Novo golpe do Pix mira micro e pequenos empreendedores

 Publicado em 01/11/2021

Golpe do fornecedor: criminosos se passam por grandes empresas e alegam defeito em cadastro do Pix; veja dicas de segurança para evitar esquema

A AllowMe, empresa especializada em proteção digital, descobriu por meio de sua divisão de inteligência de plataforma que os criminosos estão se reinventado quando se trata de golpes com Pix. O esquema de engenharia social que tem como alvo MPEs e MEIs é conhecido no mercado como "golpe do falso fornecedor".

O novo golpe do Pix, segundo a AllowMe, se tornou cada vez mais recorrente nas últimas semanas. As empresas de pequeno porte são as principais vítimas, e os prejuízos para cada tentativa bem-sucedida variam entre R$ 10 e R$ 10 mil.

O golpe do falso fornecedor só funciona a partir da engenharia social, contando com uma falha humana no pagamento a prestadores de serviço. Os golpistas abrem contas PJ em bancos digitais com nome de empresas fictícias. Elas têm nomes parecidos com o de empresas reais, mas propositalmente erram uma letra ou número.

Após a abertura de conta, os criminosos fazem contato com a vítima. Eles se passam por fornecedores de uma grande empresa, e então informam que houve uma mudança nos processos de pagamento via Pix e pedem uma nova transferência para confirmação.  

"Os fraudadores podem ter acesso à lista de fornecedores de várias maneiras: por vazamento de dados na internet, por informações internas ou até mesmo entrando no site da empresa e vendo um selo no rodapé da página", conta Raquel Aquino, analista de segurança da informação do AllowMe. "Há casos em que os criminosos solicitam no contato o valor exato da fatura do contrato entre as empresas". 

De acordo com Aquino, o golpe do fornecedor tem mais chances de sucesso quando praticados sobre empresas que não têm um procedimento de pagamento rigoroso. Vale lembrar que a confirmação do Pix apresenta o nome do destinatário, CNPJ e banco.

Dicas de como não cair no golpe do Pix para MPEs 

O cliente pode se prevenir do golpe do fornecedor. A Febraban (Federação Brasileira de Bancos) recomenda ao usuário que confira as informações do recebedor ao pagar um boleto ou fazer o Pix. 

Aquino explica que criminosos podem abrir contas corporativas à vontade, já que o processo está cada vez mais fácil. Também não é ilegal abrir um MEI, o que joga a favor dos golpistas. Ranier pontua: 

"No entanto, há algumas características que podem ajudar a barrar esta abertura em massa, como por exemplo olhar para os dispositivos (computadores ou smartphones) utilizados pelos estelionatários: certamente haveria um comportamento suspeito de várias contas serem abertas a partir de um número limitado de aparelhos, ou em um determinado raio de localização."

A Febraban ressalta que não é seguro compartilhar senhas por mensagens, e-mails ou SMS. A associação lançou no dia 18 de outubro uma campanha antifraude com o aumento dos golpes no Pix. 

• Além disso, a própria AllowMe listou algumas dicas importantes para MPEs evitarem golpes:
• Não confiar em contatos desconhecidos, por mais que se passem por fornecedores;
• Faça contato com o fornecedor em números/e-mails seguros e comumente utilizados;
• Verifique os dados do destinatário do PIX;
• Independentemente de o valor solicitado condizer com faturas pagas anteriormente, sempre consulte a pessoa responsável por administrar aquele contrato;
• Caso o solicitante insista no pagamento ou peça para não encerrar a ligação, desconfie;
• Atente-se: o PIX não necessita de transações de ativação;
• Fornecedores nunca realizam alteração de dados bancários/recebimento por telefone sem formalização;
• Não informe dados pessoais e comerciais;
• Não confirme informações sigilosas entre a empresa e fornecedor (valor de fatura, serviços contratados, etc);
• Por mais que o solicitante confirme todos os dados da empresa, não realize transações sem a formalização por canais seguros.

