Brasil

Entrou na onda do 'PixTinder'? Cuidado, criminosos podem usar suas chaves

Tilt / Uol | 31/01/21 - 17h47
Marcello Casal Jr / Agência Brasil

Tem gente usando o Pix para mandar aquela indireta para o "crush". Sim, o sistema de pagamento instantâneo do Banco Central. Como ele permite mandar mensagens de texto para justificar o motivo da transação, virou moda subverter o recurso para puxar papo e também atrair mais pretendentes divulgando a chave do Pix nas redes sociais. É divertido, mas, como foi pensada para fazer transferências bancárias —e não como canal de paquera—, a função deve ser usada com muita cautela.

Especialistas em segurança digital alertam que a brincadeira do PixTinder pode sair cara, porque deixa as chaves do sistema de pagamentos disponíveis demais para pessoas desconhecidas --e expor dados pessoais sensíveis nas redes sociais, é sempre bom reforçar, pode virar uma grande dor de cabeça.

O consórcio que criou o Pix optou por usar dados de uso cotidiano para os clientes gerarem suas contas. Assim, existem quatro tipos possíveis de chaves: telefone, email, CPF e uma chave aleatória gerada pelo sistema, sendo as três primeiras as mais sensíveis.

CPF

O CPF é o dado mais sensível de todos. Pode ser usado para inúmeras fraudes — basta o seu CPF para que os criminosos consigam autenticar o acesso a um serviço bancário ou para que comecem a montar seu perfil a partir de outros dados vazados na internet

"Quem tentar fazer a transferência vai saber seu nome completo e já pode buscar em sites mais informações sobre você. Existem ferramentas automáticas que fazem isso, acham email, endereço, aí vão refinando", explica Daniel Barbosa, pesquisador de segurança da Eset, empresa especializada em detecção de ameaças.

Recentemente, foi descoberto um dos maiores vazamento de dados do Brasil, com informações que vão desde CPF até salário e escore de crédito —consultado por lojas quando o consumidor faz compras— de 220 milhões de brasileiros. Tudo isso fico disponível na deep web.

Email

Além de ser mais um dado para que os criminosos filtrem seus dados nas bases vazadas, o email pode ser usado em golpes que servem para descobrir sua senha de email. Divulgá-lo nas redes sociais pode fazer com que pessoas indesejadas entrem em contato com você ou enviem um link malicioso para roubar os seus dados bancários.

Isso pode ser muito perigoso, porque a maioria das pessoas cadastra no Pix o principal endereço de email que usa, que também está associado a outros aplicativos e serviços.

"Quando você quer recuperar a senha para entrar na sua Netflix, o primeiro mecanismo é mandar uma mensagem por email. Imagina se esse email principal é devassado: todos os seus serviços online que estão relacionados a ele ficam disponíveis para serem utilizados", explica Christian Perrone, coordenador de Direito e Tecnologia do ITS-Rio (Instituto de Tecnologia e Sociedade).

Telefone

Uma rápida pesquisa pela hashtag "pixtinder" no Twitter vai mostrar uma série de números de telefone. Além de um trote, você pode receber, por exemplo, uma ligação ou mensagem de WhatsApp de um criminoso dizendo que sequestrou alguém da sua família, pedindo um resgate.

"Há criminosos em presídios que tentam extrair dinheiro. Eles podem acessar a vítima como se fosse uma grande empresa, falando que precisa preencher um formulário e pedindo para que a pessoa 'confirme' dados e a pessoa inocente acaba passando", diz Barbosa.

Chave aleatória

Por fim, sobre a chave aleatória. Com já deu para perceber, ela é a forma mais segura de transferência bancária, segundo os especialistas ouvidos por Tilt, porque gera um código aleatório.

Ainda assim, divulgar essa chave nas redes sociais também pode virar um transtorno. Quem tentar te transferir algum valor vai ter acesso, ao final da transação, ao seu nome e parte do seu CPF.

Lugar de paquerar é no Tinder

Claro que os dados podem ser usados de forma maliciosa em transações cotidianas previstas pelo Pix, como já acontece em outros tipos de transações que pedem informações como o CPF, mas expor seus dados completos nas redes sociais ou para um número grande de desconhecidos, aumenta exponencialmente o risco que você corre. Por isso mesmo que as transações feitas pelo Pix ocultam parte dos números ou letras.

Humberto Sandmann, professor do curso de tecnologia da ESPM (Escola Superior de Propaganda e Marketing), afirma que esse novo uso do Pix foi impossível de prever, apesar das várias medidas antifraude adotadas. "Quando as instituições propiciaram uma solução, vem o usuário e a desvirtua. Não tem como prever um mecanismo de segurança em relação a isso", diz.

Já o Banco Central afirma que o Pix conta com "motores antifraude" operados pelas instituições que ofertam o serviço, capazes de identificar irregularidades em até 60 minutos. Mas, como qualquer outro meio de pagamento, o Pix não está livre de tentativas de golpes, principalmente os que se aproveitam da inocência alheia. "Portanto, é essencial que as pessoas se informem e fiquem atentas", diz a nota do BC enviada a Tilt.

Barbosa, da Eset, lamenta que um sistema seguro tenha ganhado um uso alternativo perigoso por conta do comportamento dos usuários. "Se quer paquerar, vai pro app de paquera. Se quer fazer transações financeiras seguras, use o Pix", afirma.