No dia 06 de novembro de 2022, o Fantástico exibiu uma matéria sobre um Golpe do Pix que atingiu ao menos 11 cidades da região sudeste do país.
No esquema, golpistas usaram dados da prefeitura para sacar dinheiro que deveria ser usado em benefício público, como transporte.
Vale lembrar que, infelizmente, segundo estatísticas, o Brasil ocupa o 12º lugar no ranking de vazamento de dados, e a maioria dos negócios não estão preparados para ciberataques, como diz matéria.
Confira abaixo como o golpe aconteceu!
Veja também quais são os golpes de Pix mais comuns!
Como funcionava o golpe do Pix?
Cidades do interior de São Paulo e Minas Gerais sofreram com ataques digitais. Segundo a polícia, os desvios ultrapassaram os R$ 10 milhões.
Entre as cidades mais prejudicadas está Pirapozinho (SP), onde foram saqueados R$2,6 milhões. Essa verba roubada seria destinada ao transporte de estudantes e merenda escolar.
Entenda o passo a passo que os fraudadores usaram para saquear as prefeituras.
Vazamento de dados
Os golpistas usaram informações de um vazamento ilegal de dados de celular ocorrido em 2021, onde quase 103 milhões de contas foram expostas.
No dia 21 de janeiro de 2022, o Banco Central comunicou o vazamento de dados pessoais de 160 mil chaves Pix. Nesse ataque, foram expostos nome de usuário, CPF, instituição de relacionamento e número de agência e conta.
Lembrando que essa não foi a única vez que os vazamentos aconteceram. Entre os dias 1º de julho e 14 de setembro, ocorreu uma exposição com vazamento de 130 mil chaves.
Aplicando o golpe
Com as informações dos dados vazados, os golpistas entravam em contato com servidores que movimentavam as contas da prefeitura se passando por funcionários do banco e solicitando atualização de cadastro.
O próximo passo foi aplicar o golpe “phishing” (pescaria digital), onde conduziam a vítima para um site falso, igual ao do banco e, quando os servidores digitaram os dados, o golpe era concluído com sucesso.
Transferência do dinheiro
Com as senhas da prefeitura em mãos, os fraudadores transferiam valores de R$100 a R$300 mil para centenas de contas distintas.
Esse processo, por ser feito através do Pix, dificultou o rastreamento do dinheiro. Além disso, também foram utilizadas moedas digitais e maquininhas de cartão de crédito.
Para realizar transações bancárias, os golpistas usam o burlador de selfie.
“Manda a foto pelo burlador. Foto da CNH, tá ligado? De boa. O bagulho já aparece na hora se aprovou, se não aprovou. Limite, senha do cartão, já sai tudo. Chegou? Só liga, pum, desbloqueia rápido. Setor de fraudes deles é uma bosta”, debocha o fraudador em matéria para o Fantástico.
O que é burlador de selfie?
No mercado, a operação é conhecida como “Image Injection”, mas os aplicativos disponibilizados na dark web são chamados de chamado de “burladores”.
Com dados de pessoas falecidas ou que perderam seus documentos, os golpistas abrem uma conta digital. Já o Burlador entra no momento de tirar a selfie.
O Burlador é um software capaz de clonar o aplicativo da instituição vítima e realizar uma engenharia reversa, criando uma versão nova com módulo de segurança desativado ou mudando o comportamento da aplicação, permitindo fraudes diversas.
Dessa forma, na hora que o app do Banco verifica a prova de vida do usuário, o burlador “injeta” uma imagem ou vídeo de deep fake para validar a face e a transação.
Quer entender mais sobre esse assunto? Confira a matéria do Jornal da Record.
Como a polícia está tratando destes casos de Golpe do Pix?
A Operação Per Saltum cumpre 50 mandados judiciais contra a organização de fraudes responsável por esses ataques cibernéticos.
Depois mais de um ano depois do golpe do Pix na cidade de Pirapozinho, e um longo caminho para identificar os beneficiários das transferências, a polícia conseguiu prender 11 pessoas, e estão em busca de mais três foragidos.
Como você pode proteger a sua operação?
É essencial saber como minimizar os riscos de que esse golpe aconteça com a sua empresa.
A Oiti tem o objetivo de trazer soluções inovadores para prevenção às fraudes. Alguns dos nossos serviços podem minimizar esse tipo de golpe.
Confira abaixo:
Liveness: prova de vida do usuário
Como vimos no golpe citado, os golpistas usam de burladores de selfie para dar movimento as fotos fraudadas. Para diminuir esses incidentes, você pode usar o Liveness.
Na modalidade 3D, são feitas três verificações de prova de vida do usuário. É possível mapear a profundidade da face, perspectiva, a textura da pele e o reflexo dos olhos.
Bureau de Faces: banco de dados
Em conjunto com a funcionalidade acima, é possível usar nosso Bureau de Faces para potencializar a proteção contra a fraudes. Muitos golpistas criam identidades sintéticas. Ou seja, buscam fotos de um indivíduo, número de documento de outro, e nome de um terceiro, formando assim um usuário “novo”.
Com o Bureau de Faces, é realizada uma varredura no banco de dados próprio da Oiti, público e de faces restritas, que pode confirmar se aquele usuário tem maior ou menor probabilidade de ser falso, diminuindo as chances de identidades sintéticas serem dadas como reais.
Nossos produtos estão preparados para proteger instituições financeiras, inclusive de golpes que envolvem o Pix.
Quer conhecer mais sobre a Oiti? Conheça nosso site: https://www.oititec.com.br/