Uma nova modalidade de golpe do Pix mira nos micro e pequenos empreendedores. Com o aumento no uso da ferramenta de pagamento instantâneo do Banco Central para realizar compras e transações com lojas, os criminosos se adaptaram à novidade: eles agora abrem contas PJ em diversos bancos com nomes propositalmente errados de grandes marcas, e mentem sobre transferências para fisgar empresários desatentos.

Fonte: economia.ig - 31/10/2021

Banco Central registra vazamento de dados de 395 mil chaves Pix

 

Publicado em 01/10/2021 , por Larissa Garcia

Segundo o Banese, informações de não correntistas foram obtidas a partir de duas contas de clientes do banco

O BC (Banco Central) registrou o primeiro caso de vazamento de chaves Pix, sistema de pagamentos instantâneos. Segundo a autarquia informou nesta quinta-feira (30), dados de clientes do Banese (Banco do Estado de Sergipe) foram expostos por "falhas pontuais em sistemas dessa instituição financeira".

Em comunicado aos acionistas e ao mercado, o Banese afirmou que sua área técnica detectou consultas indevidas a dados de 395.009 chaves Pix, exclusivamente do tipo telefone de pessoas que não eram clientes. 

O BC não confirmou o total de chaves expostas.

Segundo a instituição, os dados foram conseguidos a partir de duas contas bancárias de clientes do Banese, "provavelmente obtido mediante engenharia social (phishing ou similar)".

Embora o BC tenha informado que a falha se deu no sistema da instituição, o Banese afirmou que as consultas foram feitas diretamente em diretório administrado pelo BC.

"Tais consultas foram realizadas no Diretório de Identificadores de Contas Transacionais –DICT, administrado pelo Banco Central e de acesso restrito às Instituições que iniciam o procedimento para realização de uma transação por PIX, e contém informações de natureza cadastral: nome, CPF, banco em que a chave está registrada, agência, conta e outros dados técnicos utilizados para fins de controle antifraude, tais como a data de abertura da conta e data de registro da chave", disse o comunicado da instituição.

"Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras", disse o BC em nota.

O banco disse que "o evento não afetou a confidencialidade de senhas, histórico de transações ou demais informações financeiras de seus clientes".

De acordo com a autoridade monetária, as pessoas que tiveram seus dados cadastrais vazados serão notificadas exclusivamente por meio do aplicativo do seu banco.

"Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou email", alertou.

O BC disse ter adotado as ações necessárias para a apuração detalhada do caso e "aplicará as medidas sancionadoras previstas na regulação vigente".

"Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação", afirmou o BC.

O Banese afirmou ter revogado o acesso às duas contas utilizadas e ter implementado mecanismos de segurança "visando evitar que casos semelhantes voltem a ocorrer".

Recentemente o BC implementou medidas de segurança para reduzir a vulnerabilidade dos sistemas às ações de criminosos em fraudes, sequestros e outros crimes.

Foi determinado, por exemplo, o limite de R$ 1.000 para operações em canais digitais com Pix e TED (Transferência Eletrônica Disponível) entre pessoas físicas à noite, que começa a valer em 4 de outubro.

A medida também valerá para cartão de débito quando utilizado para fazer transferência, com o WhatsApp Pay.

De acordo com o BC, esse limite poderá ser modificado pelo cliente, mas não por iniciativa do banco. Como padrão, todos que abrirem conta em uma instituição financeira terão este valor estabelecido para operações entre 20h e 6h inicialmente.

Em operações realizadas durante o dia, permanece a regra de que o limite oferecido para o Pix tem que ser o mesmo da TED.

O BC também estabeleceu o prazo mínimo de 24 horas para a efetivação de pedido do usuário, feito por canal digital, para aumento de limites de transações com Pix, TED, DOC (Documento de Ordem de Crédito), transferências intrabancárias, boleto e cartão de débito.

A autarquia afirmou que a medida visa impedir o aumento imediato em situação de risco.

