06/09/2025 — Uma empresa que ninguém está falando sobre (*)
06/09/2025 — E2 Pay
07/09/2025 — Tribanco
(*) Não vou citar aqui pois não achei notícia pública sobre esse incidente.
O Banco Central está reagindo, e nessa última sexta-feira lançou novas regras de segurança para as instituições que fazem parte do PIX. Elas incluem maior auditoria, mais exigências de controle e segurança, além de limites de valores das transações para alguns casos. Ele também já tinha anunciado mudanças no MED.
Ainda nem deu tempo de conhecermos os detalhes sobre o ataque à Sinqia nessa última sexta-feira (29/08) e, agora há pouco, tomamos conhecimento de um novo ataque. Desta vez, até aonde se sabe, foi uma tentativa de fraude diretamente contra uma instituição, em vez de atacarem um terceiro, provedor de tecnologia bancária.
A nova vítima, a Monbank (ou Monetarie) é uma sociedade de crédito baseada em Porto Alegre, que hoje sofreu uma tentativa de fraude, aparentemente de R$ 5 milhões.
Um alerta circulou hoje mais cedo entre as instituições financeiras, e agora a tarde a empresa colocou uma notificação oficial em seu site.
Segundo a Monbank, hoje de manhã (02/09), eles identificaram movimentações suspeitas no ambiente digital, na própria conta de reserva institucional do banco. Não foram afetadas as contas privadas dos clientes. O time de segurança cibernética do Monbank identificou o ataque e imediatamente interrompeu as operações da empresa - e comunicou aos órgãos oficiais competentes. Foram detectadas tentativas de invasão envolvendo o sistema STR (utilizado para transferências bancárias, como TEDs) e o sistema PIX.
O Monbank alega que conseguiu recuperar R$ 4,7 milhões dos R$ 4,9 milhões desviados.
Como destacou muito bem o portal O Bastidor, um dos primeiros a noticiar o caso, "Os três ataques apresentam semelhanças no modo de operação. O acesso ocorre a partir do uso de credenciais válidas — logins de funcionários de bancos e empresas, vendidos a grupos criminosos. Com elas, os hackers criminosos manipulam o sistema de mensageria do Pix, responsável pela comunicação entre instituições financeiras e o Banco Central e, em alguns casos, entre bancos e intermediadoras. A partir daí, fazem múltiplas transferências para contas de laranjas em diferentes instituições, em sequência rápida, para dificultar o rastreamento da origem dos recursos. Por fim, os valores são convertidos em criptomoedas.".
O comediante Afonso Padilha tem um vídeo muito legal, no YouTube, de um standup onde ele conversou com a platéia sobre diversos golpes que aconteceram: "AFONSO PADILHA - MELHORES (piores) GOLPES #1".
O vídeo tem 23 minutos e vale a pena assistir, é bem divertido:
E vale a pena compartilhar esse vídeo com os usuários finais, como parte de campanhas de conscientização.
Ah, tem esses dois videos que também são bem legais:
A Febraban (Federação Brasileira de Bancos) divulgou os 10 golpes mais aplicados contra clientes dos bancos em 2024, e a lista contém golpes bem conhecidos. O golpe do WhatsApp, das falsas vendas e da falsa central/falso funcionário de banco são as três abordagens mais comunicadas por clientes em 2024 às instituições associadas e que foram repassadas à Febraban.
A criatividade dos criminosos não conhece limites, e a cada dia novas tentativas de golpes surgem, visando enganar e prejudicar a população. A grande maioria é baseado fortemente na engenharia social.
Segundo a Febraban os top 10 golpes, que impactam pessoas em todo o Brasil no ano passado, foram:
Golpe do WhatsApp: O golpista descobre o número do celular e o nome da vítima de quem pretende clonar a conta de WhatsApp, para entrar em contato com um parente ou conhecido e pedir dinheiro emprestado. Com essas informações, tenta cadastrar o WhatsApp da vítima em seu aparelho. Para concluir a operação, é preciso inserir o código de segurança que o aplicativo envia por SMS sempre que é instalado em um novo dispositivo. Os fraudadores enviam uma mensagem pelo WhatsApp fingindo ser do Serviço de Atendimento ao Cliente de site de vendas ou de empresa que a vítima tem cadastro. Eles solicitam o código de segurança, afirmando se tratar de uma atualização/protocolo, manutenção ou confirmação de cadastro. Uma medida simples para evitar que o WhatsApp seja clonado é habilitar, no aplicativo, a opção “Verificação em duas etapas”;
Golpe da falsa venda: Criminosos criam páginas falsas que simulam e-commerce, enviam promoções inexistentes por e-mails, SMS, mensagens de WhatsApp e anúncios em redes sociais, além de perfis falsos de lojas em redes sociais. Sempre desconfie de promoções muito atraentes e dê preferência aos sites conhecidos para as compras;
Golpe da falsa central telefônica/falso funcionário: O fraudador entra em contato com a vítima se passando por funcionário do banco ou empresa com a qual o cliente tem um relacionamento ativo. O criminoso informa que há irregularidades na conta ou que os dados cadastrados estão incorretos. A partir daí, solicita os dados pessoais e financeiros da vítima e orienta que realize transferências alegando a necessidade de regularizar problemas na conta ou no cartão. Também pode solicitar que a vítima instale um aplicativo malicioso em seu celular, disfarçado de uma falsa atualização do banco. Desconfie de ligações e mensagens recebidas contendo solicitações de dados. Ao receber uma ligação suspeita, o cliente deve desligar, e de outro telefone, deve entrar em contato com os canais oficiais de seu banco;
Phishing: O phishing, ou pescaria digital, é uma fraude eletrônica que visa obter dados pessoais do usuário por mensagens e e-mails falsos que induzem o usuário a clicar em links suspeitos. Também existem páginas falsas na internet que induzem a pessoa a revelar dados pessoais. Nunca clique em links recebidos por mensagens;
