Professional Documents
Culture Documents
SISTEMAS
ADAMANTINA - SP
2023
LAURA CRUZ SANCHES VASQUE RA: 1027/17
ADAMANTINA - SP
2023
LAURA CRUZ SANCHES VASQUE RA: 1027/17
Banca Examinadora
2º Examinador: Prof.
3º Examinador: Prof.
Adamantina, ___/___/___
SUMÁRIO
1. Introdução 1
2. Comunicação segura 4
2.1. Assinatura digital 4
2.1.1. Informações a serem assinadas 7
2.1.2. Processo de assinatura digital 8
2.2.3. Verificação da assinatura digital 13
2.3. Certificados digitais 17
2.3.1. Certificados digitais a serem utilizados 17
2.3.2. Ativação de certificados digitais dos PSPs 17
2.3.3. Ativação de certificados digitais do BC 18
2.3.4. Desativação de certificados digitais 19
2.3.5. Verificação da revogação de certificados 19
2.4. Segurança de QR Codes dinâmicos 20
2.4.1. Segurança no acesso às URLs 20
2.4.2. Ativação de certificados SSL para sites de QR Codes dinâmicos 21
2.4.3. Definições do padrão JWS 22
2.4.4. Validações a serem feitas pelos aplicativos 24
3. HISTÓRIA DOS MALWARES 29
3.1. TIPOS DE VIRUS/APLICAÇÕES 29
3.2. CLASSIFICAÇÃO DOS MALWARES 29
3.3. PREVENÇÃO 30
4. Falhas que ocorreram nos sistemas de bancos no pix 31
Falhas do usuário 32
5. Considerações finais 35
6. Referências bibliográficas 36
LISTA DE TABELAS
LISTA DE FIGURAS
The present study focuses on the issue of instant payments, which in Brazil is known as PIX,
which are electronic money transfers in which funds are available to the beneficiary in real
time as a service available 24 hours a day, 7 days a week. , where transfers occur directly
from the payer's account to the payee's account. On November 16, 2020, the new instant
payment system developed by the Central Bank of Brazil, called PIX, was officially launched
to the public. However, in addition to the speed and continuous operation of the system, the
Central Bank listed some other reasons that led to the creation of the PIX system, as shown in
the excerpt below extracted from the official website of the main Brazilian monetary entity:
Leverage market competitiveness and efficiency; Lower the cost, increase security and
enhance the customer experience; Encourage the electronicization of the retail payments
market; Promote financial inclusion; Fill a series of gaps in the basket of payment instruments
currently available to the population. This marks the beginning of a new milestone in the
Brazilian banking system, but with it there is also a greater concern with security, as the pix is
unable to reimburse the payer if he makes a wrong payment. We currently have some scams
involving the pix, but not from bank sites or apps, but rather that hackers manage to enter
android cell phone systems and take bank information from apps causing users to end up
depositing in wrong accounts. Finally, more and more investment in security must be adopted
as a way of not falling into fraud and having problems that lead to significant financial losses
for users of the PIX service.
1. Introdução
Amorim (2022) explica que muitos países usam essa tecnologia rápida, conveniente e
disponível entre pessoas, empresas e autoridades governamentais. Mas, pouco se tem
discutido sobre os riscos vinculados, especialmente em um cenário de pandemia causado pela
Covid-19, em que se viveu um aumento substancial dos pagamentos instantâneos em todo o
mundo.
Do ponto de vista da evolução tecnológica, aponta que o PIX no Brasil é uma questão
inquestionavelmente positiva. Os Pagamentos Instantâneos trazem velocidade na transferência
de fundos e atendem às necessidades de consumidores e empresas, promovendo
competitividade e interoperabilidade global. Por outro lado, os pagamentos instantâneos são
propensos a novos riscos operacionais, o que exigirá mitigações mais recentes, mais rápidas e
mais eficientes, além das camadas de proteção contra fraudes adaptáveis e em tempo real
(OLIVEIRA, 2022).
