outubro 01, 2020

[Segurança] Aspectos de segurança do PIX

Estamos chegando perto da data de início do PIX, o nosso sistema de pagamentos instantâneos criado pelo Banco Central e que deve ser utilizado por todos os bancos a partir de Novembro. Diversos bancos já estão fazendo acanhas de marketing sobre esse novo serviço, e inclusive, convidando para o pré-cadastramento da sua "chave do PIX".

O novo sistema de pagamentos instantâneos, batizado de PIX pelo Banco Central, entrará em operação em novembro deste ano, permitindo transações de envio e recebimento de dinheiro de forma instantânea, durante 24 horas por dia, 7 dias por semana.

Segundo o Banco Central, o objetivo é oferecer pagamento instantâneo seja tão fácil, simples, intuitiva e rápida quanto realizar um pagamento com dinheiro em espécie. Os pagadores poderão iniciar pagamentos usando chaves ou apelidos para a identificação da conta transacional como o número do telefone celular, o CPF, o CNPJ ou um endereço de e-mail (que devem ser cadastrados no seu banco), por meio de QR Code (estático ou dinâmico) ou com uso da tecnologia NFC (near-field communication) para pagamentos por aproximação.

Mas, na medida que esse assunto de populariza, aquecem as discussões sobre a segurança dessa nova forma de transferência. A segurança do PIX já virou assunto obrigatório nos eventos do mercado.

A maioria das discussões que eu vejo entre profissionais do mercado sobre a segurança do PIX rodam em torno da possibilidade de aumento de fraudes e da dificuldade imposta aos bancos para detecção dessas fraudes, uma vez que a transação do PIX deve ser realizada imediatamente (sem tempo para investigação manual) e a qualquer hora. Isso exigirá novas ferramentas para identificação de fraudes em tempo real, além de maior capacidade de atendimento dos times de prevenção a fraudes dos bancos. Embora as transações devam ocorrer em tempo real, os bancos podem suspender uma transação marcada como suspeita temporariamente para investigação, por pouco tempo (ex, 30 minutos em horário comercial e até 1h no período da madrugada). De qualquer forma, isso vai representar um grande desafio para os bancos, para garantir uma melhora nas ferramentas de detecção de fraudes, para melhorar sua assertividade, além de aumentar a capacidade dos times de investigação.

Do ponto de vista do ciber criminoso, eu acredito que o PIX vai dar muita agilidade no vazamento de dinheiro a partir de contas fraudadas. Atualmente, ao invadir a conta de uma vítima, o criminoso tem que aguardar um tempo entre o dinheiro ser transferido da conta original para as diversas contas de laranja que ele possui (através de TEDs ou pagamento de boletos). É comum ver casos em que o fraudador fica na porta da agência ou da lotérica, esperando o dinheiro cair na conta para fazer o saque. Como não existe um padrão, muitos bancos impoem um tempo relativamente alto para processar uma TED ou um boleto, justamente para dar tempo para seus times de prevenção a fraudes identificarem uma transação indevida e estorná-la. Com o PIX, a transferência entre contas será instantânea, e o criminoso ganha agilidade para transferir o dinheiro entre as contas.

Do ponto de vista da segurança dos clientes, há um grande medo que o PIX incentive a volta dos sequestro-relâmpagos, principalmente a noite e nos finais de semana. Nesses horários o sequestro acontece com pouca frequência pois os criminosos tem dificuldade em roubar dinheiro: os bancos não fazem pagamento nem transferência, e os caixas eletrônicos tem limite muito baixo para saques.

Outra preocupação que está surgindo é sobre o cadastramento da "chave do PIX", que é um identificador atrelado a sua conta corrente e que será utilizado nas operações de pagamentos. Cada cliente pode escolher alguns identificadores para criar a sua chave, incluindo o seu CPF, CNPJ (em caso de empresas), número do telefone celular ou seu e-mail. Alguns bancos permitem que o cliente cadastre vários identificadores (por exemplo, no C6 Bank, podem ser criadas até 5 chaves PIX). Há o receio de fraude nesse cadastro, se não houver cuidados básicos de segurança pelos bancos. O fraudador poderia criar uma chave usando o CPF, telefone ou e-mail de uma vítima (ainda mais se for uma pessoa famosa!). Assim, algum amigo ou parente que quisesse transferir dinheiro para mim, iria usar o meu e-mail como chave, mas ele estaria associado a conta de um fraudador! Se hoje já existe o risco das "lives falsas" (quando criminosos retransmitem a live de um famoso e colocam links de doação para contas fraudulentas), imagina quantas vítimas não cairiam em uma live falsa usando um link fraudulento de doação via PIX com o nome do famoso!?

Há formas simples de evitar essa fraude no cadastro das chaves do PIX, se os bancos tomarem cuidados básicos, como garantir que o CPF usado na chave PIX está atrelado ao CPF da conta corrente, e usar meios simples e eficazes para validar o celular e email, como enviando uma senha na hora do cadastro. Mesmo assim, o risco ainda existe pois um criminoso pode abrir uma conta laranja em outro banco com os dados da vítima e criar uma chave PIX em seu nome, que vai ser reconhecida em todo o sistema financeiro. Como eu comentei, essa fraude é especialmente preocupante em caso de pessoas e empresas mais conhecidas famosas.  Ou seja, a chave do PIX pode ser utilizada para impersonar uma vítima e facilitar transações indevidas para um fraudador.