Golpe do falso investimento: Falsos grupos criam sites de empresas de fachada e perfis em redes sociais para atrair as vítimas e convencê-las a fazerem investimentos supostamente altamente lucrativos e com retorno rápido. Usam vários artifícios para enganar os interessados: fornecem informações falsas da suposta empresa, mostram depoimentos inexistentes de pessoas que foram bem-sucedidas com o investimento, entre outros. Em alguns casos, para criar credibilidade, indicam que o usuário faça investimentos baixos no início e até chegam a pagar algum valor para a vítima. Posteriormente, induzem a vítima a fazer investimentos mais altos. Depois que conseguem tirar uma quantia alta da pessoa, somem. Sempre desconfie de promessas de rendimentos ou retornos muito acima daqueles praticados no mercado;
Golpe da troca de cartão: Golpistas que trabalham como vendedores prestam atenção quando você digita sua senha na maquininha de compra e depois trocam o cartão na hora de devolvê-lo. Com seu cartão e senha, fazem compras usando o seu dinheiro. Quando você for fazer uma compra com seu cartão físico, lembre-se de sempre cheque o valor na tela da maquininha, sempre confira se o cartão que te devolveram é o seu mesmo e sempre passe você o cartão na maquininha. Não entregue cartões para ninguém;
Golpe do falso boleto: Os criminosos apostam na desatenção dos pagadores para aplicar golpes, falsificam boletos e colocam seus dados bancários para que recebam o crédito do documento de pagamento. Confira com atenção os dados do beneficiário do boleto tais como CPF ou CNPJ do emissor, data de vencimento e valor no momento do pagamento;
Golpe da devolução do empréstimo: O golpista, de posse dos dados do cliente, realiza a contratação de um empréstimo em alguma instituição indicando a conta legítima do cliente para recebimento. Após a efetivação do empréstimo, os golpistas entram em contato com o cliente, se passando por funcionários do banco, e solicitam a devolução do dinheiro para que façam o cancelamento da operação. E indicam uma chave pix ou um boleto para a devolução, direcionando o pagamento para uma conta em poder do fraudador. Sempre entre em contato diretamente com o banco pelos canais oficiais (telefone, site ou aplicativo). Nunca transfira dinheiro para contas de pessoas ou empresas desconhecidas;
Golpe da mão fantasma: o criminoso entra em contato com a vítima se passando por um falso funcionário do banco. Usa várias abordagens para enganar a vítima: informa que a conta foi invadida, clonada, que há movimentações suspeitas, entre outras artimanhas. E diz que vai enviar um link para a instalação de um aplicativo que irá solucionar o problema. Se o cliente instalar o aplicativo, o criminoso terá acesso a todos os dados que estão no celular;
Falso motoboy: O golpe começa com uma ligação ao cliente, de uma pessoa que se passa por funcionário do banco, e diz que o cartão foi clonado, informando que é preciso bloqueá-lo. Para isso, diz o golpista, bastaria cortá-lo ao meio e pedir um novo pelo atendimento eletrônico. O falso funcionário pede que a senha seja digitada no telefone, e fala que, por segurança, um motoboy irá buscar o cartão para uma perícia. O que o cliente não sabe é que, com o cartão cortado ao meio, o chip permanece intacto, e é possível realizar diversas transações.
Esse é um golpe muito comum, fruto da genialidade criativa usada para o mal, engenharia social e acesso aos nossos dados pessoais vazados.
Nessa modalidade de golpe, o fraudador entra em contato com a vítima no dia de seu aniversário, se fazendo passar por uma empresa de entregas. Eles enviam um motoboy com um presente (por exemplo, um perfume ou caixa de bombons), mas no momento da entrega pedem o pagamento de uma taxa de entrega. Na hora H, usam uma maquininha adulterada que vai cobrar um valor muito maior.
Os golpistas tem acesso a base de dados vazadas para identificar suas vítimas: nome, telefone, data de nascimento e endereço. A partir daí, o golpe começa. O modus operandi é o seguinte:
Primeiro, o fraudador entra em contato via SMS ou ligação telefônica, finge que vai te entregar um brinde ou presente, que você ganhou em virtude do seu aniversário;
O fraudador pede para confirmar o endereço da entrega e que vai ter alguém para receber o motoboy;
Para receber o suposto presente, o fraudador informa que é necessário realizar o pagamento de uma pequena taxa de frete, no ato da entrega, por exemplo, 7 reais. Detalhe: só aceita o pagamento da taxa em cartão;
Quando o motoboy chega com a entrega, o suposto presente, ele saca uma maquininha que está adulterada, geralmente com o display danificado para não mostrar o valor a ser cobrado;
Mas ao realizar o pagamento na maquininha, o valor cobrado é muito superior ao informado previamente pelo golpista, por exemplo, 7 mil em vez de apenas 7 reais;
Detalhe: se o criminoso percebe que a vítima caiu no golpe, às vezes ele passa o cartão 2 ou 3 vezes, sempre dizendo que está dando erro - mas na verdade ele está fazendo a cobrança várias vezes, para roubar mais dinheiro da vítima.
Geralmente a vítima fica com o presente e, quando volta para casa percebe que teve a cobrança indevida no seu cartão.
A principal dica nesses casos é sempre desconfiar, e nunca passar o seu cartão sem conferir o valor no visor da maquininha. E esconda o teclado ao digitar a sua senha.
Segundo dados divulgados recentemente pela Febraban (Federação Brasileira de Bancos), o volume de dinheiro perdido com golpes atingiu o número surreal de....
R$ 10,1 bilhões
Isso representou um crescimento de 17% de 2023 para 2024. Em 2023 o prejuízo foi de R$ 8,6 bilhões.
Veja alguns dados apresentados pela Febraban:
Veja o prejuízo total em 2024 com os 5 golpes mais frequentes e que causaram maior perda financeira:
Falsa Central: R$ 1,038 bilhões
Golpe do Whatsapp: R$ 428 milhões
Falso boleto: R$ 58 milhões
Falso leilão: R$ 52 milhões
Golpe do delivery: R$ 15 milhões
Os crimes mais recorrentes.são a clonagem ou a troca de cartões bancários (44%), golpe da falsa central de cartões (32%) e pedidos de dinheiro por suposto conhecido no WhatsApp (31%);
Os golpes visando o Pix também estão emalta, com prejuízos acumulados em dois anos de R$ 2,7 bilhões. Em relação a 2023, houve um crescimento de 43% no volume de transações fraudulentas via Pix.