Buscou-se saber: quais são os riscos relacionados à operacionalização do PIX na
forma como ele ocorre de forma operacional e seu sistema de segurança.
O objetivo geral deste artigo é analisar quais são os principais riscos vinculados aos
pagamentos instantâneos via PIX no Brasil, considerando os moldes como ele ocorre. Os
objetivos específicos foram assim definidos: demonstrar a importância da tecnologia como
meio que propicia a agilidade e segurança dos pagamentos; e, discutir quais são os riscos que
o pagamento instantâneo via PIX, no escopo que ocorre no Brasil, podem trazer aos usuários.
A realização desse estudo se justifica diante da possibilidade de aprofundar o
conhecimento sobre um sistema de pagamento instantâneo que ainda é recente no Brasil,
como esclarece Turczyn (2020), introduzida para substituir ou integrar sistemas de pagamento
legados deve ser robusta e eficaz, adaptável e escalável para acompanhar as tecnologias
futuras sem esquecer-se de encontrar o equilíbrio certo entre eficiência e segurança.
Trata-se de um tema de grande relevância para a população brasileira como um todo,
pois, os pagamentos instantâneos podem proporcionar satisfação imediata ao cliente, mas
também fraude instantânea. Ao contrário de outros tipos de fraude, a recuperação de dinheiro
por fraude instantânea é impossível. Os clientes não têm chance de perceber o que está
acontecendo para cancelar a transação antes que seja tarde demais.
Segundo Vergara (2014) a pesquisa bibliográfica é essencial a toda e qualquer estudo
científico e conta com um levantamento de fontes confiáveis sobre um tópico, frequentemente
usado em dissertações, teses e trabalhos de pesquisa. Malhotra (2001) explica sobre a análise
empírica se referir a análise empírica é uma abordagem baseada em evidências para o estudo e
3
4
De acordo com o Manual de Segurança do BCB (2020) a comunicação entre cada PSP
e o PIX é realizada por meio da Rede do Sistema Financeiro Nacional (RSFN). A conexão do
PSP com a RSFN deve observar as regras e padrões dispostos no Manual de Redes do SFN3.
Ainda de acordo com Manual o PSP deve se conectar às APIs disponíveis no PIX
exclusivamente por meio do protocolo HTTP versão 1.1 utilizando criptografia TLS versão
1.2 ou superior, com autenticação mútua obrigatória no estabelecimento da conexão. Deve ser
suportada, no mínimo, a Cipher Suite ECDHE-RSA-AES-128-GCM-SHA256 (0xc02f), ou
seja, os seguintes algoritmos devem ser utilizados.
Fase/Função Algoritmo
Troca de chaves ECDHE (Elliptic Curve Diffie Hellman
Ephemeral)
Autenticação RSA
Tanto o servidor (Banco Central) como o cliente (PSP) devem utilizar certificados
ICP-Brasil no padrão SPB. Mais informações sobre certificados constam na seção 1.3 deste
documento.
Os clientes HTTP do PSP devem sempre respeitar o TTL (Time To Live) dos
servidores DNS. A falha em respeitar o TTL pode causar indisponibilidade no acesso às APIs
do PIX.
Tabela 2: Elementos que compõem a assinatura digital no PIX. (fonte: Manual BCB, 2020).
7
Tabela 3: Elementos <Reference> utilizados no SPI, bem como as transformações realizadas. (fonte: Manual
BCB, 2020).
Observação: no SPI, a tag <Reference>, sem o atributo URI, deve ser interpretada
pela aplicação de forma a referenciar a mensagem ISO 20.022 propriamente ditas (elemento
<Document>).
Já no caso do DICT, é necessário assinar o conteúdo do elemento raiz do XML e do
<KeyInfo>, o que resulta na utilização de apenas 2 tags <Reference>, conforme mostrado na
tabela abaixo:
to-KeyInfo> to-KeyInfo”>
(...................)
</KeyInfo>
Tabela 4: Elementos <Reference> utilizados no DICT, bem como as transformações realizadas. (fonte:
Manual BCB, 2020).
