O terceiro vazamento de dados cadastrais de chaves Pix em seis meses acendeu um sinal amarelo em usuários sobre a segurança do meio de pagamento. Os outros dois casos aconteceram em agosto e dezembro de 2021.
O BC (Banco Central) afirma que as irregularidades acontecem porque as instituições financeiras não adotaram todas as medidas de segurança apontadas no regulamento da ferramenta. Especialistas ouvidos pelo UOL concordam e dizem que o sistema é seguro.
Para Marco Zanini, CEO da Dinamo Networks, empresa especializada em segurança digital, os incidentes acontecem em meio a uma crescente onda de aceitação do Pix. A ferramenta teve 395 milhões de chaves cadastradas e quase 1,1 bilhão de transações em janeiro deste ano, segundo o BC.
Leia mais:
Dados sigilosos não foram expostos
Ele diz que os vazamentos podem deixar os usuários inseguros, mas ressalta que informações sigilosas não foram expostas em nenhum dos casos.
Os criminosos tiveram acesso a dados cadastrais como número do Pix —que podem ser CPF, número do celular, e-mail ou chave aleatória— e a instituição financeira vinculada ao meio de pagamento. As senhas dos bancos não foram vazadas.
Zanini diz que a exibição de dados cadastrais completos antes da transferência facilita a ação de criminosos, que têm acesso a elas sem dificuldade. “Não se trata de uma vulnerabilidade do Pix, que oferece uma plataforma segura na comunicação entre bancos, mas do aplicativo da instituição financeira.”.
Ele afirma que uma alternativa ao problema é o app do banco permitir a visualização de apenas alguns números do CPF do usuário e o nome da instituição financeira, recurso chamado de mascaramento de dados em segurança da informação.
O correto é que os dados sejam confirmados na íntegra somente após a transação ser confirmada.
Consequência do vazamento
Sem acesso à senha, o golpista não consegue fazer movimentações financeiras na conta do usuário. Entretanto, ter esses dados oferece a criminosos a chance de aplicar golpes de engenharia social, quando fraudadores usam internet para obter informações privilegiadas das vítimas, De acordo com a Febraban (Federação Brasileira de Bancos), houve crescimento de 165% nos golpes desse tipo no primeiro semestre de 2021, em relação ao segundo semestre de 2020. A aplicação da técnica do falso motoboy teve aumento de 271% no período.
Essa ação ocorre quando o golpista se passa por funcionário de banco e diz que o cartão do cliente foi fraudado. Ele pede o número da senha e que o item seja cortado, mas sem danificar o chip, e conta que o cartão será retirado em casa.
Um segundo fraudador aparece em cena para recolher o meio de pagamento no domicílio da vítima. O chip intacto permite que os criminosos roubem dinheiro da vítima.
O UOL pediu às secretarias de Segurança Pública dos estados de São Paulo e Rio de Janeiro dados sobre golpes do Pix. No entanto, as pastas dizem não ter informações sobre esse tipo de crime, que é classificado como estelionato.
Fique atento aos golpes
Claudia Yoshinaga, professora de finanças da FGV/Eeaes (Escola de Administração de Empresas de São Paulo, da Fundação Getulio Vargas) diz que os vazamentos não devem afetar a imagem positiva do Pix.
“É um sistema prático, funciona bem e é seguro. Já há muita gente usando”, diz.
“O BC apura detalhadamente cada caso e aplicará as medidas sancionadoras previstas nas normas vigentes”, informa o Banco Central.
O BC também declara que vem aperfeiçoando o processo de monitoramento para identificar possíveis golpes.
Yoshinaga diz que, para além de as instituições investirem em segurança, as pessoas devem ficar atentas a qualquer tentativa de golpe. A professora diz que não se deve passar nenhum dado pessoal por telefone ou clicar em links suspeitos em aplicativos e emails.
Outra possibilidade é cadastrar apenas chaves aleatórias, que são uma combinação de números, letras e símbolos gerados aleatoriamente. Essa é a opção mais escolhida pelos usuários desde maio de 2021.
Entretanto, a professora da FGV diz que a chave aleatória é menos indicada para pessoas que têm no Pix a principal forma receber dinheiro de clientes. “É mais fácil falar o número do seu celular ou email do que vários números e letras. Perde-se um pouco em praticidade”, avalia.
Os casos de vazamento
Em 3 de fevereiro, houve o vazamento mais recente do Pix, atingindo 2.100 chaves ligadas ao meio de pagamento Logbank.
Uma falha de segurança numa das empresas que operam o Pix, ocorrida em dezembro de 2021, mas informada pelo BC em 21 de janeiro deste ano, foi o maior vazamento, comprometendo quase 161 mil clientes de cerca de 300 instituições.
No centro do incidente, está a Acesso Soluções de Pagamento, pertencente à Méliuz —empresa especializada em serviços de cashback (devolução de dinheiro). Criminosos invadiram a plataforma da Acesso e conseguiram roubar dados de clientes de centenas de instituições.
Em agosto do ano passado, vazaram dados de chaves Pix a partir do Banese (Banco do Estado de Sergipe). O incidente com a Acesso ocorreu em dezembro. (UOL)