíveis ações e regras para o bom funcionamento do ecossistema de pagamentos instantâneos. As fraudes no Pix foram, mais uma vez, tema de discussão.

 

A grande preocupação está no uso de contas laranja por fraudadores, o que dificulta o rastreio do dinheiro de forma muito rápida, impedindo a recuperação dos valores roubados.

Para coibir essa ação dos fraudadores, o BC estuda o desenvolvimento de um novo mecanismo para bloquear a pulverização dos valores.

Contudo, as contas laranja são uma realidade na etapa final do processo de fraude: quando ela já aconteceu. O caminho até essa conclusão pode passar por diferentes tipos de fraude, cada vez mais elaboradas.

Antes de chegar nesta etapa, existem medidas que podem ser tomadas pelas empresas para diminuir os prejuízos com fraudes no Pix e colaborar com a segurança do ecossistema de pagamentos instantâneos.

Confira alguns exemplos de fraudes pelo Pix e tipos de mecanismos de segurança que podem ser adotados antes, durante e também depois de uma ocorrência.

Como funciona a fraude do PIX? Saiba as principais fraudes com PIX

O Pix, sistema de pagamento instantâneo brasileiro, já faz parte do cotidiano do país. Assim como outros métodos de pagamento, como cartão de crédito ou transferência bancária, tem sido alvo de constantes ações de fraudadores.

As fraudes com Pix geralmente envolvem mais de um fator para serem concretizadas. Por isso, é importante entender que elas não ocorrem de forma isolada e podem estar permeadas por mais de uma prática ao mesmo tempo.

Por exemplo, uma prática comum é o uso de dados vazados para aplicar golpes. Com eles, podem ser feitas alterações cadastrais na conta ou ações de phishing, usando os dados para enganar os consumidores e aumentar a credibilidade da abordagem.

Confira os principais tipos de fraude com Pix, como funcionam e exemplos de como tem sido aplicadas:

1) Engenharia social

Esse é um golpe clássico, que existia até mesmo antes da implementação do Pix. Trata-se de um golpe de engenharia social que pode assumir diversas modalidades, mas, em geral, é baseado na clonagem do número de celular, roubo de telefone ou cópia de perfil das redes sociais de alguém.

Então, fingindo ser outra pessoa, os fraudadores entram em contato com amigos e familiares pedindo dinheiro. Normalmente, inventam alguma história para se passar pela pessoa e, assim, conseguir convencer as vítimas da veracidade do pedido.

A ação de fingir ser outra pessoa também pode ser usada para golpes de phishing, em que a vítima é levada a informar seus dados em um site específico ou instalar um aplicativo malicioso.

Veja também: Como evitar golpes pelo celular?

Sites falsos

Um exemplo de engenharia social é o uso de sites falsos. Esse é outro golpe antigo no mercado, mas que ganha uma nova roupagem com o Pix. Nele, os produtos vendidos em sites falsos costumam ter um valor muito atrativo para o pagamento no Pix. Geralmente, esses portais copiam a identidade visual de outras marcas para parecerem legítimos.

O consumidor, acostumado com descontos em pagamentos à vista, é convencido de que encontrou uma excelente oportunidade. Contudo, no caso do golpe do site falso, ao realizar o pagamento do Pix, rapidamente os fraudadores fazem a distribuição do pagamento.

2) Atualização de cadastro

Nesse golpe, os fraudadores enviam uma mensagem para a vítima informando que será preciso atualizar seus dados cadastrais e, para isso, enviam o link do site. A vítima então entra em um site falso e insere as informações que eles precisam para realizar a transferência por Pix.

Segundo uma reportagem do Fantástico, da Rede Globo, uma rede de fraudadores realizou essa ação contra diversas prefeituras em São Paulo e Minas Gerais. Dados da Polícia Civil mostram que o prejuízo dessas operações já chegava aos R$ 10 milhões.

Golpe do Pix

Um caso de fraude por atualização de cadastro é o Golpe do Pix, que atinge prefeituras, mas pode ser aplicado em qualquer empresa e segmento.

Usando dados de um grande vazamento ocorrido em 2021, fraudadores entraram em contato com servidores do setor de contas das prefeituras fingindo serem funcionários de um banco. Na conversa, informaram que era preciso atualizar o cadastro e enviaram um site falso em que o phishing foi consumado.