Observação: ressalta-se que, no caso do DICT, a tag <Reference URI =””> aponta para a
raiz do XML, diferentemente do que ocorre no SPI.
Figura 1 – Fluxo de assinatura digital da mensagem no SPI (fonte: Manual BCB, 2020).
10
<Envelope xmlns="pacs.008.spi.1.0.xsd">
<AppHdr>
(...)
<Sgntr>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
<ds:Reference URI="#b2177f73-7685-39ac-83db-fa00ffd2b89c">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
<ds:DigestValue>zqj93e6vEFVL2Pssc9nUdPweSYVxUadBaTebSuaCG0Izqj93e6vEFVL2P
ssc9nUdPweSYVxUadBaTebSuaCG0I=</ds:DigestValue>
</ds:Reference>
<ds:Reference URI="">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
<ds:DigestValue>LrZoVaudkSbJbCM8/s0QT7ejlPGNVHt0uaT/HrCoZX8=</
ds:DigestValue>
</ds:Reference>
<ds:Reference>
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
<ds:DigestValue>xaYzMm+MbzWxgpZyRPUTa7X6mFQ6bn5EAccCtcXOOEc=</
ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>z2rH67+Rv3ofKoGkrufiUXSgLO3DxqblwuaTbR5qbyYHnVrOPB5su3
wwAJoAPNEW5Lr
Sh9pD3ECq4nrRd7UDHi9cmSalr42zKPvpwvVPZTgQkGTyvyQAFCUCnfhpj/qalU1fIfw0Ie
60WTsqHnAY/sUXn6HIBdHtJ/
Vd7ZuWB8elCd09DE3MlV9gTqN7KCgEEvw+y0KvODme1SXngVKNA//
udA4nhpsUCqDQpCmNzUXDG9yWiziSL4fXE/IQ1frgoglw/
IZkZ1Emc4VdNJd+q4U3HJBThHeMj1fYtucLS/JZi+urbAIolIwpYldGgmd/
sEEKe0gE9cMWryjsSVBnxg==
</ds:SignatureValue>
<ds:KeyInfo Id="b2177f73-7685-39ac-83db-fa00ffd2b89c">
<ds:X509Data>
<ds:X509IssuerSerial>
<ds:X509IssuerName>CN=SPI - Banco Central do Brasil</ds:X509IssuerName>
11
<ds:X509SerialNumber>17649420304715376549</ds:X509SerialNumber>
</ds:X509IssuerSerial>
</ds:X509Data>
</ds:KeyInfo>
</ds:Signature>
</Sgntr>
</AppHdr>
<Document>
(...)
</Document>
</Envelope>
No DICT, por sua vez, o processo de assinatura digital inclui os passos abaixo:
1. Obter o conteúdo do elemento raiz do XML a ser assinado;
2. Construir o elemento <KeyInfo>, incluindo as informações sobre o certificado
digital utilizado na assinatura, conforme item 1.2 e subitens da tabela 2;
3. No elemento <SignedInfo>, definir o algoritmo de canonicalização e de assinatura
digital a serem utilizados, conforme itens 1.1.1 e 1.1.2 da tabela 2;
4. Criar os elementos <Reference>, incluindo as tags <Transforms> e <Transform>
conforme tabela 4 e item 1.1.3 e subitens da tabela 2;
5. Efetuar as transformações nos conteúdos, conforme tabela 4;
6. Gerar os digests para os conteúdos referenciados nos itens acima, incluindo-os nos
respectivos elementos <DigestValue>;
7. Canonicalizar o elemento <SignedInfo> e assiná-lo digitalmente conforme
algoritmos definidos no passo 3 acima;
8. Inserir a assinatura digital gerada no passo anterior no elemento <SignatureValue>.
A figura na página a seguir ilustra o processo de assinatura no DICT:
12
Figura 3 – Fluxo de verificação da assinatura digital da mensagem no SPI. (fonte: Manual BCB, 2020).
