10 de abril de 2022

Golpistas cruzam chaves vazadas de Pix com outros dados para aplicar novas fraudes

Desde que começou sua operação no final de 2020, o Pix já ultrapassou a marca de 400 milhões de chaves cadastradas. Com a difusão, o método de pagamento instantâneo também passou a ser percebido por criminosos como um terreno fértil para aplicação de novos golpes.

Entre setembro de 2021 e março deste ano, o BC registrou três vazamentos de dados de usuários que utilizam o Pix. Apesar de envolver apenas informações cadastrais —como nome, CPF, telefone e instituição bancária—, 576.785 chaves foram expostas no total.

Em nota, o BC esclareceu que as informações não são sensíveis ou sigilosas. “Parte costuma ser compartilhada pelos usuários ao se fazer uma operação TED ou DOC, estão impressas nos cheques e podem constar nos comprovantes das transações.”

O perigo, contudo, está no que cibercriminosos têm feito com essas informações, dizem especialistas. Com dados cadastrais em mãos, é possível que cruzem com vazamentos anteriores e também identifiquem perfis pessoais de usuários em redes sociais —e, a partir daí, apliquem golpes phishing e de “engenharia social”.

Phishing —termo do inglês que deriva de “pesca”— é a tentativa de “fisgar” uma vítima através de falsas solicitações por mensagens de texto, WhatsApp, links enganosos ou mesmo ligações. Já a engenharia social é aquela em que criminosos tentam manipular a vítima para que forneçam informações.

O cibercriminoso, em posse de CPF, nome completo e até data de nascimento, pode se passar por um funcionário do banco e pedir senhas de cartões, dados de conta e de caráter sigiloso. Por serem informações reais e, teoricamente, somente de posse da instituição financeira, é comum que a vítima confie que seja uma solicitação verdadeira e caia na armadilha.

“A partir do momento em que a vítima cria um elo de confiança com o criminoso, ele pode criar inúmeras histórias para tentar efetuar o estelionato”, explica Wanderson Castilho, perito em crimes digitais. “Os vazamentos em si não são nocivos, mas facilitam a criação de novos golpes.”

Na ligação, por exemplo, o golpista pode dizer que tem um empréstimo pré-aprovado no nome da vítima ou até mesmo alegar que houve uma tentativa de invasão à conta e, por isso, precisa alterar a senha de ingresso.

Outro caso recorrente, segundo Castilho, é o hackeamento de contas de redes sociais, como WhatsApp e Instagram, em que, passando-se pela vítima, é disparada uma mensagem para contatos frequentes pedindo ajuda financeira ou oferecendo falsas promoções.

“As histórias são infinitas, mas a metodologia é sempre a mesma. A partir das informações cadastrais que já tem, o estelionatário busca outras para conseguir, efetivamente, aplicar o golpe, quer seja na vítima inicial, quer seja nos contatos dela”, diz Castilho.