Por causa desse risco de "roubo de identidade" da sua chave PIX, alguns especialistas em segurança já estão sugerindo que as pessoas se registrem o mais rápido possível no PIX, garantindo a existência de uma chave com sua identificação. Eu acredito que essa recomendação é muito importante principalmente para empresas e pessoas famosas.

Para aumentar ainda mais toda essa polêmica e incerteza, recentemente um ex-diretor do Banco Central disse acreditar que o PIX é inseguro !!!

E o que diz o Manual de Segurança do PIX, criado pelo Banco Central? Esse documento pode ser achado facilmente, com uma simples busca no Google.


Esse manual limita-se a definir os padrões de criptografia das mensagens trocadas entre as instituições financeiras. Ou seja, dentro da rede privada que liga os bancos, a Rede do Sistema Financeiro Nacional (RSFN) já utilizada pelo SPB, as mensagens trocadas sobre o PIX são assinadas e criptografaras. Ah, o manual diz também que os QR Codes utilizados para os clientes realizarem transações com o PIX tem que usar URLs com SSL (HTTPS). Ótimo, mas isso é o arroz com feijão que garante a segurança das comunicações internas do sistema. O manual não trata nenhuma das preocupações apresentadas acima :(

Recentemente o pessoal do portal de notícias 6 Minutos publicou um artigo bem objetivo e bem interessante, que de forma corajosa comenta alguns aspectos de segurança que melhoram, pioram ou ficam igual com o uso do PIX. Resumindo a opinião deles, adicionando uma pitada de comentários meus, o cenário é o seguinte:

  • O que pode melhorar
    • Pagamento em lojas: como utilizar o PIX em vez de cartões de débito e crédito, deixa de existir o risco de clonagem ou fraude de troca do cartão utilizado, além de sumir a necessidade de digitar sua senha na maquininha;
    • Golpes das Lives falsas: Nesses golpes, em que o golpista replica uma live verdadeira de artista famoso e altera o QR Code que aparece na tela para doação de valores, surge a possibilidade dos artistas ou apresentador da Live reforçar os dados da conta que aparecerão no app do espectador no momento que for aprovar a doação pelo PIX. Esse cuidado extra pode reduzir as fraudes causadas por esse golpe;
    • Assalto: Com o uso mais frequente do PIX, possivelmente as pessoas com menos dinheiro e com poucos (ou nenhum) cartões na carteira, o que reduzirá o prejuízo em caso de furto ou assalto;
  • O que não deve mudar
    • Golpe do WhatsApp: Uma vez que o criminoso consiga sequestrar uma conta de WhatsApp e pedir dinheiro emprestado para os contatos da vítima, nesse momento tanto faz se a transação será uma TED, um pagamento ou um PIX (nota minha: a diferença é que o PIX daria mais agilidade no roubo de dinheiro, comparado com uma TED ou pagamento de conta);
    • Fraudes online: Do ponto de vista do cliente, não muda nada - ele vai continuar sofrendo fraudes e, se o criminoso acessar sua conta bancária, ela vai ser "limpa" de qualquer jeito. As instituições financeiras,  por outro lado, terão mais trabalho pois agora têm mais um meio de pagamento para se preocupar, mais brechas para fechar, mais limites operacionais para controlar e mais medidas preventivas para tomar. O trabalho das áreas de Segurança da Informação e de Prevenção a Fraudes será mais árduo pois esse meio de pagamento deve operar de forma instantânea e 24 horas por dia;
  • Deve piorar
    • Risco de fazer um pagamento com PIX na rua: Utilizar o PIX em locais públicos é arriscado, pois para mandar um PIX ou ler um QR Code, o celular deverá estar com a tela desbloqueada. Um ladrão pode esperar este momento e furtar o celular desbloqueado;
    • Sequestro-relâmpago à noite: Geralmente os sequestradores fazem compras e saques em dinheiro com cartões durante um sequestro-relâmpago. Como o novo meio de pagamento funciona 24 horas por dia, os criminosos ganham mais uma opção de extorsão, pois agora de dentro do carro podem pedir para a vítima fazer um PIX para alguma conta, e já ocultar este dinheiro transferindo para outras contas.

Como o PIX ainda é uma novidade, temos que aguardar o início desse serviço para ver como os bancos e os ciber criminosos vão se adequar a ele. A preocupação é que os criminosos são muito ágeis em descobrir novas formas de golpes - por isso é importante ter cuidado redobrado quando o PIX começar.

Para saber mais:



PS: Post atualizado em 02/10, para incluir a discussão sobre o risco de roubo de identidade no cadastro da chave do PIX e comentários sobre o manual de segurança do Banco Central.

PS/2 (adicionado em 05/10): Cuidado, ciber criminosos já estão criando domínios usando o nome do PIX, que muito provavelmente serão utilizados para envio de mensagens falsas. A previsão é que teremos muitos phishings surgindo com esse tema. E lembre-se: o cadastro do PIX deve ser feito somente através do seu banco.

PS 3 (adicionado em 06/10):  A Kaspersky identificou dezenas de domínios criados usando o nome do PIX, provavelmente para aplicar golpes.

PS 4: Post atualizado em 08/10.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.