15
Figura 4 – Fluxo de verificação da assinatura digital no DICT. (fonte: Manual BCB, 2020).
17
Esta seção apresenta os detalhes a respeito dos tipos de certificados a serem utilizados
e descreve o processo de ativação, desativação e de verificação da revogação de certificados.
Tanto para autenticação e criptografia da conexão com as APIs do PIX como para
assinatura digital das mensagens, devem ser utilizados certificados digitais ICP-Brasil no
padrão SPB. As especificações para a geração desse tipo de certificado constam nas seções
4.2, 4.3 e 4.4 (subitens 4.4.1 a 4.4.5, 4.4.15e 4.4.16) do Manual de Segurança do SFN10.
Recomenda-se que cada instituição utilize certificados distintos, exclusivos para cada
finalidade.
Nos sites que hospedam URLs de QR Codes dinâmicos gerados pelo recebedor, não
será necessário que o certificado seja padrão SPB, conforme detalhado na seção 1.4 a seguir.
As instituições participantes devem possuir processos adequados de gestão (geração, guarda,
ativação e revogação) dos seus certificados digitais utilizados no âmbito do PIX. Nesse
contexto, recomenda-se a utilização de dispositivos de criptografia baseados em hardware
(HSMs) para armazenamento das chaves privadas dos certificados.
Poderão estar ativos simultaneamente múltiplos certificados por instituição – 1 ou
mais certificados para autenticação e criptografia da conexão e 1 ou mais certificados para
assinatura digital. O mesmo se aplica aos certificados do BC.
Para ativar um novo certificado digital, os PSPs devem enviá-lo por meio do Sistema
de Transferência de Arquivos (STA)11, seguindo os códigos/nomes de arquivo abaixo:
• alg (Algorithm):
Define o algoritmo de assinatura digital utilizado.
o Valores proibidos: HS* (relacionados a HMAC) e none.
o Valores permitidos: RS256 ou superior e ES256 ou superior.
o Valores recomendados: PS256 ou PS512.
• x5t (X.509 Certificate SHA-1 Thumbprint):
Consiste no thumbprint, codificado em Base64url, do certificado que corresponde à
chave privada utilizada para assinatura do JWS.
• jku (JWK Set URL):
Define a URL onde consta um conjunto de chaves no formato JSON (JWK Set26).
o A URL deve estar hospedada no mesmo site/domínio associado ao certificado
CERTPIQ ativado conforme descrito na seção 1.4.2.
• kid (Key ID):
Identificador da chave a ser utilizada para validar a assinatura digital, dentre as chaves
presentes no JWK Set acessado por meio da URL definida no parâmetro jku.
O JWK Set disponível na URL acima deve incluir o parâmetro keys, cujo valor consiste
em uma ou mais chaves no padrão JWK, conforme definido na RFC 7517. A estrutura JWK,
por sua vez, deve incluir no mínimo os parâmetros abaixo:
• kty (Key Type):
Define o algoritmo criptográfico da chave.
o Deve ser RSA ou EC.
• key_ops (Key Operations):
Identifica a operação para a qual a chave deve ser utilizada.
o Deve ser sempre verify, pois a chave será usada para verificar a assinatura digital do
JWS.
• kid (Key ID):
Identificador único da chave no JWK Set.
• x5t (X.509 Certificate SHA-1 Thumbprint):
Consiste no thumbprint, codificado em Base64url, do certificado que corresponde à
chave privada utilizada para assinatura do JWS.
• x5c (X.509 Certificate Chain):
Especifica o certificado digital X.509 – incluindo a chave pública que corresponde à
chave privada utilizada na assinatura digital – e sua respectiva cadeia.
24
site associado a QR Codes dinâmicos. Tal diretório pode conter, por exemplo, um documento
host-meta28 que especifique as URLs dos seus JWK Sets (parâmetro jku do JWS). Assim, os
demais PSPs conseguirão programar seus aplicativos para carregar previamente os JWK Sets
de determinado PSP, de forma a agilizar o processamento de transações via QR Codes
dinâmicos quando o recebedor for aquele PSP.
