De ‘Urubu do Pix’ ao sequestro-relâmpago: veja em quais casos é possível recuperar dinheiro perdido em golpes
julho 11, 2022Sob a era do Pix, as transações financeiras ganharam outro patamar — com menos burocracia. No rastro da facilidade, porém, não faltam relatos de golpes e falhas de segurança envolvendo a ferramenta já usada por mais de 128,7 milhões de usuários (entre pessoas físicas e jurídicas).
Segundo a PSafe, empresa de cibersegurança, o Brasil registrou aumento de 350% no número de tentativas de golpe com o Pix entre abril e maio deste ano na comparação com os dois meses anteriores (fevereiro e março).
Em números absolutos, abril e maio concentraram 424 mil tentativas de golpes contra 92 mil ocorrências computadas em fevereiro e março. “São quase sete mil tentativas de golpe com este tema por dia, mais de 280 por hora e quatro por minuto somente entre os meses de abril e maio”, diz Emilio Simoni, executivo-chefe de segurança da PSafe.
Nos cinco primeiros meses deste ano, a PSafe diz ter registrado pouco mais de 3,4 milhões de ocorrências de golpes com a temática financeira — no mesmo período analisado, do ano passado, foram 2,2 milhões.
Com o aumento substancial de casos de golpes financeiros, sobretudo, com o Pix, muitas dúvidas surgem. Acompanhe, abaixo, algumas respostas sobre o assunto.
Quais são os principais golpes?
Os golpes envolvendo o Pix contam com o elo mais fraco da operação: o próprio consumidor. Na maioria dos casos, a vulnerabilidade do sistema é a ponta da operação.
O principal mecanismo que prejudica as vítimas é a chamada “engenharia social”, que consiste em persuadir o usuário a compartilhar dados pessoais e informações bancárias. Nesta tática, a vítima é levada a fazer um Pix achando que está pagando por um produto ou serviço, por exemplo.
Veja os golpes mais comuns envolvendo o Pix:
Promoções falsas levam as vítimas a clicarem em links falsos de sites e lojas. “A pessoa está no feed do Instagram e vê uma propaganda das Casas Bahia, de TV 55 polegadas por R$ 900. Ela acha que é uma oportunidade, clica no anúncio, é redirecionada a um suposto site e a única forma de pagamento é Pix. Faz o pagamento e o dinheiro vai para a conta do golpista”, exemplifica Assolini.
É comum essas propagandas aparecerem em redes sociais e também no Google Shopping.
Os criminosos criam sites muito similares aos oficiais e nem sempre as vítimas conseguem identificar as diferenças pelo layout. “Muitas pessoas não desconfiam de sites tipo: superpromocaocasasbahia.com.br ou lojasmagalunet.com.br”, diz.
Para não cair em ciladas, o consumidor precisa atentar-se ao preço do produto. Se o valor for muito atrativo, não conclua a operação. Faça uma rápida pesquisa no site da empresa em questão, procure o produto lá. Se não houver a oferta nos canais oficias, desconfie e não conclua a compra.
Outra dica é sobre a forma de pagamento, segundo Assolini. Se o site tiver apenas uma opção (sendo geralmente Pix com QRCode) não conclua a compra. E mesmo se tiver apenas Pix e cartão de crédito, desconfie também.
“Lojas oficiais costumam oferecer Pix, boleto, débito, crédito, entre outros formatos de pagamentos. Outra opção é instalar antivírus no celular para ser avisado de sites suspeitos”.
Novos domínios falsos são criados todos os dias. “O Pix está em alta no mundo dos golpes porque é fácil e instantâneo, e os golpistas se aproveitam disso para executar seus planos”, afirma Assolini.
Outro golpe que vem crescendo é o da conta falsa. A vítima recebe uma fatura de conta, que pode ser de cartão de crédito, de água, luz ou telefone.
A conta tem QR Code, além do código de barras, e o consumidor paga via Pix. O dinheiro vai para a conta do golpista e a vítima pode só perceber quando for notificada pela empresa avisando que a conta não foi paga.
“Hoje as contas verdadeiras já vêm com o QR Code de Pix. As falsas têm nome, CPF e endereço verdadeiros baseados em dados vazados que os criminosos têm acesso. Por isso, as pessoas são enganadas”, explica.
Identificar a conta falsa é tarefa trabalhosa, diz Assolini. Mas há alguns caminhos.
“Contas verdadeiras que vêm com QR Code de Pix, também vêm com o código de barras. O código de barra sempre da conta verdadeira começa com o número 8. É um padrão de mercado, especialmente para as concessionárias de prestação de serviço, como água, luz e telefone. O consumidor também pode conferir o destino do valor. Se for o nome de uma pessoa ou de uma empresa diferente da oficial, desconfie e não pague”, explica.
Cada banco possui um início padrão nos códigos de barra. Os do Bradesco sempre começam com “237”; os de Itaú com “041”, Santander é “033”. Outra solução é deixar as contas em débito automático.
