Golpes virtuais que utilizam os chamados QR Codes (ou códigos QR): esta é uma das tendências do cibercrime observadas para 2022 pela consultoria de cibersegurança Kaspersky. Logo neste início de ano, os especialistas da empresa já identificaram dois tipos de ataques com o recurso: um voltado a usuários domésticos e outro focado em pequenas e médias empresas.
Ambas as categorias exploram a opção de pagamento via QR Code do Pix, meio de pagamento instantâneo criado pelo Banco Central e de grande popularidade no Brasil. Para evitar ser vítima, a única solução é ter atenção para saber reconhecer a fraude.
A primeira das duas modalidades é bem conhecida e extremamente comum nesta época do ano: são as faturas/contas falsas. No exemplo detectado pela Kaspersky, os criminosos disfarçaram o golpe em uma conta de telefonia/internet. A única novidade é a presença do QR Code como opção de pagamento de preferência dos criminosos, já que é oferecido um suposto desconto de 5% se escolhida essa alternativa.
Para tornar o golpe mais convincente, os criminosos ainda disfarçaram o e-mail real que realizou o envio da mensagem falsa (o nome da empresa foi borrado para preservar a marca, que também é vítima nesse golpe):
“Transações via Pix já são o método de pagamento mais usado no Brasil antes mesmo de a tecnologia ter completado um ano de existência e sua facilidade de uso foi o que permitiu a grande adoção, tanto por consumidores quanto pelas empresas. Receber o dinheiro da venda na hora é algo muito benéfico para pequenos empreendimentos. Infelizmente, isso acaba beneficiando também o cibercrime. Muitos golpes acabam morrendo na praia, pois a vítima percebe a fraude e consegue cancelar a operação junto à instituição financeira. Porém, os métodos de pagamento digitais – e isso não é exclusividade do Pix – são instantâneos e, consequentemente, vantajosos para quem usa a tecnologia de forma maliciosa”, explica Fabio Assolini, analista sênior da Kaspersky no Brasil.
Já a segunda mensagem fraudulenta está disfarçada como uma oferta falsa que usa uma plataforma de streaming popular em uma suposta parceria com duas grandes redes de cinema. A isca é um suposto plano trimestral para assistir filmes em cartaz em casa por R$ 267,99 – e visa atrair a atenção dos cinéfilos. Aqui, a única opção de pagamento é o QR Code do Pix.
“No primeiro esquema, o QR Code foi adicionado como alternativa, mas no segundo, o golpe foi criado apenas com ele. Isso mostra o interesse e a tendência do abuso dessa tecnologia nas fraudes online que pontuamos como uma tendência para este ano. Me surpreendeu muito seu surgimento logo nos primeiros dias do ano, e isso só reforça o quanto essa prática deve se tornar popular no decorrer do tempo. O que mais me preocupa é que não há muito o que pode ser feito agora para evitá-lo, pois o pagamento direto via QR Code é algo legítimo e não pode ser bloqueado como um site falso. Para evitar cair no golpe, as pessoas e empresas precisam identificar os detalhes que indicam que a mensagem é falsa”, explica Assolini.
Para conseguir identificar o golpe, a Kaspersky destaca os seguintes pontos:
1) Atenção ao destinatário. Apenas na primeira fraude é usada uma “máscara”; no segundo caso, o endereço é genérico e não tem relação com as marcas citadas no golpe;
2) No exemplo da fatura falsa, não há a informação do nome do cliente, apenas o código do assinante, que é um número que quase ninguém deve saber de cor;
3) Além disso, a identificação do cliente é diferente. Existe um número na mensagem e outro na fatura:
4) Fique de olho no código de barra também. Contas de consumo (gás, energia, telefonia) sempre começam com o número 8. Por se tratar de uma fatura falsa, o código de barra começa com o número da instituição financeira na qual a fatura foi gerada (de maneira ilegal, claro!):
5) Para a suposta promoção de filmes e séries, é importante que a pessoa cheque a veracidade da oferta no site oficial das empresas. Se não houver nada, ainda é possível entrar em contato com eles pelos canais oficiais. Nunca use os contatos informados no e-mail, pois eles podem ser falsos também;
6) Confirme os dados do destinatário antes de concluir o pagamento via Pix. Como em todos os esquemas fraudulentos, os criminosos usam nomes de laranjas para receber o dinheiro dos golpes. Apenas pagamentos legítimos mostrarão os nomes das empresas (razões sociais) corretos.