Por fim, para garantir o não repúdio das transações efetuadas por meio de QR Codes
dinâmicos, recomenda-se que os PSPs mantenham registros históricos das transações
efetuadas, incluindo as respectivas estruturas JWS, certificados e chaves públicas relacionados
a cada transação.
Segundo explica Turczyn (2020), o Pix, embora tenha mais funcionalidades, como Pix
Troco (receber trocos após compras), Pix Saque (saque em dinheiro), em geral, possibilita
transferências entre contas bancárias em segundos, a qualquer hora ou dia. É considerado um
meio prático, rápido, seguro e gratuito para as pessoas, além de possibilitar a
interoperabilidade de todas as carteiras que utilizam QR Codes. O autor explica que as
transferências e pagamentos são permitidos de uma carteira eletrônica para outra em tempo
real, 24 horas por dia, 7 dias por semana.
Com pagamentos instantâneos, se pode enviar e receber pagamentos eletrônicos a
qualquer hora e em qualquer lugar. Em alguns países, já se pode enviar pagamentos
instantâneos via celular, proporcionando a mesma experiência em termos de rapidez e
conveniência que com dinheiro, por exemplo, ao compartilhar uma conta de jantar com
colegas ou emprestar algum dinheiro a um amigo ou parente.
Existem alguns malwares que não têm o objetivo de provocar danos ao computado.
Um exemplo seria vírus benignos, os quais têm a intenção de apenas mostrar uma mensagem
no sistema em determinado dia lembrando uma atualização ou algum programa que não está
sendo executado (BARROS, 2003).
Em oposição, existem os vírus malignos que infligem danos ao sistema. Segundo o
artigo publicado pela UOL (UOL, 2013) um vírus maligno pode deixar o sistema lento, tendo
a necessidade de uma formatação, pode causar também vulnerabilidade ou roubo
informações.
Segundo o artigo publicado no site da Cartilha, alguns tipos de malwares são: Spam e
Phishing: O termo spam é utilizado para referenciar o recebimento de uma mensagem não
solicitada, que geralmente tem o caráter de fazer propaganda de algum produto ou assunto não
30
desejado. (MELO et al. 2011, p.4). Esses malwares normalmente são utilizados para pescar
informações de usuários da Internet, constituindo-se um ataque que tem como objetivo efetuar
algum ilícito através do envio de mensagem não solicitada.
Backdoor: Aparecem escondidos em arquivos baixados ou em E-mails. Quando o
usuário executa o arquivo, ele libera o vírus, que abre uma porta para o invasor e desse modo
ele pode controlar a máquina infectada.
Keylogger: Tem como principal objetivo capturar todas as informações que são digitas
no computador pelo usuário. Ele faz uma coleta de dados e as informações são enviadas
diretamente ao invasor, assim, é possível que ele colete dados pessoais como senhas de redes
sociais, e-mail e cartões de crédito (MELO et al., 2011).
Ramsomware: Bastante conhecido por ser um dos piores tipos de vírus da atualidade,
o ataque executado por essa aplicação pode causar grandes prejuízos a empresas que podem ir
de perda de dados a valores financeiros (MELO et al., 2011).
Trojan: Bastante conhecido também como Cavalo de Tróia, é listado entre as ameaças
mais perigosas da rede de computadores. São geralmente aplicativos simples que escondem
funcionalidades maliciosas e alteram o sistema para permitir ataques posteriores.
3.3. PREVENÇÃO
O que deve ser feito para se prevenir dos vírus é sempre uma questão importante a ser
abordada. Mesmo com a utilização de um antivírus no sistema, ainda é possível um vírus
infectar a sua máquina e dar uma imensa dor de cabeça, existem algumas formas de se
prevenir, tais como, conforme a Cartilha de Segurança para a Internet. Fazer downloads em
sites confiáveis: O ideal é sempre fazer downloads em sites confiáveis que já possuem uma
equipe para testar programas e verificar a existência de vírus (BARROS, 2003).