O Ministério da Justiça e Segurança Pública (MJSP) divulgou, durante a celebração de um acordo com a Febraban para criar a Aliança Nacional contra Fraudes Financeiras, que 36% dos brasileiros foram vítimas de golpes ou tentativas de golpe até fevereiro de 2024. Pessoas acima de 60 anos foram as mais vulneráveis.
A Serasa Experian também divulgou números sobre fraudes no Brasil em 2024:
O número de golpes evitados contra bancos e cartões de crédito cresceram 10,4% em 2024, representando 53,4% das fraudes registradas no período. Caso fossem concretizadas, o prejuízo estimado chegaria a R$ 51,6 bilhões;
50,7% dos brasileiros foram vítimas de fraudes no último ano, um salto de 9 pontos percentuais em relação a 2023;
Desse total, 54,2% das vítimas afirmaram ter perdido dinheiro;
Os tipos de fraudes mais recorrentes contra os consumidores foram:
Uso indevido de cartões de crédito: 47,9%
Golpes financeiros como boletos falsos e fraudes via Pix: 32,8%
Phishing: 21,6%
Invasão de contas bancárias ou redes sociais: 19,1%.
Não é para menos, a notícia do novo monitoramento de transações financeiras rapidamente se tornou uma fake news de que a receita federal iria começar a taxar as transações via PIX. E, assim, os criminosos encontraram o "gancho" que precisavam.
Começou a circular mensagens supostamente da Receita Federal cobrando uma taxa pelo uso do PIX. No exemplo abaixo, compartilhado pela Receita Fedeeral, a vítima recebe um boleto falso, para pagar o suposto imposto.
A própria Receita Federal compartilho publicamente um alerta sobre esse golpe. Os criminosos estão aproveitando a onda de Fake News relacionadas à fiscalização da Receita Federal sobre transações financeiras para enganar cidadãos e aplicar golpes. Eles estão enviando mensagens falsas dizendo que transações acima de R$ 5 mil via PIX geram cobranças e que o CPF será bloqueado caso o pagamento de um suposto imposto não seja feito imediatamente.
O golpe utilizando indevidamente o nome e a logomarca da Receita Federal para dar credibilidade à fraude.
Isso é fake news, pois a Receita Federal não cobra taxas sobre PIX nem envia cobranças por WhatsApp, SMS ou e-mail. Golpes como este utilizam o medo e a desinformação para prejudicar cidadãos.
Se você receber essa notificação, simplesmente ignore-a. Em caso de dúvidas, se informe diretamente no site oficial da Receita Federal.
Os comentários no post da Receita Federal no Instagram são os melhores...
O Fantástico deste domingo (dia 05/01) trouxe uma matéria extensa sobre a prisão do criador de uma plataforma online para estelionatários. O "Brasil Store" era um dos portais mais populares entre os cibercriminosos, que funcionava como painel de consultas e como loja de serviços fraudulentos.
O responsável pelo portal, apelidado de Banucha Gomes, ficou conhecido também como "Professor do Golpe Digital".
Entre os produtos vendidos por Banucha, estava o combo "Lara", que oferecia uma conta bancária laranja, com direito a um cartão cartão de débito, por R$ 1.600. Já o “Kit Bico” era mais completo e incluía uma conta bancária já aberta, senha de acesso a plataformas de e-commerce, documentos falsos e cartões de crédito clonados. O portal também oferecia cursos e apostilas ensinando como realizar fraudes e golpes digitais.
O portal atingiu um público de mais de 50 mil pessoas e chegou a disponibilizar mais de 10 mil cartões bancários clonados Na casa de Banucha, na ocasião da prisão, os investigadores encontraram drogas e duas armas com numeração raspada. A perícia descobriu que Banucha tinha no computador um total de 180 mil cartões clonados.
Segundo a polícia, o faturamento dele com seus alunos golpistas chegava a R$ 1,5 milhão por mês.
Banucha Gomes foi preso pela Polícia Civil em 11 de dezembro de 2024. Os sites de Banucha foram retirados do ar. Agora, a polícia tentar identificar e punir quem pôs em prática as aulas do crime.
Aqui no Brasil, o cibercrime está sempre presente. Estamos constantemente sujeitos a diversos golpes e fraudes online, e 2024 não foi diferente. Muito pelo contrário, eu acho que foi até pior!
Algumas estatísticas levantadas pela Folha de São Paulo para o Fórum de Segurança Pública, que eu compartilhei aqui no Blog há pouco tempo atrás, dá um amargo gostinho do cenário brasileiro:
A cada hora, mais de 4.600 pessoas são alvo de tentativas de golpes financeiros por meio de aplicativos de mensagem ou ligações telefônicas, normalmente com criminosos se passando por funcionários de bancos;
A cada hora, cerca de 2.500 pessoas pagam por produtos na internet que acabam não sendo entregues;
A cada hora, 1.680 vítimas têm o celular furtado ou roubado no país;
Prejuízo de R$ 71,4 bilhões nos últimos 12 meses em consequência de roubos de celulares e dos crimes digitais, praticados com máquinas de cartão adulteradas, golpes com Pix, boletos falsos e fraudes em cartões de crédito.
Em 2024 fomos assolados pelos mais diversos tipos de golpes online, como malwares bancários, anúncios falsos produzidos com deep fake, golpe do Whatsapp, do entregador, do presente de aniversário, entre outros. Estes, e muito mais, são descritos no excelente ebook do Delegado Barreto e da Natália Siqueira, publicado pela WB Editora, É bom demais para ser verdade? Não caia nessa!.
