Fator humano é a principal vulnerabilidade do Pix, alertam especialistas

1

Especialistas em cibersegurança da BugHunt, plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas, e da Compugraf, provedora de soluções de segurança da informação e privacidade de dados das principais empresas brasileiras, explicam que a fragilidade do Pix, novo sistema para transferência de valores, não é sistêmica e sim o fator humano. Os profissionais argumentam o Pix é uma simplificação da identificação, que conta com as mesmas soluções de segurança do Sistema Financeiro Nacional que já são usadas hoje, e que também servem para TEDs e DOCs. Além disso, as transações contam com as camadas de segurança para autenticação oferecidas pelos próprios bancos pelos dispositivos móveis, como biometria, reconhecimento facial, entre outras.

"Essas transações atuais, assim como o Pix, possuem controles rigorosos de cibersegurança, porém, isso não impede golpes e fraudes, visto que ainda resta o fator humano. Então, a tendência é que ocorram tentativas de golpes e fraudes explorando as pessoas, e, por ser um serviço novo para todos, existe um risco direto associado", alerta Caio Telles, engenheiro de Software e CEO da BugHunt. 

Para Denis Riviello, Head de Cibersegurança da Compugraf, a principal vulnerabilidade do Pix está no elo mais fraco, ou seja, no lado do usuário – desde o risco de fraudes no cadastro das credenciais até o roubo das mesmas após o sistema estar em operação. "Os bancos têm investido muito na nova plataforma, em termos de segurança, uma vez que possuem anos de experiência nesse setor e sabem como a criatividade dos fraudadores é grande. Porém, os cibercriminosos podem se aproveitar dos dados desta chave (CPF, e-mail e celular) para ludibriar os usuários", explica. 

Deste modo, as falhas de segurança do Pix podem atingir clientes e instituições da mesma maneira que outros serviços afetam hoje em dia. Segundo os executivos, as falhas mais exploradas atualmente em golpes ou fraudes envolvendo transações bancárias são aquelas que estão do lado do consumidor, explorando algo que está sob domínio do usuário do serviço. Alguns exemplos incluem invadir o computador do usuário, interceptar informações de conta, senha, tokens, aplicar engenharia social para conseguir informações e realizar transferência de valores. "Os sistemas das instituições financeiras seguem rígidas regras de segurança, que são testadas e aprimoradas constantemente, o que torna muito improvável uma invasão ou dano diretamente no ambiente tecnológico da instituição, aumentando a vulnerabilidade no lado do usuário", completa Telles. 

Com diversos mecanismos de segurança por parte das instituições, como cadastramento prévio nos sites e certificados dinâmicos associados a eles, além da assinatura digital e validações feitas por aplicativos, os ataques, portanto, devem ir em direção ao usuário, que pode ser ludibriado e levado a acessar um site fraudulento contendo algum QR code de pagamento via Pix. "O QR Code é um atalho para a chave que identifica o dono da conta que irá receber o valor. Caso seja alterado por um QR Code de outra conta, o valor será disponibilizado em conta diferente. É preciso estar atento às confirmações das informações e, sempre que perceber qualquer inconsistência, o usuário não deverá efetivar/confirmar qualquer pagamento", explica Telles.

Para os executivos, outro tipo de fraude poderá ocorrer a partir do cadastro das chaves por meio de e-mails fraudulentos e da captura da identidade das pessoas físicas por meio de golpes, aproveitando-se do uso das chaves Pix e da própria característica de instantaneidade da operação. "Assim como acontece hoje, golpes de engenharia social, ou quaisquer outros que visam comprometer as informações do usuário, serão o foco dos cibercriminosos", pontua Telles. 

Para evitar ataques, garantir a reputação das instituições e manter a privacidade dos consumidores, Telles recomenda que os bancos devem cuidar do ambiente tecnológico, utilizando programas de recompensa como parceiros para realização de testes contínuos. "Além disso, é preciso cuidar da conscientização dos colaboradores e clientes, deixando muito claro e explícito que cada pessoa faz parte da corrente para garantir segurança a todos", destaca. 

Aos usuários finais, a recomendação de Riviello é que tomem todas as precauções ao compartilhar a chave Pix por celular, e-mail e CPF, bem como os dados bancários. "Vale lembrar que as transações por meio do Pix são protegidas pela Lei n° 105/2001, do Sigilo Bancário, e também a Lei Geral de Proteção de Dados (n° 13.709/2018)", conclui.


1 COMENTÁRIO

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.