A partir de hoje, transferências e pagamentos feitos por pessoas físicas entre as 20h e as 6h terão limite de R$ 1 mil. A medida foi aprovada pelo Banco Central em setembro, com o objetivo de coibir os casos de fraudes, sequestros e roubos noturnos.
As contas de pessoas jurídicas não foram afetadas pelas novas regras. A restrição vale tanto para transações por PIX, sistema de pagamento instantâneo, quanto para outros meios de pagamento, como transferências intrabancárias, via Transferência Eletrônica Disponível (TED) e Documento de Ordem de Crédito (DOC), pagamentos de boletos e compras com cartões de débitos.
O cliente poderá alterar os limites das transações por meio dos canais de atendimento eletrônico das instituições financeiras. No entanto, os aumentos serão efetivados de 24 horas a 48 horas após o pedido, em vez de ser concedidos instantaneamente, como era feito por alguns bancos.
As instituições financeiras também devem oferecer aos clientes a possibilidade de definir limites distintos de movimentação no PIX durante o dia e a noite, permitindo limites mais baixos no período noturno. Ainda será permitido o cadastramento prévio de contas que poderão receber PIX acima dos limites estabelecidos, mantendo os limites baixos para as demais transações.
Na semana passada, o BC estabeleceu medidas adicionais de segurança para o sistema instantâneo de pagamentos, que entrarão em vigor em 16 de novembro. Uma delas é o bloqueio do recebimento de transferências via PIX a pessoas físicas por até 72 horas, caso haja suspeita de que a conta beneficiada seja usada para fraudes.
Além disso, estudo da Check Point Research (CPR) detectou ataques cibernéticos contra os usuários do PIX, serviço de pagamento instantâneo criado e gerenciado pelo Banco Central do Brasil. Os atacantes distribuíram duas variantes diferentes de malware bancário, chamados PIXStealer e MalRhino, por meio de dois aplicativos maliciosos separados na Play Store do Google para realizar seus ataques (os quais não estão mais disponíveis na loja). Ambos os aplicativos maliciosos foram projetados para roubar dinheiro das vítimas por meio da interação do usuário e do aplicativo bancário para transferência de valores via PIX.
O PIX é considerado o serviço de pagamento número um no Brasil, processando mais de 40 milhões de transações por dia e movimentando R$ 24,8 bilhões (US$ 4,7 bilhões) por semana.
A Check Point Research (CPR) descobriu recentemente uma nova onda de aplicativos Android maliciosos voltados para ciberataques que realizam transferências de saldos via PIX e aplicativos de bancos brasileiros. Esses aplicativos maliciosos são uma evolução de uma conhecida família de malware bancário brasileiro e que já foram distribuídos na Google Play Store. Os pesquisadores de segurança analisaram os aplicativos maliciosos em abril de 2021 e encontraram uma extensão para novas técnicas e recursos. Uma das versões encontradas de malware, apelidada de PIXStealer, contém uma funcionalidade nunca antes vista que permite roubar o dinheiro das vítimas usando transações PIX.
Nessa variante PIXStealer, apresentada pela CPR como forma “leve” de malware, os atacantes projetaram o PIXStealer com apenas um recurso: transferir os fundos da vítima para uma conta controlada pelo atacante. A apresentação “leve” do PIXStealer é uma referência à capacidade da variante de operar sem conexão com um servidor de comando e controle (C&C), promovendo a capacidade de passar despercebido. Por fim, a CPR descobriu que o PIXStealer estava sendo distribuído na Google Play Store como um falso serviço PagBank Cashback, visando apenas o PagBank brasileiro.
Quando um usuário abre seu aplicativo de banco para acessar o PIX, o PIXStealer mostra à vítima uma janela de sobreposição, na qual o usuário não pode ver os movimentos do atacante. Atrás da janela de sobreposição, o atacante recupera a quantidade de dinheiro disponível e o transfere, geralmente o saldo inteiro daquela conta para uma outra conta.
A CPR também identificou uma variante de malware bancário mais avançada, capaz de sequestrar todo o aplicativo móvel com PIX e outros aplicativos bancários. Chamado de MalRhino, a CPR encontrou essa variante em um aplicativo falso do iToken para o Banco Inter brasileiro e que também era distribuído pela Play Store. O MalRhino exibe uma mensagem para sua vítima tentando convencê-la a conceder permissão de acessibilidade. Uma vez concedida, o MalRhino poderia coletar o aplicativo instalado e enviar a lista para o servidor C&C com as informações do dispositivo da vítima; executar aplicativos de bancos; e recuperar o pin do aplicativo Nubank.
Com informações da Agência Brasil
Leia também:
Aumentos nos preços do diesel agravam crise no transporte público