Em 2024 certamente os golpes mais comum foram:
Ligação ou SMS de uma falsa central do banco, alegando que você fez uma suposta transação de alto valor, ou que tem uma transação pendente. O objetivo é fazer a vítima ligar para a falsa central do banco, assustada, e aí manipulá-la via engenharia social para, geralmente, fazer ela instalar um trojan bancário em seu celular como se fosse uma "atualizaçao de segurança" de seu app bancário;
Os SMSs em nome dos Correios e do Detran. Certamente você, leitor, já recebeu um desses. São SMSs com mensagem falsa, se fazendo passar por um alerta dos Correios de que uma encomenda sua está retida, ou do Detran avisando que sua CNH será cassada. Em ambos os casos, o objetivo final é convencer a vítima a pagar um boleto com uma suposta taxa ou multa, que é um dinheiro que vai direto para a conta dos fraudadores. Além disso, no golpe da CNH eles também podem tentar obter as credenciais de acesso ao portal gov.br :(
Na hora de desviar o dinheiro roubado da conta corrente de uma vítima, é muito comum usar contas falsas abertas exclusivamente para o crime (muitas vezes, são abertas online, através de aplicativos bancários) ou contas de pessoas que cedem suas próprias contas para criminosos, e assim intermediam o recebimento do dinheiro em troca de uma porcentagem ou pagamento. Neste momento, o PIX se mostra um grande aliado do cibercrime, pois os fraudadores conseguem transferir o dinheiro roubado em poucos segundos, e pulverizá-lo em diversas contas laranja, tornando impossível aos bancos recuperarem os valores.
Para iniciar os meus posts com a retrospectiva de 2024, vamos falar da Black Friday?
A Black Friday é o dia do ano com maior volume no comércio e no e-commerce, por isso sempre atrai muito a atenção da população e dos cibercriminosos.
Do ponto de vista de segurança, a Black Friday é tradicionalmente marcada por um aumento significativo nas tentativas de golpes contra os consumidores, principalmente anúncis de falsas promoções e páginas falsas, imitando e-commerces conhecidos.
A grande novidade de 2024 foi o impacto da IA, com grande volume de vídeos criados com deep fake para promover falsas promoções. Se já é difícil educar o usuário contra um phishing tradicional, é quase impossível evitar que o usuário final clique em uma mensagem promovida com um vídeo de deep fake, usando marcas e imagens de pessoas conhecidas.
Segundo a Branddi, somente nas semanas que antecedem o mês das promoções, foram identificado mais de mil sites fraudulentos, imitando marcas conhecidas como McDonald’s, Nike, Amazon e Mercado Livre. Ao considerar golpes digitais em geral, não apenas os relacionados à Black Friday, o levantamento identificou mais de 3,7 mil ações golpistas somente em outubro. Apenas durante o período de "esquenta das promoções", a quantidade de golpes digitais já estava 3 vezes maiores do que no mesmo período de 2023.
A Anatel fez a festa! Entre os dias 26 e 29 de novembro, a Agência Nacional de Telecomunicações (Anatel) realizou a Operação Black Friday, em conjunto com a Divisão de Repreensão ao Contrabando e Descaminho (DIREP) da Receita Federal do Brasil (RFB). As ações de fiscalização, que foram planejadas com uso de inteligência artificial, ocorreram em cinco centros de armazenagem e distribuição da Amazon e do Mercado Livre. A operação resultou na apreensão de cerca de 22 mil produtos de telecomunicações com valor estimado em mais de R$ 3 milhões de reais. Dos produtos apreendidos encontram-se aparelhos celulares, power banks, carregadores de celular, drones, fones de ouvido, microfones, baterias, notebook smartwatch, TV Box, entre outros.
Segundo a ClearSale, o faturamento do comércio eletrônico teve um crescimento de 11% na comparação com o ano passado, acima das projeções iniciais. No total foram mais de R$ 8 bilhões em vendas entre a quinta-feira (28) e a manhã deste domingo (1º).
Segundo dados da Salesforce, o gasto global online ultrapassou os 74 bilhões de dólares em 24 horas, o que representa um aumento de 5% se comparado aos números do ano passado nesse mesmo período.
Por outro lado, o Reclame Aqui bateu recorde de reclamações durante a data, com quase 15 mil queixas. A maioria delas teve a ver com atraso na entrega e propaganda enganosa.
Por último.... Algumas empresas até hoje não entendem o conceito de Black Friday:
Uma reportagem do UOL, cujo tema central é o uso de paineis de consulta de dados por golpistas, traz um infográfico bem legal com dicas claras e objetivas de como evitar os principais golpes existentes hoje em dia:
Vale a pena compartilhar isso com amigos e familiares!
A reportagem detalha como é fácil, para os cibercriminosos, ter acesso a paineis com dados pessoais de toda a população, o que permite a realização de diversos golpes. Muitos desses paineis reúnem dados de um megavazamento ocorrido em janeiro de 2021, quando as informações de mais de 220 milhões de pessoas caíram na rede. Eram CPFs, salários, veículos, placas de carros, números de telefone, scores de crédito e muito mais.
A reportagem também destaca que, segundo dados do Anuário Brasileiro de Segurança Pública de 2024, estelionatos e golpes virtuais derivados desses acessos cresceram vertiginosamente no país. Só o prejuízo com golpe do Pix (R$ 25 bilhões) já é maior que o de furtos e roubos de celulares (R$ 23,5 bilhões).
Qual é a melhor hora do dia para cair numa fraude?
Spoiler alert: Todos os dias, de 2a a 6a feira!!!! Segundas-feiras de madrugada, terças-feiras à noite e madrugada das quartas-feiras, quintas e sextas-feiras das 11h as 15h.
Como eu sei disso? rs...
Três pesquisas recentes, da IDWall (sobre fraude de cartão no e-commerce), da ClearSale (sobre fraudes bancárias) e da Equifax (sobre fraude no e-commerce), trouxeram dados interessantes sobre as fraudes cibernéticas no Brasil.
O relatório "Fraud Report idwall Financeiro" traz várias estatísticas sobre fraudes bancárias. O estudo foi feito com base nos dados coletados na prestação do serviço de verificação documental a clientes do setor financeiro. Veja alguns dados:
Segunda-feira de madrugada e terça-feira à noite são os dias e horários preferidos dos estelionatários para tentativas de fraudes bancárias. Em 2023, terça e sábado de madrugada eram os dias preferidos dos fraudadores;
Os golpes financeiros representam 2,4 vezes mais golpes do que as demais categorias de golpes analisadas;
As fraudes mais comuns foram em cartão de crédito, pagamento de boleto ou Pix falsos e comunicação fraudulenta.
