Veja quais cuidados são necessários para cadastrar as chaves PIX

Bancos e instituições começaram, nessa segunda-feira (5/10), a cadastrar a chave PIX, que permitirá a identificação das contas dos usuários que desejam aderir ao mais novo sistema de pagamentos lançado pelo Banco Central (BC).

A chave, que pode ser CPF/CNPJ, e-mail, número de telefone ou sequência aleatória, será informada pelo recebedor. Em seguida, o pagador usará o aplicativo do banco ou da instituição para inserir o código e realizar a ação.

Até às 18h dessa terça-feira (6/10), cerca de 10,1 milhões de cadastros tinham sido realizados, segundo dados do BC. Apesar do expressivo número, muita gente – amparada na incerteza do novo – está com medo de possíveis fraudes.

De fato, é preciso ficar atento. A professora de economia da Universidade de Brasília (UNB) Daniela Freddo explica, no entanto, que os brasileiros estão amparados pelas normas estabelecidas pelo Banco Central.

​Uma delas é que caberá ao prestador de serviço de pagamento – como bancos e instituições financeiras – a análise do caso de fraude e o eventual ressarcimento, a exemplo do que ocorre hoje em fraudes bancárias.

​”As mesmas medidas de segurança, como formas de autenticação e criptografia, adotadas na realização de outros meios de pagamento, como TEDs e DOCs, serão usadas pelas instituições no PIX”, explica a autarquia.

Fraudes

Em nenhuma hipótese, isso significa que os usuários devam ficar despreocupados ao cadastrarem a chave. Os cibercriminosos se aproveitam de diversas situações para aplicar softwares maliciosos e roubar dados.

Levantamento da empresa de segurança Kaspersky identificou, nas primeiras horas dessa segunda-feira (5/10), o registro de 30 domínios fraudulentos com o termo PIX. O número pode chegar aos 100 sites falsos no decorrer da semana.

“Quando o governo anunciou o cadastro do auxílio emergencial [no dia 3 de abril], identificamos 100 domínios falsos até o fim do dia 8 de abril”, explica o especialista sênior de segurança da Kaspersky no Brasil, Fabio Assolini.

O registro de um domínio é o primeiro estágio de um golpe. Entre os site maliciosos encontrados, estão: chavepix.me; gerenciadorpix.com; pagarpix.com; pixapp.online; pixbrasil.tech; pixempresas.com e; suportepix.online.

O especialista explica ter encontrado três tipos de ataques utilizando o tema do novo sistema. Veja, a seguir, como funciona cada um deles. É importante entender como os criminosos atuam para evitar o risco de cair nessas fraudes.

1. Golpes para realizar a infecção do dispositivo da vítima por malware: “Aqui, os criminosos usam uma mensagem de e-mail, redes sociais ou SMS oferecendo o cadastro no sistema de pagamento eletrônico. Quando a vítima é direcionada para este domínio, o site oferece o download de um arquivo malicioso. O arquivo vai instalar um RAT (ferramenta de acesso remoto) que permitirá aos fraudadores terem acesso remoto ao dispositivo infectado ou permitirá a coleta de informações importantes”.
2. Mensagens falsas que querem roubar credenciais de acesso ao Internet Banking ou Mobile Banking: “Da mesma forma que os ataques de disseminação de malware, as mensagens de e-mail, redes sociais ou SMS oferecem o cadastro ao PIX, mas, neste caso, levam a vítima para um site falso de banco. Na página falsa, será pedido à vítima que faça o acesso à conta bancária e serão solicitados também os códigos de autenticação (tokens) presentes no cartão de senhas ou em apps. Com estes dados, os criminosos poderão ter acesso à conta bancária da vítima e roubar o saldo, realizando pagamentos fraudulentos ou transferências para outras contas”.
3. Golpes de phishing para roubar dados pessoais que podem ser usados como chaves do PIX: “Os primeiros dois tipos de ataques apenas utilizam o PIX como isca, mas o golpe em si não está relacionado ao novo sistema. Porém, este terceiro tipo de trapaça tem como objetivo principal coletar dados pessoais das vítimas que possam ser usados em fraudes no sistema de pagamento no próximo mês. Ele foi inicialmente identificado há duas semanas pela Kaspersky.”

Nesse sentido, a professora Daniela Freddo ressalta a importância de evitar links recebidos por meio de mensagens de e-mail, SMS e WhatsApp que direcionam para os supostos sites para se cadastrar a chave PIX.

“Em vez de a pessoa clicar nesse link, ou responder essa chamada, mesmo que demonstre ser do próprio banco, ela deve entrar diretamente no site ou na conta da instituição financeira e fazer o cadastro”, recomenda a especialista.

Qual chave escolher?

Daniela Freddo afirma que, para ela, uma das chaves mais seguras é a aleatória, uma vez que não é composta por dados pessoais do cliente – ao contrário dos registros feitos com base no e-mail, telefone ou CPF da pessoa.

A ideia apresentada pelo Banco Central para o uso do PIX é que as transações eletrônicas ocorram de forma simples e ágil, sem que o cliente tenha que passar todos os seus dados para o usuário que irá realizar a transferência.

De acordo com informações da autarquia, o cliente pessoa física pode ter cinco chaves para cada conta de que for titular, enquanto os clientes pessoa jurídica (empresas, por exemplo) podem ter 20 chaves para cada conta.

“O consumidor tem que evitar fornecer mais dados pessoais do que já oferece, sobretudo na hora de receber o PIX. Os números do CPF e do telefone são muito sensíveis e podem ser usados em fraudes”, ressalta Daniela Freddo.

Não é obrigatório cadastrar uma chave para fazer ou receber um PIX. Caso o usuário queira usar o novo sistema de pagamento, sem a chave PIX, será preciso digitar os dados bancários do destinatário para realizar a transação.

Apesar de não ser obrigatório, o cadastramento da chave PIX é “altamente recomendável” para utilizar a ferramenta, segundo o Banco Central, por motivos de agilidade – um dos princípios que norteiam o sistema de pagamentos.

“Ainda que se possa receber transações apenas informando os dados da conta, essa forma não tem a mesma praticidade que o uso da chave e pode gerar demora na transação, diminuindo o benefício do pagador em fazer um PIX”, diz o BC.

De acordo com informações da Federação Brasileira de Bancos (Febraban), além das chaves de endereçamento, o PIX trará a experiência do QR Code, em dois formatos:

• Estático: que poderá ser usado para transferências ou no comércio quando as informações para pagamentos não mudam, incluindo o valor a ser pago (exemplo: um sorveteiro, em que o preço do picolé é o mesmo sempre).
• Dinâmico: que poderá ser utilizado no comércio quando as informações para pagamentos mudam a cada momento (exemplo: em um supermercado, quando o valor de cada compra é diferente).