{"id":21876,"date":"2023-10-27T10:50:14","date_gmt":"2023-10-27T13:50:14","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21876"},"modified":"2025-05-27T14:57:11","modified_gmt":"2025-05-27T17:57:11","slug":"golpe-monitora-pagamentos-via-pix","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/golpe-monitora-pagamentos-via-pix\/21876\/","title":{"rendered":"Golpe monitora pagamentos via PIX"},"content":{"rendered":"

Uma inova\u00e7\u00e3o que foi criada para beneficiar e facilitar a vida dos brasileiros, o PIX agora \u00e9 alvo constante de cibercriminosos. A Equipe de Investiga\u00e7\u00e3o e An\u00e1lise da Kaspersky encontrou um novo golpe que consegue roubar empresas e consumidores ao redirecionar pagamentos usando o PIX.<\/p>\n

A t\u00e9cnica que permite a fraude n\u00e3o \u00e9 nova, mas \u00e9 a primeira vez que ela \u00e9 usada para esquemas fraudulentos de pagamentos envolvendo o PIX. Encontrada em dezembro de 2022, a amea\u00e7a j\u00e1 foi bloqueada mais de 10 mil vezes at\u00e9 o fim de outubro. Nesta mat\u00e9ria, explicamos como funciona a t\u00e9cnica e como se proteger.<\/p>\n

Evolu\u00e7\u00e3o do golpe<\/h2>\n

Recentemente, a Kaspersky anunciou o 1\u00ba malware que redirecionava PIX<\/a> \u2013 mas este esquema acontece no celular e visava qualquer transa\u00e7\u00e3o instant\u00e2nea realizada no celular<\/strong>. J\u00e1 o novo malware encontrado pela Kaspersky infecta computadores (desktops e notebooks), usa uma t\u00e9cnica diferente para realizar o redirecionamento e atua em pagamentos online<\/strong>.<\/p>\n

\u201cOutra diferen\u00e7a \u00e9 que este golpe afeta tamb\u00e9m empresas \u2013 sejam elas p\u00fablicas ou privadas. Ao analisar o c\u00f3digo do malware \u2013 que foi nomeado de GoPIX \u2013 verificamos que ele n\u00e3o atua em transfer\u00eancia entre indiv\u00edduos, mas apenas em pagamentos de compras online. Nesta modalidade, o lojista gera um tipo de cobran\u00e7a via PIX para o cliente efetuar o pagamento. O mais comum \u00e9 o consumidor copiar e colar (CLT+C e CLT+V) essa informa\u00e7\u00e3o para efetuar o pagamento \u2013 e nesses breves segundos \u00e9 feita o troca da chave para redirecionar o dinheiro para o criminoso<\/i>\u201c, explica Fabio Assolini, diretor da Equipe Global de Pesquisa e An\u00e1lise da Kaspersky para a Am\u00e9rica Latina<\/strong>.<\/p>\n

Como a infec\u00e7\u00e3o acontece<\/h2>\n

A dissemina\u00e7\u00e3o do GoPIX acontece via an\u00fancios maliciosos na internet. Neste caso, foram usados links patrocinados em buscas no Google usando termos com erro de ortografia para \u201cWhatsApp Web\u201d. Outra campanha usou o nome do Correios, no mesmo esquema de links patrocinados. No caso da analisado pela Kaspersky, foi investigado o an\u00fancio falso do app de mensagens e ela traz um processo complexo para conseguir obter sucesso na instala\u00e7\u00e3o do malware no dispositivo da v\u00edtima.<\/p>\n

\u201cEm seguran\u00e7a digital, falamos que uma defesa forte \u00e9 criada em camadas. Pois bem, uma das grandes inova\u00e7\u00f5es do GoPIX \u00e9 a infec\u00e7\u00e3o em etapas. A compara\u00e7\u00e3o entre defesa e infec\u00e7\u00e3o \u00e9 v\u00e1lida, pois parece que cada etapa foi pensada para burlar uma prote\u00e7\u00e3o (ou prote\u00e7\u00f5es) espec\u00edficas<\/i>\u201c, comenta\u00a0Assolini<\/strong>.<\/p>\n

Para deixar mais claro esse processo t\u00e9cnico, os analistas criaram uma tabela comparativa:\"\"<\/a><\/p>\n

Redirecionamento do pagamento via PIX<\/h2>\n

Ap\u00f3s a instala\u00e7\u00e3o do GoPIX, o malware entra em um est\u00e1gio de espera aguardando que a v\u00edtima realize um pagamento digital via PIX. A parte mais curiosa do golpe \u00e9 verificar que o grupo n\u00e3o est\u00e1 interessado por transfer\u00eancia entre pessoas, apenas pagamentos de compras online. Talvez uma explica\u00e7\u00e3o para isso \u00e9 evitar chamar aten\u00e7\u00e3o para a infec\u00e7\u00e3o em transa\u00e7\u00f5es de valores pequenos, visando a maximiza\u00e7\u00e3o dos lucros j\u00e1 que compras online tendem a ter um valor mais expressivo.<\/p>\n

Sobre o troca da chave PIX, n\u00e3o h\u00e1 muita novidade. A t\u00e9cnica que monitora a \u00e1rea de transfer\u00eancia (onde as informa\u00e7\u00f5es copiadas ficam armazenadas temporariamente) n\u00e3o \u00e9 nova, mas esta \u00e9 a primeira vez que um trojan banc\u00e1rio a usa para fraudar pagamentos via PIX. Vale lembrar que, para realizar um pagamento via PIX, o lojista gera um tipo de cobran\u00e7a digital. O cliente s\u00f3 precisa copiar um c\u00f3digo e col\u00e1-lo no sistema PIX para que o pagamento seja realizado. O malware intercepta esse c\u00f3digo altera ele para que a chave PIX do criminoso seja inserida no lugar da chave da loja.<\/p>\n

\u201cEssa t\u00e9cnica \u00e9 uma \u2018vantagem\u2019 para os consumidores ou funcion\u00e1rios de empresas, pois quando o c\u00f3digo alterado \u00e9 colado no Internet Banking, \u00e9 poss\u00edvel identificar a fraude revisando atentamente os detalhes da transfer\u00eancia (nome do destinat\u00e1rio ser\u00e1 diferente do nome da loja onde a compra est\u00e1 sendo efetuada). Vale dizer que esta revis\u00e3o \u00e9 uma boa pr\u00e1tica sempre, pois evita inclusive problema de erro na digita\u00e7\u00e3o do valor (adi\u00e7\u00e3o ou falta de algum digito)<\/em>\u201c, comenta Assolini.<\/p>\n

A amea\u00e7a foi bloqueada 10.443 \u00a0mil vezes nos produtos da Kaspersky, desde janeiro desse ano, com foco do ataque totalmente em clientes brasileiros.<\/p>\n

N\u00e3o seja uma v\u00edtima<\/h2>\n