A ClearSale, por sua vez, registrou mais de 1 milhão de tentativas de fraude na primeira metade de 2024 no Brasil, totalizando possíveis perdas de R$ 1,2 bilhão. O levantamento da ClearSale considerou apenas pagamentos via cartão de crédito no setor de e-commerce, e identificou as seguintes características desse tipo de fraude:
O dia da semana e o horário com a maior representatividade de investidas fraudulentas foram as quartas-feiras entre meia-noite e 5h;
O grupo mais afetado pelos golpes foram os millennials, as pessoas nascidas entre 1980 a 1995;
O volume de tentativas de fraude representou uma queda de 7,8% em comparação ao mesmo período do ano passado;
O ticket médio das tentativas de transação foi de R$ 1.198, um valor 3,5% menor do que o ano anterior (2023);
A região mais afetada pelos golpes foi a Norte, com ticket médio de R$ 1.308. A região nordeste registrou ticket médio de R$ 1.303, enquanto sudeste teve de R$ 1.129, o centro-oeste de R$ 1.402 e a região sul registrou a menor taxa de tentativas e um ticket médio de R$ 1.319;
Os produtos mais visados pelos criminosos foram eletrônicos e ar-condicionado.
O novo Indicador Mensal de Fraude apresentado pela Equifax BoaVista mostra como as ferramentas de antifraude evitaram prejuízo ao e-commerce. Ele traz vários indicadores sobre o perfil das tentativas de fraude no e-commerce brasileiro, em agosto de 2024:
Os dias mais propícios para fraudes são as quintas e sextas-feiras, entre 11 horas e 15 horas, concentrando cerca de 35% das ocorrências. Os domingos são os dias com menor incidência de tentativas de fraude;
Foi prevenido cerca de R$ 833 milhões de prejuízo no varejo online em agosto;
As tentativas de fraude registraram um aumento de 66% no mês de agosto em comparação com julho de 2024,;
O tíquete médio das fraudes caiu 59% em comparação com o mesmo período de 2023;
25% das tentativas de fraude estão concentradas nos Estados de São Paulo, Rio de Janeiro e Minas Gerais, com São Paulo liderando o ranking;
As regiões com menor índice de fraudes são Acre, Amapá e Roraima, representando apenas 0,20% dos casos.
Não tem como negar que a situação está feia, aqui no Brasil, nós não temos um minuto de paz:
Segundo a Serasa, quatro em cada dez brasileiros sofreram golpes financeiros neste ano. Das pessoas que foram vítimas, 57% tiveram perda média de R$ 2.288;
Segundo o DataFolha, sete em cada dez brasileiros já ouviram falar de pessoas que foram vítimas de golpes envolvendo aplicativos de bancos;
Uma pesquisa recente do DataSenado em parceria com a Nexus revelou que 24% dos brasileiros foram vítimas de golpes digitais nos últimos 12 meses.
Quer buscar alguma orientação sobre como evitar cair em golpes ou o que fazer caso tenha sido uma vítima? A WB Editora publicou um e-book sensacional do Delegado Barreto e da Natália Siqueira, É bom demais para ser verdade? Não caia nessa!.
O pessoal da Folha de São Paulo publicou 2 reportagens com estatísticas sobre fraudes no Brasil obtidos pela Datafolha junto com o Fórum Brasileiro de Segurança Pública.
Vejam alguns dados sobre o crime cibernético no Brasil nos últimos 12 meses:
A cada hora, mais de 4.600 pessoas são alvo de tentativas de golpes financeiros por meio de aplicativos de mensagem ou ligações telefônicas, normalmente com criminosos se passando por funcionários de bancos;
A cada hora, cerca de 2.500 pessoas pagam por produtos na internet que acabam não sendo entregues;
A cada hora, 1.680 vítimas têm o celular furtado ou roubado no país;
Um em cada quatro entrevistados sofreu alguma tentativa de golpe financeiro em aplicativos de mensagem ou por ligação, e também que os crimes envolveram transferências via Pix e boletos falsos;
Um em cada dez (10,8%) entrevistados afirma que caiu nesses golpes em um intervalo de 12 meses,
9,2% já teve o celular furtado ou roubado;
13,7% pagaram por algum produto na internet ou em redes sociais que não foi entregue;
2,6% dos entrevistados foi vítima do golpe da maquininha de cartão adulterada. Isso representa 4,2 milhões de pessoas e 482 casos por hora, em média.
Em média, as vítimas desses crimes relataram as seguintes perdas financeiras:
R$ 1.702 com fraudes no cartão de crédito;
R$ 1.549 com o r oubo e furto de celulares;
R$ 1.470 com os golpes com Pix e boletos falsos;
R$ 1.142 ao cair no golpe da maquininha de cartão adulterada.
Nos últimos 12 meses, o prejuízo financeiro para a população foi enorme. Os valores totais estimados pela reportagem, com base nos relatos dos entrevistados, foram:
R$ 186 bilhões no total
R$ 25,5 bilhões em danos causados pelos golpes aplicados via Pix e boletos falsos
R$ 22,8 bilhões pelos roubos e furtos de celular
R$ 71,4 bilhões em consequência de roubos de celulares e dos crimes digitais, praticados com máquinas de cartão adulteradas, golpes com Pix, boletos falsos e fraudes em cartões de crédito.
Ao todo, a Datafolha considerou 13 tipos de delitos, que no total provocaram um dano de R$ 186 bilhões à população. Esse valor é 40% maior que os gastos anuais da União, estados e municípios com segurança pública, que são da ordem de R$ 138 bilhões. Nessa conta da Folha são considerados tanto o lucro dos criminosos quanto outros gastos causados à vítima — por exemplo, o custo de comprar um novo celular para substituir o aparelho roubado.
A pesquisa também mostrou que existe um alto índice de subnotificação dos crimes cibernéticos e até dos roubos e furtos de celular:
55% daqueles que tiveram o aparelho celular subtraído afirmam que fizeram BO;
30% das vítimas de golpes que envolveram Pix ou boletos falsos dizem que registraram ocorrência em delegacias;
18% informaram à Polícia Civil quando sofreram golpes financeiros por meio de publicidade na internet ou em redes sociais;
12% registraram as tentativas de golpe por aplicativos de mensagem ou ligação telefônica..
A Datafolha estima, com base nos percentuais de vítimas aferidos na pesquisa, que mais de 40 milhões de pessoas sofreram alguma tentativa de golpe financeiro nos últimos 12 meses.