Um dos golpes mais recorrentes acontece quando os golpistas criam um número falso usando a foto da vítima e entram em contato com pessoas que ela conhece com mensagens do tipo: “oi, mãe, troquei o número, você salva?”.
Depois de uma interação, o criminoso conta uma história e pede dinheiro. “Esse, apesar de muito comum, explora a confiança, as pessoas da família ficam preocupadas e fazem o Pix”, diz Assolini.
O segundo tipo é a clonagem do WhatsApp. O criminoso entra em contato com a vítima, conta uma história e compartilha um código via SMS para o telefone da pessoa. Ao chegar a mensagem, a pessoa confirma o código, que, na verdade, dá acesso do celular dela ao criminoso de forma remota, ativando o app em outro aparelho. A partir disso, o golpista entra em contato com as pessoas próximas e pede dinheiro.
“O golpe sempre será operacionalizado via Pix, com conta aberta em fintech ou contas falsas em bancos. São as chamadas “contas laranjas” cujos dados são de pessoas mortas e vazados que burlam a autenticação biométrica e de face para abrir contas online e depois sacar ou dividir dinheiro em várias contas para ficar difícil de rastrear”, explica Assolini.
Quando você receber um pedido de dinheiro suspeito, além de tentar ligar para a pessoa envolvida e confirmar a informação, peça um áudio antes de qualquer depósito. “Geralmente os criminosos não vão mandar áudios, e a vítima vai perceber que trata-se de um golpe”, diz Assolini.
O sequestro-relâmpago é a situação mais violenta dentre os golpes já citados: geralmente a vítima fica retida com o criminoso, que a obriga a passar os dados pessoais para ter acesso às contas bancárias e transferir valores via Pix, que é o mecanismo mais rápido.
O Banco Central restringiu horários e limites ao Pix desde o ano passado para tentar conter esse tipo de ocorrência. O alerta é que quase a metade dos usuários de Pix não configurou os limites, que precisam ser feitos de forma manual.
Uma solução, adotada por muita gente, é o chamado “celular do ladrão”, uma versão mais básica de smartphone usado fora casa e que não contém apps de bancos.
“Para ser eficiente, a pessoa precisa se disciplinar a realmente sair apenas com esse aparelho, além de ter que ter outra linha, internet, etc. Muitos bancos não permitem usar o app com a mesma conta em aparelhos diferentes. Então, não é uma saída tão simples”, pondera Assolini.
A partir de roubo de celulares, os golpistas podem fazer um grande estrago financeiro. “Se o telefone está desbloqueado na mão do criminoso, muito difícil evitar o prejuízo a tempo. Eles têm muita expertise e fazem tudo muito rápido”, diz.
“Eles começam a tentar entrar nas contas bancárias para zerar os saldos. Nesses casos, SMS e apps de email podem ajudar porque permitem troca de senha”, complementa.
Se o telefone está bloqueado, a vítima ganha tempo para impedir o acesso do golpista ao aparelho. Sempre vale considerar senhas mais complexas, que não sejam aniversário, nem números sequenciais, além de dois fatores de autenticação nos aplicativos mais críticos, como os de banco, e-mails e de mensagens. Um software antifurto pode ajudar também, mas precisa ser instalado antes do incidente para funcionar.
“No controle do dispositivo, temos visto muitos casos de pessoas que tiveram suas redes sociais invadidas e os golpistas, se passando pela vítima, falsamente publicaram produtos à venda, solicitando pagamento adiantado. Além da primeira vítima, que teve seu dispositivo invadido, ele pode conseguir várias outras com a falsa venda”, ressalta Simoni, da PSafe.
Outro golpe que está acontecendo com certa frequência é o chamado “Urubu do Pix” ou “Robô do Pix”. É outro golpe de engenharia social, que convence a vítima a fazer Pix para uma conta desconhecida em troca de retornos atrativos.
“A pessoa se depara com a oferta nas redes sociais, geralmente, e é o seguinte: ‘me envie R$ 200 que você ganha R$ 250’ e assim começa, com valores pequenos. Depois do primeiro envio, os criminosos prometem retornos maiores por quantias maiores. Às vezes tem a oferta de algum produto como um curso, mas nem sempre. As pessoas enxergam dinheiro fácil e se prejudicam”, explica Assolini.
A dica aqui é: não acredite em retornos elevados em troca de Pix e sempre desconfie desse tipo de operação. Abaixo, duas imagens identificadas pela Kaspersky mostram como este tipo de golpe se configura. Veja:
O banco devolve o dinheiro em casos de golpes?
A depender do caso, sim. As instituições financeiras podem avaliar individualmente cada caso.
Apesar de não existir cancelamento de Pix, o que se tem hoje é o chamado Mecanismo Especial de Devolução (MED). É o conjunto de regras e de procedimentos operacionais que as instituições financeiras participantes devem seguir para efetivar uma devolução de dinheiro via Pix.
Ele funciona em situações específicas: quando há suspeita do uso do Pix para fraude; e em falha operacional no sistema de qualquer dos participantes envolvidos na transação.