Nesse golpe, o servidor acredita que está fazendo o login na conta bancária da prefeitura, mas, na verdade, está passando os dados para os fraudadores. De posse dessas informações, eles fazem os saques dos valores e pulverizam o montante em diversas outras contas laranja.

3) Invasão de conta

A invasão de conta consiste no fraudador usar os dados da vítima para acessar a sua conta e realizar ele mesmo a transferência.

Para conseguir esses dados, ele pode agir de várias formas como: engenharia social, afirmando ser atendente do banco e solicitando os dados; roubo de celular e quebra das senhas de bloqueio; e phishing para capturar essas informações.

Roubo de celular

Uma prática muito comum de invasão de conta é a que acontece a partir do roubo de aparelhos de celular. De posse do aparelho, os criminosos conseguem quebrar o bloqueio inicial e acessar os aplicativos da vítima.

Mas, como eles descobrem as senhas para realizar as transferências? Existem diversas técnicas! Muitos aparelhos são roubados enquanto estão em uso e, portanto, desbloqueados. Isso facilita a ação dos fraudadores.

Uma outra técnica é a pesquisa no próprio aparelho, verificando em anotações, mensagens ou conversas se a vítima já mencionou a própria senha em algum momento.

Outra possibilidade é solicitar a troca de senha. Geralmente, esse processo confirma a mudança por e-mail ou mensagem de texto. De posse do aparelho, o fraudador consegue ter acesso aos dois canais.


Com essas informações, fica fácil acessar o aplicativo do banco ou do e-commerce para realizar o Pix em nome da vítima.

 

4) Uso de dados vazados

Usando as informações pessoais vazadas, os fraudadores podem realizar uma série de ações em nome da vítima. Essa prática pode estar combinada com outras ações, como a invasão de contas ou ações de engenharia social, mas também pode ser feita de forma isolada, usando os dados para a fraude.

Essas informações podem ser aplicadas para alterar o cadastro no banco. Depois, com o cadastro alterado, podem solicitar novas senhas de acesso ao internet banking e efetuar transferências usando o Pix da vítima. Nesse caso, os dados vazados seriam usados para uma invasão de contas.

Esses dados também podem ser usados na criação de contas laranja, em nome das vítimas. Sem que elas sequer saibam, os fraudadores usam essas contas como “cúmplices” para auxiliar a pulverização das transferências por Pix e dificultar o rastreio dos valores.

Fraude do falso fornecedor

A fraude do falso fornecedor combina estratégias de invasão de contas com o uso de dados vazados e funciona a partir da abertura de contas de Pessoa Jurídica por parte dos fraudadores.

Depois, eles entram em contato com as empresas como se fossem seus verdadeiros fornecedores e informam que ocorreu uma mudança no pagamento, que será enviado para uma nova conta, por exemplo. Em seguida, solicitam que as vítimas façam Pix para essa nova conta e, assim, o dinheiro é desviado.

Toda a operação parece bastante confiável, pois os fraudadores fazem um grande esforço para soarem legítimos representantes daquele negócio. Outro elemento que torna a fraude mais verossímil é o uso de dados vazados, para saber a lista de fornecedores da empresa e até mesmo os valores exatos do serviço contratado.

Fraude no Pix: mecanismos de segurança 

Embora os bancos sejam responsáveis por ressarcir as vítimas de fraudes bancárias, uma fraude realizada em qualquer empresa gera uma experiência ruim ao cliente.

Para coibir as ações fraudulentas que envolvem o Pix, é importante que as empresas pensem em cada um dos pilares da prevenção à fraude e quais tecnologias estão sendo usadas em cada um deles. Confira a tabela:

Prevenção Detecção  Remediação  Repressão 
Como garantir que é o cliente que está realizando aquela ação?
A prevenção pode evitar que o fraudador tenha êxito.
Como verificar comportamentos atípicos do cliente?
E, quando detectados, como entender se é realmente o cliente quem está realizando aquela ação ou não?
Uma vez que a fraude aconteceu, como recuperar o valor perdido?
Como remediar esse prejuízo financeiro?
Como entender um modus operandi específico e desenvolver ações para que ele não volte a acontecer?


Agora que você entende o processo de análise de fraudes, confira exemplos de mecanismos de proteção para cada etapa e entenda quais fraudes podem ajudar a prevenir:

 

Mecanismo especial de devolução (MED)

Pilar: remediação.