Os números foram levantados pelo Datafolha e pelo Fórum Brasileiro de Segurança Pública a partir de uma pesquisa com 2.508 entrevistados em todas as regiões do país, entre os dias 11 e 17 de junho. O cálculo leva em conta a proporção de pessoas que relatam terem sido vítimas de crimes contra o patrimônio, num período de 12 meses, e o tamanho total da população.
Isso é uma novidade para mim, um recurso bem legal: proteja o seu CPF para ele não seja usado para abrir empresas sem o seu conhecimento!
Recentemente a Receita Federal apresentou uma nova ferramenta no Portal Redesim para combater fraudes de abertura de empresas com os dados pessoais (CPF) de terceiros, justamente evitando que o CPF seja utilizado por fraudadores para abrir empresas laranjas.
O Portal Nacional da Redesim possui a opção "Permissão para Participar de CNPJ" que permite evitar o uso não autorizado do seu CPF na abertura de novas empresas (CNPJs), protegendo assim o seu nome e suas informações pessoais contra esse tipo de fraude.
Clique na opção "Proteger meu CPF" e você será direcionado para a página de confirmação, e a partir disso, o seu CPF estará impedido de participar do quadro societário de empresas (pessoas jurídicas / PJ).
O impedimento somente será válido para as novas inscrições e inclusões no CNPJ a partir da realização deste pedido, e não altera o quadro societário das pessoas jurídicas das quais você já faz parte.
Recentemente o influenciador Raphael Vicente (@raphaelvicente), que tem mais de 1 milhão de seguidores no Instagram, publicou alguns stories em seu perfil promovendo um jogo online e um suposto esquema de “investimento“ que, na verdade, é um golpe já bem conhecido, que promete retornar dinheiro com transações via Pix - conhecido como "Robô do PIX" ou "Urubu do Pix".
Os posts no story eram bem feitos, usando imagens do próprio influenciador. Provavelmente por conta de reclamação dos seus seguidores, também foi feita uma publicação no perfil confirmando a "veracidade" dos stories suspeitos.
Para quem está mais atento, era muito óbvio que a conta dele no Instagram havia sido invadida para publicar essas chamadas promovendo golpes. Foram publicados dois conjuntos de posts:
Alguns stories faziam propaganda de um jogo online que, supostamente, retornava dinheiro na medida em que a vítima jogava. Nesse tipo de golpe, os criminosos pedem que a vítima faça depósitos em dinheiro no jogo, prometendo que ela receberá muito dinheiro rapidamente. A vítima acumula créditos no jogo, mas o resgate do dinheiro nunca acontece;
Um story com um suposto investimento em PIX, em que a pessoa faz uma transação (ex, de R$ 300) e receberia imediatamente uma quantia maior (R$ 1.000, por exemplo). Para dar credibilidade ao golpe, o post dava a entender que o ganho de dinheir era fruto de transação com criptomoedas pela Binance (que, obviamente, não é verdade).
No dia seguinte, 01/12, o Raphael recuperou o seu Insta e publicou um vídeo em seu story explicando o ocorrido. Os stories anteriores promovendo os “investimentos” fraudulentos sumiram, o post de esclarecimento foi apagado e a descrição da Bio dele voltou ao normal (no dia do golpe a bio apresentava com um link para o site do suposto jogo). No dia d incidente ele avisou no Twitter (x) que sua conta no insta tinha sido invadida.
Segundo as explicações do próprio Raphael divulgadas em seu story, alguém consegui clonar a sua linha telefônica (provavelmente através do golpe do SIM Swap ou da portabilidade), e assim obteve acesso ao seu Whatsapp e sua conta no Instagram. Além dos golpes aplicados pelo Instagram, ele disse que tentaram pedir dinheiro emprestado para seus conhecidos, via Whatsapp.
Não é a primeira vez que esse tipo de golpe acontece. É muito comum, na verdade, criminosos invadirem contas em redes sociais com muito seguidores para promover golpes disfarçados de falsos esquemas de investimento.
Infelizmente, por ganância, muita gente ainda cai nesses golpes. Não existe forma de ganhar dinheiro fácil, nenhum investimento milagroso pode retornar altos lucros imediatamente.
Além do incidente em si, que provavelmente fez muitas vítimas devido a reputação do Raphael Vicente, é lamentável o longo tempo que as empresas de telefonia e redes sociais geralmente demoram para atender o cliente e recuperar seu acesso quando suas contas são comprometidas.
Desde o final do ano passado (principalmente entre novembro e dezembro), os bancos brasileiros começaram a identificar uma nova onda de malwares bancários atuando ativamente no Brasil, especializados em fraudar transações via PIX, o meio de pagamento instantâneo tão popular entre os brasileiros. Segundo a Febraban, o Pix encerrou 2022 com mais de 24 bilhões de transações, média de 66 milhões de operações diárias, consolidando-se como meio de pagamento mais popular do Brasil. As transações do Pix superam as de cartão de débito, boleto, TED, DOC e cheques no Brasil, as quais, juntas, totalizaram 20,9 bilhões.
Essa popularidade também se aplica aos cibercriminosos: o PIX é a melhor forma de roubar rapidamente todos os fundos de uma conta que foi invadida. Os criminosos costumam enviar o dinheiro para uma (ou mais) contas laranja e distribuir entre várias outras, para impossibilitar o rastreio e a recuperação do dinheiro. Segundo o Banco Central, foram registrados mais de 739.145 crimes envolvendo o PIX entre janeiro e junho de 2022, alta de 2.818% em comparação ao mesmo período de 2021.
As redes sociais possuem diversos relatos de brasileiros afirmando que, ao realizarem transferências bancárias, são surpreendidos no final da transação pois o montante transferido foi direcionado para a conta de outra pessoa.
OBS: Embora esses malwares ataquem diversas instituições financeiras, é incrível ver como a imprensa e as redes sociais dão grande destaque quando a vítima é cliente do Nubank!!!!