Além disso, na última terça-feira (28), o BC publicou norma que permite que o banco retenha uma operação suspeita de fraude por até 72 horas, medida que passa a valer em 16 de novembro. Com isso, o banco poderá fazer uma análise da transação, aumentando a probabilidade de a vítima reaver seus recursos. Sempre que o bloqueio cautelar for acionado, a instituição deverá comunicar imediatamente ao usuário recebedor.

As mudanças foram anunciadas em 27 de agosto após pressão dos bancos diante da explosão de fraudes, sequestros e outros crimes envolvendo o Pix.

PRINCIPAIS MUDANÇAS SOBRE SEGURANÇA NO PIX

Como era

• Limites: igual ao da TED em qualquer horário
• Operações suspeitas: o banco não podia reter nenhuma operação e a liquidação tinha que ser feita na hora
• Pedido de aumento de limite: cada banco tinha uma política
• Cadastro de contas: não era permitido

Como fica

• Limites: padrão de R$ 1.000 entre 20h e 6h, podendo ser modificado pelo cliente; medida também vale para TED e transferência no WhatsApp
• Operações suspeitas: o banco pode reter uma operação suspeita no Pix por 30 minutos durante o dia ou 60 minutos à noite para análise de risco
• Pedido de aumento de limite: o banco deve atender o pedido entre 24 horas e 48 horas após a solicitação
• Cadastro de contas: o cliente pode cadastrar contas previamente no Pix para fazer transações acima do limite estabelecido, mas mantendo o valor para as demais operações; o registro em canal digital deve ser feito 24 horas antes

Fonte: Folha Online - 30/09/2021

 

Pix começa a funcionar em caráter restrito para alguns correntistas

Fase restrita vai até dia 15; Pix substitui operações de transferência

 
• Share on WhatsApp
 
• Share on Facebook
 
• Share on Twitter
 
• Share on Linkedin
 

Publicado em terça-feira, 3 Novembro, 2020 - 12:35 Por Eliane Gonçalves - São Paulo

O Pix, o novo sistema de pagamentos instantâneos, começa a funcionar em caráter restrito a partir desta terça-feira (3) e só estará disponível para todos os brasileiros a partir do dia 16 de novembro.

Mas ainda restam muitas dúvidas sobre essa nova ferramenta que vai substituir operações de transferência bancária como o TED e o DOC, que exigem o pagamento de altas tarifas. A segurança do sistema é uma dessas dúvidas.

Carlos Brandt, chefe adjunto do Departamento de Operações Bancárias e Pagamentos do Banco Central, garantiu que o sistema é seguro.

Entre as regras estão a definição de limites de valores de cada operação via Pix, algo que vai ser feito pelas instituições financeiras de acordo com o perfil dos clientes, e um prazo para cancelamento da operação pelos bancos em caso de suspeita de fraude.

Mesmo assim, as fraudes acontecem. O promotor de vendas Alexandre Moreira recebeu uma mensagem no celular pedindo para concluir o cadastro no Pix, só que a mensagem não era do banco onde ele tem conta.

Para casos como o de Alexandre, Erik Siqueira, especialista em segurança da informação da Polícia Federal, dá o alerta: desconfie sempre e confira tudo.

Mas Ione Amorim, coordenadora do Programa de Serviços Financeiras do Idec, o Instituto de Defesa do Consumidor, lembra que até mesmo nos casos em que os fraudadores não tenham nada a ver com os bancos que prestam o serviço, a educação da população também é tarefa do sistema financeiro.

Entre os dias 3 e 15 de novembro, apenas alguns clientes selecionados pelos bancos vão ter acesso ao Pix. A escolha desses clientes foi feita por mais das 700 instituições financeiras aprovadas pelo Banco Central para ofertar o Pix e foi limitada a 5% da carteira de cliente de cada instituição.

 

PIX sistema de pagamentos instituições bancárias operações de transferência segurança Golpes 

Fonte Agencia Brasil