Clientes bancários têm usado as redes sociais para denunciar uma nova forma de golpe via Pix. Usando informações resguardadas pelo sigilo bancário, como movimentações da conta corrente, os bandidos fingem ser funcionários das instituições financeiras, conquistam a confiança da vítima e tentam aplicar o golpe, pedindo transferências e depósitos.
A jornalista Marcella Centofanti, de 44 anos, foi alvo dos criminosos nesta terça-feira, 7. Ela recebeu uma ligação telefônica de um suposto funcionário do Banco Itaú informando que sua conta havia sido invadida por criminosos e, por medida de segurança, bloqueada.
Marcella acreditou que o contato era verdadeiro por causa das informações citadas. “Ele citou o que saiu e o que entrou na minha conta nos últimos dias, inclusive transações via Pix, com nomes e valores, além de débitos automáticos precisos até nos centavos”, conta a moradora de Ilhabela, litoral paulista.
Com a orientação do bandido, Marcella criou uma nova senha pelo aplicativo do banco. O atendimento foi articulado e atencioso, sem que o interlocutor pedisse os dados pessoais. Pelo contrário, orientou que ela não clicasse em nenhum link nem compartilhasse sua senha. Até a música de espera era a mesma usada pelo banco. Desconfiada, ela acionou a gerente de sua agência e seu namorado.
O golpe entrou na fase final quando o criminoso informou que a conta de Marcella havia sido acessada por dois aparelhos iPhone, de Santo André, no ABC paulista, com três depósitos entre R$ 9 mil e R$ 10 mil cada. Ele citou os nomes e os bancos dos endereçados. Já desesperada, Marcela negou as operações. O criminoso pediu que ela refizesse as transferências, com os mesmos valores, para as mesmas contas. Segundo ele, o banco reconheceria a duplicidade e cancelaria a operação. Marcella teve certeza que era um golpe.
Depois que ela desligou, houve nova tentativa de fraude. Uma mulher, usando o nome e sobrenome da gerente de sua agência, disse que estava ligando a pedido do departamento de segurança do banco. “Ainda estou abalada. A gente perde a confiança. Eu consulto minha conta a todo momento para conferir se está tudo bem. Vou pessoalmente na agência e pretendo registrar um boletim de ocorrência”, diz.
Marcella diz que recebeu uma mensagem em que o Banco Itaú afirma que “em regra, informações sobre a conta bancária ou outras operações são resguardadas pelo sigilo bancário e apenas podem ser prestadas ao respectivo titular (ou ao seu representante legal/procurador com poderes específicos ou terceiro mediante autorização expressa)”. Em outro trecho, a instituição informa que “acionou os órgãos competentes para análise e avaliação”.
Gladis Maria de Barcellos Almeida, professora de Linguística e Língua Portuguesa da Universidade Federal de São Carlos (UFSCar), viveu situação semelhante com o Banco do Brasil no mês passado. Ela conta que, durante o golpe, os criminosos pediram que ela instalasse um aplicativo que supostamente corrigiria as tentativas de fraude em sua conta. O aplicativo era, na verdade, o acesso remoto ao seu celular. “Felizmente, eu percebi que aquilo estava errado e desliguei o celular. Escapei por pouco”, conta.
A advogada Vanessa Souza, de 45 anos, por sua vez, não conseguiu se safar a tempo. Diante de um contato exatamente com o mesmo modus operandi – atendimento cortês com a descrição dos últimos movimentos do extrato bancário –, a correntista do Itaú teve certeza de que o contato era legítimo e fez duas operações de Transferência Eletrônica Disponível (TED) que totalizaram R$ 20 mil.
O episódio ocorreu em agosto do ano passado, mas ela ainda agora o ressarcimento bancário. “Ele (o criminoso) leu meu extrato. Eu senti humilhada, pois fui ‘passada para trás’. No banco, eu fiz o requerimento padrão, mas ninguém me deu resposta nenhuma. Eu entendi que foi uma negativa. Eu me senti desrespeitada”, conta a correntista da agência do Alto da Boa Vista, zona oeste de São Paulo.
