Já estão circulando pela internet as primeiras campanhas de phishing utilizando como isca o cadastramento de usuários no PIX, o sistema de pagamentos eletrônicos anunciado pelo Banco Central para novembro deste ano. Hoje, a Kaspersky anunciou que seus especialistas já localizaram uma campanha solicitando o pré-cadastro para o sistema. De acordo com Fabio Assolini, analista sênior de cibersegurança da Kaspersky, o objetivo dos golpistas é coletar dados bancários e pessoais (como senhas de contas, celular e CPF), para acesso a uma futura conta PIX da vítima e, assim, efetuar transações em seu nome.
“O e-mail que identificamos usava o nome de um banco popular e trazia um link para que o usuário fizesse o cadastro na conta Pix. Esse link apontava para um site falso, simulando o do banco e pedia que a vítima inserisse a sua senha bancária, além do número do celular e do CPF, dados que serão usados como chaves de identificação dentro do PIX”, explica o analista.
Veja isso
Kaspersky explica reinstalação de malware mesmo após factory reset
PayPal, Microsoft e Facebook: as marcas mais usadas em ataques de phishing
De acordo com relatório recente da própria Kaspersky, os brasileiros estão entre os principais alvos de phishing no mundo. Um em cada grupo de oito brasileiros usuários de internet (13%) acessaram, de abril a junho deste ano, ao menos um link com direcionamento para páginas maliciosas. O índice está bem acima da média mundial, que é de 8,26%, colocando o Brasil como o quinto país com maior proporção de usuários atacados.
Com início de operação prevista para o final de outubro, a nova ferramenta de pagamentos do BC tem o objetivo de trazer mais agilidade nas transações bancárias. Para isso, permitirá que clientes dos principais bancos do país utilizem chaves para pagamentos e transferências (não sendo mais necessário informar números do banco, da agência e da conta, por exemplo). Entre as chaves possíveis estão o CPF (ou CNPJ) e o número de telefone. Por isso, o interesse dos criminosos em coletar os dados.
“Recomendamos que as pessoas que queiram cadastrar as suas chaves procurem diretamente a página da instituição. Tenham cuidado com os convites de pré-cadastro recebidos, pois eles podem ser falsos”, alerta Assolini.
