Criminosos estão usando anúncios falsos de cadastramento do Pix, novo sistema de pagamentos eletrônicos do Banco Central (BC). Segundo o Kaspersky Lab, empresa internacional de segurança virtual, o intuito é coletar dados bancários e pessoais (como senhas de conta, celular e CPF), para que os golpistas possam ter acesso a uma futura conta Pix da vítima e, assim, efetuar transações em seu nome.

A nova ferramenta de pagamentos do BC tem o objetivo de trazer mais agilidade nas transações bancárias com chaves para pagamentos e transferências (não sendo mais necessário informar os números do banco, da agência e da conta, por exemplo). Entre as chaves possíveis estão o CPF (ou CNPJ) e o número de telefone. Por isso, o interesse dos criminosos em coletar os dados.

"O e-mail que identificamos usava o nome de um banco popular e trazia um link para que o usuário fizesse o cadastro na conta Pix. O link direcionava a um site falso que simulava o banco e pedia que a vítima inserisse sua senha bancária, além do número do celular e do CPF, que serão usados como chaves de identificação dentro do Pix", explica Fabio Assolini, analista do Kaspersky.

A previsão é que a nova tecnologia de pagamentos comece a funcionar a partir do final de outubro. Mas, para isso, as instituições financeiras estão pedindo o cadastro desde já para solicitar a chave para os usuários. A recomendação é entrar em contato diretamente com as instituições para fazer.

"Se você quer cadastrar suas chaves procure diretamente a página da instituição. Tenham cuidado com os convites de pré-cadastro recebidos, pois eles podem ser falsos", alerta Fabio Assolini.

Brasileiros entre as maiores vítimas de phishing

De acordo com um relatório recente publicado pela Kaspersky, os brasileiros estão entre os principais alvos de phishing no mundo. Cerca de um a cada oito usuários de internet do país (13%) acessou, de abril a junho deste ano, pelo menos um link que direcionava a páginas maliciosas. O índice está bem acima da média mundial — 8,26%, no mesmo período — e coloca o Brasil como o quinto país com maior proporção de usuários atacados.

Dicas para não ser vítima

• Sempre verifique o endereço do site para onde foi redirecionado, endereço do link e o e-mail do remetente para garantir que são genuínos antes de clicar neles, além de verificar se o nome do link na mensagem não aponta para outro hyperlink;

• Não clique em links contidos em e-mails, SMS, mensagens instantâneas ou postagens em mídias sociais vindos de pessoas ou organizações desconhecidos, que têm endereços suspeitos ou estranhos. Verifique ainda se são legítimos e, mesmo que comecem com ‘https‘, é necessário duvidar, pois muitos sites falsos podem exibir o cadeado de segurança;

• Se não tiver certeza de que o site da empresa é real e seguro, não coloque informações pessoais;

• Analise cuidadosamente as URLs das páginas com formulários que solicitam dados confidenciais. Se o endereço consiste em um conjunto de caracteres sem sentido ou a URL parece suspeita, não finalize o pagamento.

• Use uma solução de segurança comprovada com tecnologias antiphishing baseadas em comportamento. Ela permitirá a identificação até dos golpes de phishing mais recentes, que ainda não foram incluídos nos bancos de dados antiphishing.