Outros casos nas redes sociais
O relato de Marcella viralizou nas redes sociais. Até a tarde desta quarta-feira foram mais de 1,8 mil comentários e 26 mil curtidas, muitos deles de pessoas que viveram situações parecidas.
“Aconteceu igual comigo, pelo Santander. Ele me ligou, tinha acesso a tudo da minha conta, sabia até o valor do meu salário. O telefone era o mesmo da agência da minha cidade. No fim, ele tentou me dar um golpe de 215 mil reais. Minha sorte era que eu tinha 100 reais na conta”, relatou o designer gráfico Ivan Soratto.
“Minha avó caiu em um golpe semelhante, só que o banco era o Banco do Brasil e eles também sabiam todos os dados de movimentação bancária dela, mas pediram para fazer a alteração de senha pelo teclado do telefone. Ela perdeu mais de 5 mil reais”, relatou outra usuária.
Desde que o Pix, solução de pagamento instantâneo do Banco Central, foi implementado em novembro de 2020, ele passou a facilitar uma série de transferências bancárias no País. Por outro lado, a nova ferramenta provocou o aumento das ações criminosas.
O Estadão mostrou em janeiro que o número de sequestros no Estado de São Paulo em 2022 atingiu o maior patamar em 15 anos. O levantamento leva em conta apenas registros de janeiro a setembro do último período, na comparação com os 12 meses dos anos anteriores, o que indica que a recente escalada desses crimes deve ser ainda maior.
Profissionalismo das quadrilhas é impressionante, diz delegado
A maioria “esmagadora” das invasões a contas bancárias é por meio de phishing, técnica de engenharia social que consiste no envio de armadilhas – normalmente mensagens com links maliciosos – aos alvos. Isso é o que diz o delegado Luiz Alberto Guerra, titular da 2ª Delegacia de Investigações Gerais (DIG) do Departamento Estadual de Investigações Criminais (Deic) da Polícia Civil.
O phishing, segundo ele, normalmente é uma estratégia adotada antes de as quadrilhas entrarem em contato com as vítimas em potencial para tentar executar o golpe. “Pode ser um link enviado por e-mail ou mesmo um SMS, que vai redirecionar a pessoa para uma página falsa do banco onde são captados de agência, conta e senha pelos criminosos”, afirma o delegado.
Outras formas de se obter os dados das vítimas são por meio de ligações telefônicas – em que criminosos normalmente se passam por funcionários de banco e solicitam senhas – ou mesmo por vazamento de dados, hipótese levantada por Marcella. “Não posso dizer que o vazamento de dados seja impossível, mas ainda não tive nenhuma notícia-crime nesse sentido”, diz o delegado. “A maioria esmagadora dos casos é mediante phishing.”
Normalmente, o acesso às contas bancárias das vítimas pode ser feito mesmo semanas antes da tentativa do golpe, para diminuir as chances de o alvo desconfiar. “É impressionante o profissionalismo dessas quadrilhas. Tendo os dados da conta bancária das vítimas, eles conseguem criar todo um enredo que realmente convence as pessoas”, afirma Guerra.
As quadrilhas, continua, normalmente agem de forma autônoma e são formadas por várias pessoas, cada uma com uma função específica. “Tem sempre um mentor, que é uma pessoa que não participa de nenhum ato de execução propriamente dito; um hacker, que vai fornecer os links por phishing para os alvos; e há pessoas que vão trabalhar nessas centrais falsas. Já chegamos a efetuar prisões de mais de seis pessoas trabalhando só numa central dessas”, diz o delegado.
Segundo ele, os criminosos fazem contato posteriormente com os alvos porque, ainda com o acesso a contas bancárias, há uma trava que os impede de fazer transferências. “Mesmo com agência, conta e senha da vítima eles não conseguem efetuar as transações, porque todos os aplicativos hoje exigem o token (sistema para evitar fraudes). Aí que entra toda essa engenharia social final a qual ela (Marcella) foi submetida”, diz Guerra.