Hoje, existem pelo menos seis sete famílias de malware que visam usuários do PIX:
PixStealer e MalRhino
BrazKing
PixPirate
BrasDex
GoatRAT
PixBankBot
Brats (NOVO)
Isso sem falar os malwares de acesso remoto (RAT) para celulares, que permitem ao criminoso tomar controle total do aparelho e, inclusive, acessar os apps bancários da vítima. Esses RATs já existem há alguns anos e foram popularizados pela Kaspersky com o nome de "Golpe da Mão Fantasma". Desde 2020 a Kaspersky lançou relatórios sobre os m
Os primeiros dois malwares comprometendo transações Pix a ser identificado por empresas de segurança foram o PixStealer e sua variante MalRhino em setembro de 2021, reportados pela Checkpoint. O PixPirate e o BrasDex foram descobertos no final de 2022 pela Cleafy e pela Threat Fabric, respectivamente. O PixBankBot foi reportado pela Cyble no final de Maio de 2023.
Além do diagrama acima, que tirei do report da Cyble, também preparei uma linha do tempo com os principais malwares direcionados a manipular transações financeiras com o PIX:
Setembro / 2021 - A Checkpoint descobre o PixStealer e o MalRhino
Novembro / 2021 - IBM Trusteer anuncia uma nova versão do BrazKing
Dezembro / 2022 - PixPirate descoberto pela Cleafy
Dezembro / 2022 - BrasDex descoberto pela Threat Fabric
Março / 2023 - Cyble publica relatório sobre o GoatRAT
Maio / 2023 - Cyble anuncia a descoberta do PixBankBot
Setembro / 2023 - Kaspersky anuncia a descoberta do Brats
Outubro / 2023 - Kaspersky anuncia a descoberta do GoPIX (NOVO)
Dezembro / 2023 - TrendMicro publica relatório sobre o ParaSiteSnatcher (NOVO)
Esses códigos maliciosos foram desenvolvidos especificamente para atacar transações via Pix realizadas em aplicativos bancários em celulares Android. Eles conseguem desviar dinheiro da conta da vítima após interagir com o aplicativo bancário de forma a manipular as transações realizadas no próprio celular da vítima.
Normalmente esses malwares tem como alvo diversas instituições financeiras no Brasil, nas quais conseguem efetuar fraudes alterando os parâmetros de transação quando o cliente tenta realizar transferências e pagamentos via PIX. Os malwares são direcionados para usuários Android e utilizam o recurso de acessibilidade do Android para interceptar a comunicação do app com o usuário, e assim capturar as informações digitadas pelo usuário, sobrepor telas e interagir diretamente com o app bancário.
Os malwares direcionados ao PIX utilizam duas técnicas distintas:
Acesso Remoto (RAT): O malware permite acesso remoto ao celular da vítima, e assim, o criminoso consegue acessar qualquer coisa - em especial, os apps bancários. Esse tipo de trojan exige que o criminoso esteja online no momento em que a vítima acessa seu app bancário, pois neste caso o trojan sobrepõe uma tela falsa no celular (técnica chamada de "overlay") , enquanto o criminoso acessa seu aplicativo bancário e realiza as transações;
Automated System Transfer (ATS) para automatizar o processo de ataque e injeção de comandos necessários para realizar as transferências fraudulentas., como no caso do PixPirate e BrasDex. Neste caso, os malwares são adaptados para aplicativos bancários específicos. Eles identificam o momento em que o usuário se loga no app, e ao tentar fazer uma transação via Pix, o trojan coloca uma tela fake no celular (uma mensagem de espera, por exemplo), e por trás o trojan retorna para a tela anterior e faz uma nova transação, desta vez mandando todo o dinheiro da vítima para uma conta laranja. O trojan tira a tela fake e o app volta para a tela de confirmação, e o usuário acaba digitando sua senha para confirmar a transação fraudulenta, e não a original.
A infecção normalmente acontece graças a engenharia social, com o fraudador entrando em contato com a vítima (por phishing ou diretamente) e convencendo-a a instalar um aplicativo malicioso em seu celular. No caso mais comum, o fraudador se identifica como um funcionário do banco, fala para a vítima que ela sofreu uma tentativa de fraude em sua conta (para assustar a vítima) e pede que ela instale um aplicativo, com a desculpa de que seria um módulo de segurança ou uma nova versão do app. Esse aplicativo na verdade é o trojan bancário.
"Nada mais é do que o golpe do Acesso Remoto, que ficou conhecido popularmente como o golpe da Mão Fantasma. O fraudador entra em contato com a vítima se passando por um falso funcionário do banco ou ainda manda e-mails, links e mensagens em aplicativos. Usa várias abordagens para enganar o cliente: informa que a conta foi invadida, clonada, que há movimentações suspeitas, entre outras artimanhas."
Esses vírus esperam a vítima fazer o login em seu aplicativo bancário para iniciar sua operação, que inclui capturar a informação sobre saldo disponível na tela inicial e, posteriormente, sobrepor telas falsas para distrair a vítima enquanto executam os passos necessários para realizar as transações que irão transferir todo o dinheiro da vítima para contas de laranja. Isso é possível pois, graças ao serviço de acessibilidade do Android, os malwares são capazes de reconhecer os elementos da tela e os dados digitados pelo usuário. Em seguida, eles interceptam a interação da vítima com o aplicativo bancário e identificam quando ela tenta solicitar uma transferência via PIX. Neste momento, o malware irá sobrepor uma tela enquanto realiza os passos necessários para fazer uma transação para contas de terceiros.