Viabiliza a devolução de um Pix a partir do próprio participante recebedor. Todas as instituições participantes do sistema Pix são obrigadas a ter o mecanismo funcionando.
Para fazer a solicitação, o consumidor precisa contatar o banco. O passo seguinte é registrar um boletim de ocorrência no caso da fraude, e, em ambas as situações, avisar imediatamente a instituição pelo canal de atendimento oficial, como SAC ou Ouvidoria. No ambiente Pix dos aplicativos dos bancos, há um link direto para o canal a ser utilizado para o registro da reclamação.
O usuário só pode abrir uma solicitação de MED por transação Pix. Em nota, o BC explicou que em casos de roubos de dispositivos, o MED também pode ser acionado.
Outro recurso que o BC desenvolveu foi o bloqueio cautelar. Ele se configura quando a própria instituição que detém a conta do recebedor, no caso, o criminoso que recebe o Pix da vítima, suspeita da situação de fraude.
“Essa medida permitirá que, no ato do crédito na conta, a instituição efetue um bloqueio preventivo dos recursos por até 72 horas. A opção possibilita que a instituição realize uma análise de fraude mais robusta, aumentando a probabilidade de recuperação dos recursos pelos usuários pagadores vítimas de algum crime”, diz o BC em seu site.
Posso fazer boletim de ocorrência online?
Sim. O fato de ser online ou não varia de acordo com o estado, segundo o BC. Via de regra, em São Paulo e no Rio de Janeiro, por exemplo é possível fazer o BO online sobre a ocorrência.
Preciso recorrer na mesma hora que sofri o golpe?
O cliente que enviou o Pix em casos de fraude tem 80 dias, a partir da data da transação, para informar sua instituição financeira. A orientação é que o contato seja feito o mais breve possível com o banco ou instituição financeira responsável pela conta.
A instituição “deve abrir imediatamente uma notificação de infração associada a uma solicitação de devolução, para que os recursos na conta do usuário recebedor possam ser bloqueados”, diz o Manual do Pix, do BC.
“Mas nem sempre o processo é rápido, e a instituição sempre analisa o caso. Quanto mais rápido a vítima fizer o contato, mais chance ela tem de rever o valor”, diz Assolini.
E se a conta que recebeu o Pix já tiver sacado o dinheiro roubado?
Nesta situação, a dificuldade é rastrear a operação porque não há mais dinheiro para ser recuperado. “No caso do MED, só se os recursos forem recuperados na segunda conta (a recebedora)”, explica o BC em nota.
Mas, com um boletim de ocorrência, além de informar o banco, as chances de reembolso aumentam.
“Cabe ao prestador de serviço de pagamento a análise do caso de fraude e o eventual ressarcimento, a exemplo do que ocorre hoje em fraudes bancárias. Se a situação não for resolvida, a orientação é procurar o Procon ou o Poder Judiciário do estado. O cidadão também pode registrar uma reclamação no Banco Central contra a instituição em que ele ou o golpista têm conta no Fale Conosco do BC“, disse, por nota, o BC.
Quanto tempo o banco leva para devolver dinheiro?
Segundo o Manual do Pix, do BC, fica a critério de cada banco fazer a notificação de infração após a reclamação do usuário. No entanto, “sugere-se que seja efetivado o mais rapidamente possível, para que haja uma maior probabilidade de existirem recursos na conta do usuário recebedor para bloqueio e devolução”.
Já o banco recebedor do valor do Pix envolvido no golpe deve fazer a devolução dos recursos em até 24 horas após ser solicitado para isso.
“Caso o valor devolvido não corresponda ao valor total da transação original, o participante pode, a seu critério, continuar monitorando a conta do usuário para realizar devoluções parciais, caso recursos sejam creditados na conta”, diz o Manual do Pix.
Como se proteger?
O especialista da PSafe recomenda uma série de práticas para evitar golpes. Veja:
- Evite clicar em links para fazer uma transferência;
- Caso precise receber o Pix de uma pessoa desconhecida, envie uma chave aleatória. Use seu CPF ou dados pessoais apenas para pessoas que você conhece;
- Nunca faça uma transferência, nem realize pagamentos de emergência sem antes ligar para a pessoa que vai receber o dinheiro (sem usar a ligação do WhatsApp), e confirmar a sua real identidade;
- Procure duvidar mais das informações compartilhadas na internet, principalmente, quando se tratar de supostas promoções, brindes, descontos ou propostas boas demais para serem verdade. Os links podem sem falsos ou terem links maliciosos;
- Restrinja a visualização do seu perfil nas redes sociais apenas para pessoas conhecidas e oculte sua foto do WhatsApp (há uma opção para que apenas seus contatos vejam a foto). Para isso, vá nas configurações do aplicativo, selecione “conta” e depois “privacidade”. Em “foto do perfil”, selecione a opção “meus contatos”;
- Desconfie de todos os links compartilhados via troca de mensagens e redes sociais;