A tentativa de golpe sofrida por Marcella, afirma o delegado, é um exemplo de golpes que usam unidades remotas de atendimento (URAs) falsas para emular as centrais telefônicas dos bancos. É a mesma prática, como já mostrou o Estadão, usada no chamado “golpe do motoboy”, mas em roupagem distinta. “A engenharia social que eles (criminosos) usam vai sendo aprimorada e vai mudando de caso a caso”, afirma o delegado.
Com a URA, quadrilhas usam até músicas que imitam as centrais de atendimento dos bancos e alternam entre vários supostos atendentes, para passar mais credibilidade no contato com os alvos. A ferramenta permite ainda que as quadrilhas prendam a ligação por um tempo em chamadas com telefones fixos. “Se a pessoa liga para a sua casa e fala para você ligar imediatamente para o número que tem atrás do seu cartão, você vai desligar e ligar de novo do mesmo aparelho. Só que a linha fica presa com eles, então você vai achar que vai estar falando na central do banco, mas vai estar na linha falsa.”
“Havendo qualquer solicitação nesse sentido, desligue o telefone na hora e ligue para o banco de outro aparelho, principalmente se for linha fixa”, afirma o delegado. Ele também reforça que as pessoas tenham cuidado com mensagens suspeitas. “Outra dica que a gente pode deixar para que outras pessoas não caiam nesse golpe é jamais, em hipótese alguma, realizar qualquer tipo de transações.”
O que dizem os bancos
A Federação Brasileira de Bancos (Febraban) e seus bancos afirmam que “investem constantemente e de maneira massiva em campanhas e ações de conscientização em seus canais de comunicação com os clientes para orientar a população a se prevenir de fraudes. Além da realização de campanhas educativas, os bancos investem cerca de R$ 3 bilhões por ano em sistemas de tecnologia da informação voltados para segurança – valor que corresponde a cerca de 10% dos gastos totais do setor com TI para garantir a tranquilidade de seus clientes em suas transações financeiras cotidianas. Adicionalmente, os bancos também atuam em parceria com forças policiais para auxiliar na identificação e punição de criminosos virtuais”.
O Itaú Unibanco afirma que “reforça as orientações para que os clientes se atentem a possíveis tentativas de golpes envolvendo abordagens de falsas centrais de segurança ou falsos funcionários da instituição. Neste sentido, esclarece que ligações recebidas pelos clientes solicitando qualquer documento, senhas, dados cadastrais e financeiros, estornos ou a realização de transferências não são práticas da instituição, portanto, os clientes não devem, em hipótese alguma, digitar ou informar senhas no aparelho telefônico quando não efetuaram a ligação de forma ativa e espontânea. Seguindo rigorosamente essas práticas, os golpistas não terão qualquer forma de acessar ou movimentar indevidamente a conta corrente do cliente”.
O banco informa ainda que comunica de forma recorrente e por diferentes canais a maneira de atuar diante de abordagens duvidosas. “Caso receba ligação com esse tipo de abordagem ou esteja em dúvida sobre a veracidade do contato, o cliente deve desligar imediatamente e, a partir de outro aparelho telefônico, entrar em contato com a central de atendimento ou com seu gerente bancário”.
O Banco do Brasil informa que “os bancos podem ligar para o cliente para confirmar a realização de uma transação, mas nunca o orientarão a realizar qualquer procedimento para supostamente cancelar a transação fraudulenta, nunca pedirão informações adicionais nem a digitação de senha ou repasse de qualquer informação e nem solicitarão que o cliente baixe qualquer aplicativo ou acesse algum site”.
O Banco Central disse que todas as operações com o Pix são 100% rastreáveis, o que permite identificar contas recebedoras. “Os golpistas acabam utilizando o Pix dada a notoriedade do meio de pagamento, mas a sistemática de golpe já é antiga, ocorrendo nos instrumentos de transferência mais tradicionais, como TED, e em outros meios de pagamentos, como cartões de crédito e débito”, afirmou.
O BC afirma que não tem competência legal para atuar em casos que eventualmente possam cair na esfera criminal. Sobre orientações contra golpes, a recomendação é que o cidadão procure a polícia, para que possam ser instaurados procedimentos investigatórios.