Veja alguns detalhes sobre eles:
O PixStealer, descoberto pela Checkpoint em setembro de 2021, consistia em duas variantes diferentes de malware bancário, chamados PixStealer e MalRhino, distribuídos por meio de dois aplicativos maliciosos separados na Play Store do Google. Ambos os aplicativos maliciosos foram projetados para roubar dinheiro de clientes por meio do serviço de acessibilidade, intervindo na interação do usuário com o aplicativo bancário. O PixStealer sobrepunha uma falsa tela de sincronização enquanto realizava os comandos para fazer transferência de valores via PIX. A Checkpoint destaca que o PixStealer era um malware bem enxuto, que sequer utilizava uma C&C para evitar detecção. Enquanto o PixStealer era direcionado ao PagBank, o MalRhino atacava clientes dos bancos Inter, Original, PagBank, Next, Nubank e Santander;
O BrazKing é um malware que existe desde 2018, mas em 2021 a IBM Trusteer descobriu uma versão com características de permitir o acesso remoto (RAT) e técnicas mais avançadas de manipulação do dispositivo infectado. O vetor de infecção inicial é uma mensagem de phishing que afirma que o dispositivo está prestes a ser bloqueado devido a uma suposta falta de segurança, e solicita que o usuário ‘atualize’ o sistema operacional. O BrazKing não automatiza fraudes em dispositivos infectados, pois suas atividades são controladas remotamente pelo servidor C&C. Assim, os operadores do malware podem adaptar o ataque para cada banco com relativa facilidade. O BrazKing obtém o controle do dispositivo infectado explorando os serviços de acessibilidade, o que lhe permite obter informações do aparelho, fazer keylogging, ler mensagens de SMS, capturar a tela, etc. A sobreposição de telas é feita pelo recurso de webview. O servidor de controle (C&C) pode enviar um comando para o malware mostrar uma mensagem na tela e atrair o usuário para abrir o aplicativo bancário, ou para o próprio malware abrir o app bancário. Com o app aberto, o malware pode registrar as teclas digitadas, extrir a senha, assumir o controle, iniciar uma transação e obter as informações de autorização necessárias para concluir a transação (se for enviado senha por SMS). O BrazKing também é capaz de bloquear a tela do telefone e apresentar ao usuário uma tela de atraso;
O BrasDex foi descoberto no final de 2022 pela Threat Fabric, direcionado a 10 instituições financeiras do país (Banco do Brasil, Bradesco, Binance, Caixa, Inter, Itaú, Nubank, Original, PicPay e Santander). Até então, o malware já estava ativo há cerca de um ano, mas atacava apenas o banco Santander. Quando o correntista programa uma transação via PIX, direcionanda para um de seus contatos, uma nova tela aparece com a mensagem de carregamento ou espera, mas que se trata de uma máscara sobre a tela original. Por trás o malware está alterando valores e destinatários (como se a vítima desse o comando de retornar para a tela anterior e redigitasse os dados da conta de destino). Em seguida, o usuário recebe a tela para confirmar a transação, digitando sua senha. A vítima irá perceber o golpe somente quando a transferência for realizada e o comprovante for emitido;
O PixPirate é um trojan bancário direcionado às instituições financeiras do Brasil, focado em manipular transações via o Pix. O trojan para o Android usa API de serviços de acessibilidade para interceptar mensagens, desabilita o Google Play Protect, interceptar SMS e roubar senhas, entre outros. Ele é compartilhado disfarçado de aplicativo autenticador;
O GoatRAT, que ganhou uma nova versão batizada de FantasyMW, é um trojan bancário brasileiro para sistemas Android que utiliza a técnica de ATS para realizar transferências PIX automaticamente. Inicialmente, seus alvos eram clientes do Nubank, Banco Inter ou PagBank. Ele é comercializado em um canal no Telegram, por valores de R$ 5 mil por semana;
O PixBankBot, descoberto em maio de 2023 pela Cyble, é direcionado a roubar dinheiro através de PIX de clientes de 6 bancos brasileiros: C6 Bank, Itaú, Mercado Pago, Nubank, PagBank e PicPay. O malware se disfarça como um aplicativo PDF genuíno para atrair e infectar suas vítimas. Ele utiliza a técnica de ATS para manipular o app da vítima e, para isso, solicita que o usuário habilite o Serviço de Acessibilidade. O PixBankBot cria uma janela falsa sobrepondo a tela do app bancário para ocultar suas ações maliciosas que ocorrem em segundo plano. O malware obtém a chave PIX da conta de destino a partir de uma página no Pastebin e realiza uma transação PIX no valor total referente ao saldo da vítima. Para autenticar a transação, mesmo se ela exigir biometria, o PixBankBot apresenta uma tela falsa sob o pretexto de que precisa autenticar o usuário para finalizar uma atualização. Para evitar detecção, o malware se remove automaticamente ao executar a transferência ou se o saldo da conta cair abaixo de R$ 500,00;
O Brats foi descoberto pela Kaspersky em setembro de 2023. Segundo a emrpesa, o trojan bancário Brats, uma variação do malware Banbra, também direcionado a fraudar transações PIX. O malware modifica o destino dos fundos transferidos e o valor da transação, baseando-se no saldo da vítima. O termo “Brats” faz referência ao Brasil, país onde esse golpe é exclusivamente identificado até o momento, com “ats” derivando da sigla em inglês para "sistema automatizado de transferência". O trojan já foi detectado mais de 1.500 vezes de janeiro até setembro, segundo a Kaspersky;
O ParaSiteSnatcher foi descoberto pela TrendMicro em Novembro deste ano. Trata-se de uma extensão maliciosa para o Chrome capaz de identificar e interceptar transações via PIX. A extensão maliciosa foi projetada especificamente para atingir usuários na América Latina, especialmente no Brasil; ele exfiltra dados de URLs relacionadas ao Banco do Brasil e à Caixa Econômica Federal (Caixa). Também pode iniciar e manipular transações no PIX e pagamentos feitos por meio de Boleto Bancário. (NOVO)
A Zimperium descreveu as principais características dos malwares atuais:
Uso de um sistema de transferência automatizada (ATS) que inclui a captura tokens de autenticação multifator (MFA), iniciar transações e realizar transferências de fundos
Uso de engenharia social, como os cibercriminosos se passando por técnicos de suporte ao cliente direcionando as vítimas para baixar os trojans;
Uso de recurso de compartilhamento de tela ao vivo para interação remota direta com o dispositivo infectado (RAT);
Oferta dos malwares em pacotes de assinatura, que podem variar entre US$ 3 mil a US$ 7 mil por mês.
O fato é que, graças a popularização do PIX e, principalmente, a agilidade na movimentação do dinheiro, esses malwares bancários vieram para ficar e vão evoluir cada vez mais. O fato de explorarem o recurso nativo de acessibilidade dos celulares, que é uma funcionalidade muito importante, torna mais difícil a sua mitigação pelos bancos.
Também tem alguns links sobre o "golpe da mão fantasma", ou seja, malwares de acesso remoto (RAT) que também são usados para controlar o smartphone das vítimas, acessar o app bancário e transferir todo o dinheiro (normalmente via PIX):
Eu separei também alguns reports sobre as três famílias de malwares RAT para Android que a Kaspersky identificou nos últimos anos e deram origem ao termo "golpe da mão fantasma":
