Logo E-Commerce Brasil

Golpe do Pix mira empresas por meio de falso fornecedor

O aumento do uso do Pix pelos consumidores tem chamado a atenção de criminosos, que se reinventam dia após dia para aplicar golpes. Agora, a nova investida, descoberta pela AllowMe, empresa especializada em proteção de identidades digitais e prevenção a fraudes cibernéticas, tem como foco as empresas e se tornado conhecida no mercado como “golpe do falso fornecedor“.

Esta prática começou a ser vista com mais intensidade nas últimas semanas e combina engenharia social à falha humana no processo corporativo de pagamentos de fornecedores. As principais vítimas são empresas de pequeno porte, mas o valor destas fraudes ainda é incerto: cada tentativa bem-sucedida pode causar danos de R$ 10 a até R$ 10 mil às corporações.

Como funciona a fraude

No golpe do falso fornecedor, estelionatários abrem contas de Pessoa Jurídica (PJ) em bancos digitais em nome de empresas falsas, mas com nomes similares a corporações já conhecidas (prática conhecida como semelhança semântica, em que geralmente uma letra é trocada ou “dobrada”, de maneira a confundir a vítima).

Com a conta aberta, os criminosos entram em contato com a empresa que será vítima do golpe. Eles se passam por fornecedores daquela corporação, informam que houve uma alteração nos processos de pagamentos via Pix e solicitam uma transferência de confirmação ou de teste para cadastro. Com a transação realizada o golpe é consumado.

“Os fraudadores podem ter acesso à lista de fornecedores de várias maneiras: por vazamento de dados na internet, por informações internas ou até mesmo entrando no site da empresa e vendo um selo no rodapé da página. Há casos em que os criminosos solicitam no contato o valor exato da fatura do contrato entre as empresas”, destaca Ranier Aquino, analista de segurança da informação do AllowMe.

Segundo o especialista digital, o foco deste tipo de golpe são empresas com processos menos rígidos de pagamento de fornecedores e com menos camadas de aprovação. Além disso, para que a prática dos criminosos tenha êxito, é necessária uma dose de desatenção por parte das pessoas encarregadas de realizarem as transferências financeiras, uma vez que o Pix exibe uma tela de confirmação com nome da empresa destinatária, CNPJ e banco.

Como se prevenir

Há duas etapas em que é possível detectar e mitigar esta prática criminosa. A primeira envolve os bancos digitais, as fintechs ou as empresas de pagamento onde os estelionatários criam as contas empresariais de fachada para receberem o Pix.

“Um criminoso pode abrir uma série de contas corporativas, pois os processos cada vez são mais fáceis e não é ilegal você abrir um MEI (microempreendedor individual). No entanto, há algumas características que podem ajudar a barrar esta abertura em massa, como por exemplo olhar para os dispositivos (computadores ou smartphones) utilizados pelos estelionatários: certamente haveria um comportamento suspeito de várias contas serem abertas a partir de um número limitado de aparelhos, ou em um determinado raio de localização”, sugere Ranier.

O segundo elo possível de prevenir este tipo de golpe são as empresas que recebem a investida dos fraudadores. Para esta etapa, o especialista do AllowMe listou 10 importantes dicas que são capazes de evitar cair em um golpe:

• Não confiar em contatos desconhecidos, por mais que se passem por fornecedores;

• Faça contato com o fornecedor em números/e-mails seguros e comumente utilizados;

• Verifique os dados do destinatário do Pix;

• Independentemente de o valor solicitado condizer com faturas pagas anteriormente, sempre consulte a pessoa responsável por administrar aquele contrato;

• Caso o solicitante insista no pagamento ou peça para não encerrar a ligação, desconfie;

• Atente-se: o Pix não necessita de transações de ativação;

• Fornecedores nunca realizam alteração de dados bancários/recebimento por telefone sem formalização;

• Não informe dados pessoais e comerciais;

• Não confirme informações sigilosas entre a empresa e fornecedor (valor de fatura, serviços contratados, etc);

• Por mais que o solicitante confirme todos os dados da empresa, não realize transações sem a formalização por canais seguros.