88,7 milhões de pessoas no Brasil já utilizam o Pix, um fenômeno de adoção que já movimentou mais de R$ 17 bilhões, de acordo com uma pesquisa da Febraban. No entanto, sua atratividade não chama a atenção apenas da população brasileira comum, mas também de hackers. Um novo tipo de golpe pode até mesmo “desviar” as transações feitas pelo Pix.
Desde o final de 2022, e especialmente no primeiro semestre de 2023, os trojans bancários têm se tornado uma ameaça constante para os clientes de instituições financeiras brasileiras que utilizam o Pix.
Os trojans também são conhecidos como “cavalos de Tróia”, que estão entre os programas maliciosos mais comuns na internet.
Essas informações foram reveladas por uma pesquisa da Apura, empresa de cibersegurança com atuação no Brasil e na América Latina.
Até o momento, segundo a Apura, foram identificadas seis “famílias” de malwares, ou vírus, direcionados às transações feitas com Pix.
De acordo com a pesquisa da Febraban, 8 em cada 10 transações atualmente são feitas por canais digitais, principalmente pelos aplicativos de celular. No caso desse tipo de golpe, os usuários de celulares Android são as principais vítimas, segundo a Apura.
Por meio desses programas maliciosos, os hackers podem desviar transações com o Pix e roubar o dinheiro. São eles: PixStealer (e sua variante MalRhino), BrazKing, PixPirate, BrasDex, GoatRAT e PixBankBot.
Vírus que desvia transações com Pix
“Esses malwares procuram manipular e desviar transações realizadas por meio do Pix, causando prejuízos financeiros aos usuários, além de gerar inseguranças sobre o uso de um meio de pagamentos que atualmente é tão importante para os brasileiros”, disse Anchises Moraes, Cyber Threat Intelligence Lead da Apura.
Para implantar o vírus nos celulares das vítimas, os hackers utilizam da engenharia social. Essa tática implica na persuasão da vítima a instalar o vírus por conta própria, seja acreditando estar em contato com canais oficiais de grandes empresas e instituições bancárias ou por meio de promessas de prêmios e sorteios, por exemplo.
“Uma vez que o celular da vítima é infectado, o malware permite que o criminoso intercepte a interação do usuário com o aplicativo e altere os parâmetros das transações via Pix, transferindo todo o valor do saldo para contas de laranjas. O malware sobrepõe telas falsas no visor do celular para que a vítima não perceba o golpe”, explicou Moraes.
QR Codes também apresentam risco
Muito utilizados em transações com Pix, os QR Codes também apresentam um risco ao serem utilizados por hackers para roubar dinheiro de suas vítimas. Em uma tática chamada “Quishing”, os criminosos enviam mensagens fingindo serem outra pessoa ou empresa com QR Codes que direcionam a vítima para transferências Pix através do código.
“Também é possível utilizar o QR Code para direcionar a vítima a um site falso, tentando se passar por um site verdadeiro, com o intuito de obter informações pessoais ou financeiras, ou para fazer o download de um malware. O uso do QR Code pode dificultar a detecção dessas ameaças por ferramentas de segurança, pois o redirecionamento acontece apenas no dispositivo da vítima, quando ela escaneia o código incluído na mensagem “, esclareceu Moraes.
Como se proteger
Apesar da responsabilidade das instituições financeiras em investir na prevenção e no combate a este tipo de fraude, o usuário comum também pode se precaver ao seguir uma série de recomendações para evitar que suas transações sejam desviadas e o seu dinheiro roubado.
Confira as dicas de Anchises Moraes, da Apura, para se proteger de golpes com o Pix:
• Certifique-se de sempre manter o sistema operacional do seu dispositivo, seja celular, tablet ou computador, atualizado. As atualizações de software geralmente incluem correções de segurança importantes.
• Instale um antivírus confiável em seu dispositivo e mantenha-o sempre atualizado. Isso ajudará a identificar e bloquear possíveis ameaças.
• Evite fazer o download de aplicativos de fontes desconhecidas ou não confiáveis. Utilize apenas lojas oficiais, como a Play Store da Google ou a App Store da Apple.
• Antes de fazer o download de um aplicativo bancário, verifique se ele é o oficial da instituição bancária. Consulte o site ou entre em contato com o suporte do banco para confirmar a autenticidade.
• Evite clicar em links enviados por e-mails, mensagens ou redes sociais, principalmente se forem de fontes desconhecidas. Verifique sempre a autenticidade da mensagem e do remetente.
• Desconfie de solicitações de dados pessoais: não compartilhe informações pessoais, como senhas, dados bancários ou números de cartão de crédito, em sites, aplicativos ou mensagens suspeitas.
• Fique atento a sinais de phishing: esteja alerta para erros ortográficos, endereços de websites suspeitos ou pedidos para realizar ações urgentes. Lembre-se de que instituições financeiras legítimas nunca solicitam informações pessoais nem senhas por e-mail ou mensagem.
• Proteja seu dispositivo com senhas seguras: utilize senhas fortes e exclusivas para bloquear seu dispositivo, aplicativos bancários e contas online. Evite usar senhas óbvias, como datas de aniversário ou sequências numéricas simples.
• Monitore suas transações: Fique atento às transações realizadas em sua conta bancária, verificando extratos regularmente. Se notar algo suspeito, entre em contato com seu banco imediatamente.
