Hackers contam como enganam vítimas no golpe do Pix; saiba como se proteger

As transferências bancárias via do Pix  completaram apenas um ano em novembro de 2021, mas já se tornaram um hábito no Brasil. Hoje, é comum ver uma pessoa com um celular na mão perguntando o número do CPF ou CNPJ para fazer  um Pix, seja na feira, no mercado ou na padaria. Mas, com a grande popularidade, também surgiram  os golpes, que estão cada vez mais sofisticados.

Só até setembro de 2021, a Receita  Federal bloqueou mais de 2,7 milhões de tentativas de golpes envolvendo o Pix. Sou Felipe Souza, repórter da BBC News Brasil em São Paulo. Eu conversei com hackers e  especialistas em segurança digital e vou explicar, neste vídeo, como são aplicados  alguns dos golpes mais comuns envolvendo o Pix e como evitar cair neles.

A maior parte dos golpes usam engenharia social, ou seja, a manipulação psicológica ou  estelionato para enganar as vítimas. Em um caso em Santos, no litoral de São  Paulo, uma aposentada teve um prejuízo estimado em R$ 60 mil depois que os golpistas se  passaram por funcionários de um banco e tiveram acesso a dados da conta e senha dela. O delegado Tarcio Severo, me contou que o número de sequestros-relâmpago, um  crime antes considerado adormecido, também disparou após a implantação do Pix.

Ou seja, tem criminosos sequestrando pessoas e mantendo como reféns até que  elas façam transferências. Como com o Pix agora elas são instantâneas,  fica cancelar a transferência e reaver o dinheiro depois, já que muitas vezes ele  já saiu da conta para a qual foi enviado. O delegado me disse ainda que quadrilhas  especializadas em outros crimes, como furtar condomínios ou explodir caixas eletrônicos,  estão migrando para crimes envolvendo o Pix.

Para dificultar a ação dos criminosos,  o Banco Central limitou o valor das transferências bancárias feitas das 20h às 6h. Mas a Polícia Civil continua identificando e caçando diariamente quadrilhas  que atuam neste tipo de crime. O golpe mais comum chama-se capturador de  sessões.

Nele, o golpista envia um PDF ou email para a vítima com um arquivo que, caso seja  aberto, vai infectar o dispositivo eletrônico, seja celular, tablet ou computador. Com o vírus instalado, o invasor receberá uma notificação quando a  vítima abrir um aplicativo de banco. O hacker então captura a sessão daquela  pessoa, inclusive a combinação de senhas, e obtém acesso à conta dela.

O vírus permite que o hacker use o aparelho da própria vítima para acessar o  site do banco e fazer transferências via Pix. Em casos em que o banco exige algum  tipo de número fornecido por um token, o hacker ainda consegue clonar  o número do celular da vítima, com a ajuda de funcionários das  operadoras, para ter acesso ao código. Os mais básicos são aqueles em que  o golpista cria uma página falsa, na qual a vítima acessa por meio de um  link uma oferta enganosa ou algo parecido.

Já o phishing mais complexo exige que o hacker  tenha acesso ao DNS, sigla em inglês para Sistema de Nomes de Domínio da vítima. Sigla  em inglês para Sistema de Nomes de Domínio. Funciona assim: quando a gente digita o  endereço de um site, o DNS do computador identifica a qual endereço de IP, que é  um código numérico, esse site corresponde.

Aí, ele analisa se o endereço é  confiável e prossegue com o acesso. Se um hacker acessa o DNS, ele  pode "enganar" o computador da pessoa sobre qual site está sendo acessado. Mas conseguir acesso ao DNS da vítima para alterar esses dados é a parte mais difícil da invasão.

Uma das formas é incluir algum código em um site de acesso em massa — como um portal de notícias  ou um site de gaming — para que o hacker possa trocar o DNS de diversos usuários que  tenham senhas facilmente decifráveis em seu roteador de internet, como 1234. Isso criou um segundo mercado paralelo: o de vendas de licenças de programas para hackers. Para ganhar dinheiro cooperando com o crime, mas "sem sujar as mãos", alguns programadores  criam programas que roubam dados e "alugam" a licença dele por até R$ 2 mil por semana.

Um hacker com que meu conversei explicou que a maior dificuldade desse método é  espalhar o vírus ou conseguir vítimas. Quando o criminoso consegue isso, ele  rouba o dinheiro imediatamente e usa para comprar criptomoedas e ocultar a sua origem. Outro golpe comum é o do SMS emergencial ou SMS premiado, no qual o golpista dispara milhares de  mensagens automáticas pedindo socorro ou dizendo que a pessoa ganhou um prêmio e solicitando  uma transferência via Pix para solucionar um problema financeiro ou resgatar a bolada.

Agora, vou falar dos três principais passos que os especialistas com quem eu conversei  indicaram para evitar que você seja mais uma vítima de golpes digitais, tanto  por Pix ou em aplicativos de conversa. A primeira dica é baixar um antivírus no celular. Assim, você cria uma barreira de  proteção contra a maioria dos golpes, como os que tentam infectar seu celular  através de e-mails ou arquivos digitais.

A segunda, é desconfiar de mensagens  e ligações de contatos desconhecidos. Essa é a origem da maior parte dos  golpes que envolvem estelionato ou engenharia social. Ficou desconfiado? 

Procure a instituição que teoricamente entrou em contato com você.  E nunca passe suas senhas. A terceira é escolher senhas  seguras e difíceis para seu celular, acessos e até para a rede Wi-Fi da sua casa.

Nada de 123456 ou admadm… Os golpistas podem entrar pela internet sem fio, ter acesso à tela do seu celular e até fazer  você entrar em páginas falsas sem saber. Segundo Emílio Simoni, especialista em  segurança digital e diretor do dfndr Lab, do grupo CyberLabs-PSafe, cerca de 40% dos celulares  brasileiros estão vulneráveis a esse tipo de golpe porque possuem senhas fáceis ou não têm senha. Existe programa para esse tipo de roubo de dado.

O DNS Change, criado por hackers em 2013,  invade celulares com senhas de wi-fi fáceis, como "12345678" ou "adm1234" e  troca a identidade do aparelho. Ou seja, todo cuidado é pouco. Espero que essas dicas ajudem você a se proteger.

Eu fico por aqui!