Ficou mais fácil estornar um PIX em caso de fraude com as atualizações feitas pelo Banco Central em 2022. A recuperação do dinheiro transferido numa fraude pode ser feito de duas formas:

      • Bloqueio cautelar: os bancos podem bloquear o valor que caiu na conta por até 72 horas para avaliar se é um caso de fraude.
      • Mecanismo especial de devolução ou MED: o próprio cliente avisa ao banco sobre a suspeita de fraude com PIX, para bloquear a transferência.

Segundo dados do relatório do Grupo de Estudos em Segurança, apresentado após o Fórum Pix 2022, o MED é capaz de recuperar cerca de 5% dos valores perdidos em fraudes. Isso acontece porque, ainda que o MED seja uma forma eficiente de recuperação de quantias, ele não é capaz de barrar a “triangulação dos valores”.

Nesse cenário, os fraudadores pulverizam o montante em transferências para diversas outras contas. Geralmente, essas receptoras são contas laranjas e, após o envio, perde-se o rastreio do dinheiro. Esse processo acontece quase instantaneamente, segundo o Banco Central.

Atualmente, o BC trabalha no MED 2.0 que prevê, dentre outras ações, a abertura automática de eventos em caso de triangulação de valores usando o Pix. Na prática, isso significa que será realizada instantaneamente uma verificação das transferências com esse perfil.

Biometria de voz

Pilares: prevenção, detecção, remediação e repressão.

A biometria de voz é a ação de identificação ou verificação de usuário considerando as características únicas da voz de cada pessoa. Com essa tecnologia é possível verificar se quem está realizando aquela transação é realmente o cliente e, assim, liberar o procedimento.

Caso seja percebido que a voz não é de quem diz ser, essa biometria pode informar que, por exemplo, aquela voz já foi identificada em um contato com outro CPF ou que está listada em um grupo de fraudadores já conhecidos.

Com relação aos pilares, na prevenção, a biometria de voz pode ser usada na autenticação do cliente para confirmar se é quem diz ser. Na detecção, é possível, a qualquer momento, checar quem está efetuando esse processo.

Já a remediação parte da tentativa de minimizar os danos da perda. A biometria de voz pode ser usada para comprovar a fraude, ajudando o bloqueio cautelar ou o mecanismo especial de devolução.

Além disso, na repressão, as vozes podem ser relacionadas para indicar se uma mesma pessoa já tentou realizar essa ação com outros clientes e entender a conexão e o modus operandi em cada fraude.

Por exemplo, na segurança do Pix a biometria de voz pode solicitar que seja feita essa validação antes de autorizar a transferência.

Veja como a Minds Digital já revelou uma quadrilha no Banco BMG

Reconhecimento facial

Pilares: prevenção e detecção.

O reconhecimento facial consiste em verificar, por características da face de uma pessoa, se ela é quem diz ser. Pode ser aplicado na prevenção à fraude, evitando que uma pessoa não autorizada acesse um dispositivo, por exemplo, ou na detecção, quando são percebidos comportamentos incomuns e a IA solicita validação por reconhecimento facial.

É melhor adotar reconhecimento facial ou biometria de voz? Saiba as diferenças!

Device fingerprint

Pilar: prevenção e detecção.

Device fingerprint é o conjunto de ações comuns atribuídas a um dispositivo, como o local onde ele geralmente é usado ou o Wi-Fi que costuma estar conectado.

Quando uma ação incomum é percebida, esse mecanismo pode solicitar uma segunda verificação, formando uma autenticação multifator e aumentando a segurança das transações.

Educação do público

Pilar: prevenção.

Quanto mais as pessoas sabem sobre fraudes e como evitá-las, menores as chances de que continuem caindo nos golpes. Por isso, a educação do público é um mecanismo essencial para o pilar de prevenção.

Nenhum banco solicita informações como a senha do usuário, mas muitos golpes são baseados nesse tipo de argumentação. Muitas vezes são pessoas que sabem sobre esse tipo de prática, mas, na hora, são levadas pela emoção do momento ou pela abordagem convincente dos fraudadores.

Por isso, é muito importante que exista um diálogo e um esforço na divulgação de informações efetivas sobre a prevenção de fraudes.

Esse tipo de ação pode ser inserida, por exemplo, no processo de onboarding de clientes. Com informações claras e ações de segurança, as empresas podem educar o público e torná-los mais capacitados para identificar uma fraude ou saberem que tipo de dados nunca vão ser solicitados.

Confira mais dicas sobre o onboarding e como tornar esse processo cada vez mais seguro:

Close Menu