- Golpe do falso fornecedor mira nos pequenos empreendedores
- Valores entre R$10 a até R$10 mil costumam ser roubados
- Bandidos contam com uma certa desatenção das empresas para que o golpe funcione
Para evitar os golpes e sequestros relâmpagos que vinham acontecendo em decorrência do PIX, o Banco Central colocou em prática algumas medidas de segurança, como limite de transferências, entre outras. Porém, os bandidos estão sempre se reinventando e agora o novo golpe se aproveita do horário comercial para receber transferências através do PIX. Conheça o novo golpe.
A responsável por detectar este novo golpe envolvendo o PIX foi a plataforma de proteção de identidades digitais AllowMe, uma empresa especialista em proteção de identidades digitais e prevenção a fraudes cibernéticas. Batizado de “golpe do falso fornecedor”, esta nova prática criminosa tem como alvo as micro e pequenas empresas.
A AllowMe disse que esta prática se intensificou nas últimas semanas e se aproveita de dois fatores, a engenharia social e a falha humana no processo corporativo de pagamentos de fornecedores.
As vítimas em potencial são empresas de pequeno porte. O valor que costuma ser roubado estas empresas ainda é incerto. O que se sabe é que cada ação completada pode roubar entre R$ 10 a até R$ 10 mil das empresas.
Funcionamento da fraude
Neste golpe do falso fornecedor, os bandidos abrem contas de Pessoa Jurídica (PJ) em bancos digitais em nome de empresas falsas, porém com nomes parecidos aos de grandes corporações já conhecidas. Este procedimento é fácil e conhecido como semelhança semântica, em que normalmente uma letra é trocada ou “dobrada”, para confundir a vítima.
Algo semelhante a isto acontece com e-mails falsos que se fazem passar por grandes empresas, trocando uma letra minúscula para maiúscula, etc.
Após abrir a conta, os bandidos entram em contato com os empreendedores. Eles fingem ser fornecedores da empresa que dizem representar e que aconteceu uma mudança nos procedimento de pagamento através do PIX. Após isso, eles pedem uma transferência de confirmação ou de teste para cadastro. Quando o empreendedor faz o depósito, o golpe acontece.
É importante ressaltar que não é preciso fazer nenhuma transferência como forma de confirmação ou teste de cadastro. Após criar sua chave PIX, já é possível transferir valores para qualquer pessoa física ou jurídica.
“Os fraudadores podem ter acesso à lista de fornecedores de várias maneiras: por vazamento de dados na internet, por informações internas ou até mesmo entrando no site da empresa e vendo um selo no rodapé da página. Há casos em que os criminosos solicitam no contato o valor exato da fatura do contrato entre as empresas”, disse Ranier Aquino, analista de segurança da informação do AllowMe.
O analista destaca que este tipo de golpe é focado em empresas com processos menos rígidos de pagamento para fornecedores e com menos etapas de proteção, justamente como as pequenas empresas.
Os bandidos contam com uma certa desatenção das empresas para que o golpe funcione, uma vez que o Pix exibe uma tela de confirmação com nome da empresa destinatária, CNPJ e banco.
Novas medidas de segurança do PIX
- Bloqueio cautelar: esta medida permitirá que o banco que detém a conta do usuário possa bloquear de forma preventiva os recursos por até 72 horas em situações de suspeita de fraude.
- Notificação de infração: a notificação de infração deixa de ser opcional e se torna obrigatória. Este mecanismo tem a finalidade de permitir que os bancos registrem uma marcação na chave PIX, no CPF/CNPJ do usuário e no número da conta quando existe “fundada suspeita de fraude”.
- Ampliação do uso de informações para fins de prevenção à fraude: uma nova funcionalidade será criada para permitir a consulta de informações ligadas às chaves PIX. Desta forma, informações de notificação de fraudes ficam disponíveis para todos os participantes do PIX
- Mecanismos adicionais para proteção dos dados: serão adotados mecanismos pelos bancos que devem ser, no mínimo, iguais aos mecanismos implementados pelo Banco Central. Os bancos também devem definir procedimentos de identificação e de tratamento de casos em que acontecem consultas excessivas de chaves PIX.