Fator humano é a principal vulnerabilidade do Pix, alertam especialistas

O Pix, novo meio de pagamentos do Banco Central, entrou em operação na terça-feira, 3 de novembro, de forma restrita por volumes e horários, para que instituições financeiras e clientes pudessem testar a plataforma. A primeira etapa foi realizada até o dia 15 e, no dia 16, o sistema passou a funcionar de forma integral, 24 horas por dia, todos os dias do ano.

O Pix é uma nova forma de transferir dinheiro, de maneira instantânea, e funciona como uma alternativa ao DOC e à TED. Quem deseja receber transferências pela plataforma pode cadastrar e-mail, CPF ou número de celular (chave Pix) para informar ao pagador. Além disso, é possível utilizar um identificador numérico único ou os tradicionais dados de agência e conta - no caso do cliente de banco comercial.

Até o dia 16 de novembro, o sistema havia registrado o cadastro de 73 milhões de chaves, segundo levantamento do BC. A solução visa oferecer transações mais rápidas e baratas do que os meios convencionais, com disponibilidade mais ampla e sem horário específico de funcionamento. Consumidores e empresas poderão enviar ou receber dinheiro a qualquer momento, com liquidação em até 10 segundos – na prática, o dinheiro cai na hora.

Segundo especialistas em cibersegurança da BugHunt, primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas, e da Compugraf, provedora de soluções de segurança da informação e privacidade de dados das principais empresas brasileiras, como o Pix é uma simplificação da identificação, o serviço conta com as mesmas soluções de segurança do Sistema Financeiro Nacional que já são usadas hoje, e que também servem para TEDs e DOCs. Além disso, as transações contam com as camadas de segurança para autenticação oferecidas pelos próprios bancos pelos dispositivos móveis, como biometria, reconhecimento facial, entre outras.

“Essas transações atuais, assim como o Pix, possuem controles rigorosos de cibersegurança, porém, isso não impede golpes e fraudes, visto que ainda resta o fator humano. Então, a tendência é que ocorram tentativas de golpes e fraudes explorando as pessoas, e, por ser um serviço novo para todos, existe um risco direto associado”, alerta Caio Telles, engenheiro de Software e CEO da BugHunt.

Para Denis Riviello, Head de Cibersegurança da Compugraf, a principal vulnerabilidade do Pix está no elo mais fraco, ou seja, no lado do usuário - desde o risco de fraudes no cadastro das credenciais até o roubo das mesmas após o sistema estar em operação. “Os bancos têm investido muito na nova plataforma, em termos de segurança, uma vez que possuem anos de experiência nesse setor e sabem como a criatividade dos fraudadores é grande. Porém, os cibercriminosos podem se aproveitar dos dados desta chave (CPF, e-mail e celular) para ludibriar os usuários”, explica.

Deste modo, as falhas de segurança do Pix podem atingir clientes e instituições da mesma maneira que outros serviços afetam hoje em dia. Segundo os executivos, as falhas mais exploradas atualmente em golpes ou fraudes envolvendo transações bancárias são aquelas que estão do lado do consumidor, explorando algo que está sob domínio do usuário do serviço. Alguns exemplos incluem invadir o computador do usuário, interceptar informações de conta, senha, tokens, aplicar engenharia social para conseguir informações e realizar transferência de valores. “Os sistemas das instituições financeiras seguem rígidas regras de segurança, que são testadas e aprimoradas constantemente, o que torna muito improvável uma invasão ou dano diretamente no ambiente tecnológico da instituição, aumentando a vulnerabilidade no lado do usuário”, completa Telles.

Com diversos mecanismos de segurança por parte das instituições, como cadastramento prévio nos sites e certificados dinâmicos associados a eles, além da assinatura digital e validações feitas por aplicativos, os ataques, portanto, devem ir em direção ao usuário, que pode ser ludibriado e levado a acessar um site fraudulento contendo algum QR code de pagamento via Pix. “O QR Code é um atalho para a chave que identifica o dono da conta que irá receber o valor. Caso seja alterado por um QR Code de outra conta, o valor será disponibilizado em conta diferente. É preciso estar atento às confirmações das informações e, sempre que perceber qualquer inconsistência, o usuário não deverá efetivar/confirmar qualquer pagamento”, explica Telles.

Para os executivos, outro tipo de fraude poderá ocorrer a partir do cadastro das chaves por meio de e-mails fraudulentos e da captura da identidade das pessoas físicas por meio de golpes, aproveitando-se do uso das chaves Pix e da própria característica de instantaneidade da operação. “Assim como acontece hoje, golpes de engenharia social, ou quaisquer outros que visam comprometer as informações do usuário, serão o foco dos cibercriminosos”, pontua Telles.

Para evitar ataques, garantir a reputação das instituições e manter a privacidade dos consumidores, Telles recomenda que os bancos devem cuidar do ambiente tecnológico, utilizando programas de recompensa como parceiros para realização de testes contínuos. “Além disso, é preciso cuidar da conscientização dos colaboradores e clientes, deixando muito claro e explícito que cada pessoa faz parte da corrente para garantir segurança a todos”, destaca.

Aos usuários finais, a recomendação de Riviello é que tomem todas as precauções ao compartilhar a chave Pix por celular, e-mail e CPF, bem como os dados bancários. “Vale lembrar que as transações por meio do Pix são protegidas pela Lei n° 105/2001, do Sigilo Bancário, e também a Lei Geral de Proteção de Dados (n° 13.709/2018)”, conclui.

Sobre a BugHunt

A BugHunt é a primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas, que une empresas comprometidas com a segurança da informação e privacidade de seus usuários e/ou clientes a pesquisadores do setor. Com foco em inovação para reconhecimento e resolução de bugs e vulnerabilidades, a startup tem como objetivo democratizar o acesso à segurança de dados. Por meio de programas públicos e privados, a BugHunt gerencia a definição de escopo e recompensa, a escolha de especialistas, a avaliação e triagem de relatórios e a verificação e correção de falhas nos serviços avaliados.

Sobre a Compugraf

A Compugraf é a provedora de soluções de segurança da informação e privacidade de dados das principais empresas brasileiras. Responsável pela implementação e operacionalização de sistemas completos de segurança digital, da tecnologia ao comportamento humano, além disso, a empresa é a principal parceira brasileira de gigantes globais do mercado, como: Check Point, F5, Fortinet, OneTrust, Algosec, Senha Segura, entre outros. Com mais de 35 anos de mercado e 100% brasileira, a Compugraf reúne um time de mais de 100 colaboradores qualificados e certificados que proporcionam operações mais seguras para mais de 300 clientes ativos em nível nacional.