Mantendo o Sistema Operacional e programas atualizados: Muitos programas de
computador, inclusive o Sistema Operacional possuem falhas que a cada atualização elas
aplicam uma correção, e ao manter o sistema desatualizado o usuário abre brecha para
programas se aproveitarem da falta de atualizações e infectarem o sistema. Cuidado ao
conectar PenDrives: Vírus também são espalhados via PenDrive, que, quando a pessoa coloca
seu PenDrive lá, certamente será infectado e essa pode ser a brecha que o invasor precisa para
ter acesso ao sistema. Utilizando um Antivírus: Existem vários tipos de Antivírus no mercado
e todos eles têm a mesma funcionalidade, a utilização de um antivírus é um dos principais
passos para quem deseja proteger a sua máquina.
31
Segundo Sampaio (2023) um novo malware (um tipo de vírus), que se instala em
celulares Android, tem atacado clientes dos principais bancos brasileiros, como Bradesco,
Caixa, Itaú e Nubank — e até a corretora de criptoativos Binance. Ele intercepta
transferências via Pix feitas pelos aplicativos das instituições financeiras e altera quem vai
receber o dinheiro e até o valor enviado.
Ainda segundo o autor o BrasDex foi descoberto pela empresa de cibersegurança
Threat Fabric em dezembro, quando já havia atacado mais de mil pessoas, gerando prejuízos
de centenas de milhares de reais (o valor exato não foi revelado). O malware não explora
nenhuma falha do Pix ou dos aplicativos das empresas em si, mas sim erros do próprio
usuário — que autoriza a instalação do vírus voluntariamente e dá total acesso ao aparelho —,
além de brechas de segurança do sistema operacional Android.
Bispo (2023) explica que o malware fica “adormecido” no celular infectado,
esperando a vítima abrir o aplicativo de algum banco. Quando isso ocorre, automaticamente
o BrasDex lê as informações do app, como saldo e número da conta, e aguarda por uma
transferência. Se a pessoa for fazer um Pix, o vírus entra em ação e coloca uma tela por cima
do app do banco, muito parecida com a verdadeira, enquanto altera os dados da transação. Se
a pessoa digitar a sua senha para concluir o Pix, o dinheiro irá direto para o golpista.
Segundo a empresa de cibersegurança, o malware (uma abreviação de “malicious
software”, ou software malicioso em tradução livre) pode interceptar transferências dos
seguintes bancos:
1. Banco do Brasil
2. Banco Original
3. Binance
4. Bradesco
5. Caixa Econômica Federal
6. Inter
7. Itaú
8. Nubank
9. PicPay
10. Santander Brasil
32
“Olhando sob o ponto de vista de prevenção à fraude, a pessoa [que fez o Pix] estava
em uma geolocalização conhecida. Ela reconheceu a transação e colocou a senha. Tudo o que
o banco poderia observar, do ponto de vista do usuário, ele fez”, afirma Fernando Guariento,
líder de professional services da AllowMe (startup que é uma plataforma de prevenção à
fraude), sobre o papel das instituições em tentar combater o golpe.
O BrasDex explora duas falhas do usuário, afirma Guariento. Bispo, da Accenture,
também destaca problemas de segurança do sistema operacional Android, que é da Alphabet
— dona do Google (GOGL34). Não há relatos, até o momento, do vírus no sistema iOS, da
Apple (AAPL34).
O especialista diz que, além de a vítima baixar o aplicativo infectado (que vai instalar
o BrasDex no celular), ela também dá autorização para o malware fazer absolutamente tudo
no aparelho. Apesar disso, o vírus fica “adormecido”, esperando uma transação, porque o seu
único propósito é desviar as transferências. Ele então precisa de mais uma “cooperação” da
vítima: ela acessar o app do banco com a biometria e confirmar a transação com a senha, por
exemplo.
“Os celulares têm proteções que mesmo o consentimento total não dá acesso, Mesmo
com o consentimento total do usuário, por exemplo, eu não consigo acessar a área reservada
do celular onde fica a biometria. É um cofre virtual onde as informações estão guardadas.
Nem o banco consegue acessar isso”, afirma Guariento, sobre a necessidade de o golpe
precisar da “ajuda” do usuário. “A senha do banco também fica em uma área restrita”.
Sobre o aplicativo pedir acesso irrestrito ao aparelho, o especialista da AllowMe faz
uma analogia com a vida real. “Ele pede acesso completo ao celular. É como se uma pessoa
batesse na porta da sua casa e pedisse pra entrar, pegar sua chave e pegar as suas senhas do
banco, argumentando que ‘só precisa disso para você ganhar dinheiro fácil’. Muitas vezes a
pessoa não para para pensar no que está fazendo”.
Segundo os especialistas, o vírus explora o Pix pela sua velocidade de transação e
porque não é possível desfazer uma transferência. Além disso, até a vítima perceber que caiu
em um golpe e avisar o banco — e a instituição tentar recuperar o dinheiro —, o valor já vai
ter sido transferido da conta “laranja” para outras contas, praticamente inviabilizando o seu
rastreio.
33
5. Considerações finais
6. Referências bibliográficas
AMORIM, P. PIX lidera ranking de transações após 3 meses de sua criação no mercado.
Disponível em: https://fdr.com.br/2022/02/16/pix-lidera-ranking-de-transacoesapos-3-meses-
de-sua-criacao-no- Acesso em: 20 de março de 2023.
ANDRION, Roseli. Quais são os maiores riscos ao usar o Pix? Confira os principais
perigos. Disponível em: Acesso em: https://canaltech.com.br/seguranca/quais-os-maiores-
riscos-ao-usar-pix-190334/. Acesso em: 20 de março de 2023.
BALSANELLI, Pedro. Entenda o que é e como vai funcionar o PIX. 2022. Disponível em:
https://www.balsanelli.com.br/noticias/detalhe/receita-fiscalizara-transferencias-pelo-pix-a-
fim-de-identificar-transacoes-irregularesAcesso em: 21 de março de 2023.
FIGUEIRO, Pedro. Para evitar roubos Pix tem novas regras; tire suas dúvidas Limite de
transações entre pessoas físicas à noite caiu para R$ 1 mil para aumentar segurança e evitar
sequestros. 2021. Disponível em: https://correiodoestado.com.br/cidades/para-evitar-roubos-
pix-tera-novas-regras-tire-suas-duvidas/390306. Acesso em: 21 de março de 2023.
KIMELBLAT, Pedro Frisch Rozes. Lançamento do PIX: Uma análise acerca das
perspectivas de sucesso do Sistema de Pagamentos Instantâneos Brasileiro. Monografia
apresentada a Pontifícia Universidade Católica do Rio de Janeiro ao Departamento de
Economia, 2020.
LOBO, B. Opção de desfazer PIX em caso de suspeita de fraude será lançada até o fim
deste ano Entrevista. 2021. Disponível em:
https://www.opovo.com.br/noticias/economia/2021/05/25/opcao-de-desfazer-pix-em-caso-de-
suspeita-de-fraude-sera-lancada-ate-o-fim-deste-ano.html. Acesso em: 22 de março de 2023.
Novo vírus intercepta transferências via Pix e altera valor e destinatário; veja como funciona.
Disponível em: https://www.infomoney.com.br/minhas-financas/novo-virus-intercepta-
transferencias-via-pix-e-altera-valor-e-destinatario-veja-como-funciona/. Acessado em
23 de março de 2023.
OLIVEIRA, Raquel. BC anuncia o vazamento de dados de 160 mil chaves PIX. 2022.
Disponível em: https://diariodocomercio.com.br/legislacao/bc-anuncia-o-vazamento-de-
dados-de-160-mil-chaves-pix/.Acesso em: 22 de março de 2023.