PIX: saiba os riscos de cadastrar o mesmo e-mail em várias chaves

Disponível desde  novembro de 2020, o PIX se consolidou como um dos principais meios de pagamento no Brasil e facilitou a experiência de uma transferência bancária. 

Desde então, basta o usuário cadastrar uma chave — que podem ser o endereço de e-mail, CPF ou CNPJ, telefone ou o QR Code com o Endereço Virtual de Pagamento (EVP) — junto ao banco ou instituição financeira que desejar a pessoa já está apta a receber pagamentos e transferências 24 horas por dia, 7 dias por semana. 

Tudo isso já é um grande facilitador de uso para o PIX, mas alguns usuários tentaram tornar essa experiência ainda mais prática, cadastrando o mesmo e-mail para gerar várias chaves diferentes. Tudo isso graças a um fator chamado “alias”, que explicaremos mais adiante. 

Chaves PIX: dá pra cadastrar o mesmo e-mail em várias contas bancárias?

A princípio, não. Cada chave é exclusiva e deverá ser cadastrada em apenas um banco ou instituição – afinal, com o PIX, você não precisa informar o banco de destino ao fazer uma transferência, apenas a chave. 

Porém, alguns usuários já acharam uma maneira de cadastrar o mesmo endereço de e-mail em instituições bancárias diferentes utilizando os domínios do Gmail, iCloud Mail e Outlook (Hotmail). Esta descoberta parece bastante engenhosa, mas pode ter em si um risco embutido, facilitando ou servindo de incentivo para alguns fraudadores. 

Criar chaves de e-mail com “alias” 

Alguns sistemas de e-mail permitem o uso de “alias”: um complemento alternativo ao nome de usuário, permitindo a diversificação daquele endereço. No Gmail, por exemplo, é possível criar um “alias” usando o sinal de “+”: o sistema vai entender que o que vier antes do símbolo de adição é o endereço original, e o restante é o complemento.

Pouco depois do lançamento do PIX, circulou na internet uma dica sugerindo o uso de alias para cadastrar o mesmo endereço de e-mail no PIX. E usuários passaram a criar e-mails como usuário+banco@ e usuário+carteiradigital…

Na prática, o usuário estará utilizando chaves PIX diferentes para instituições diferentes, no entanto o e-mail e toda camada de segurança estará concentrada sob um mesmo e-mail/conta, onde todas as notificações de transferências PIX e segurança serão recebidas. 

Utilizar o mesmo e-mail e vários “alias” para instituições diferentes pode não ser uma boa ideia em termos de segurança

O e-mail foi criado, inicialmente, para ser um serviço apenas para troca de mensagens. A partir do momento que passamos a usá-lo para o PIX, acontece uma mudança de cenário, e este endereço passa a ter muito mais valor – afinal, ele se tornou uma chave (endereço) para receber quantias de dinheiro. 

Tal ponto pode ser considerado um incentivo para fraudadores tentarem tomar o acesso  daquela conta – especialmente se um único e-mail contendo vários “alias” diretamente ligados passa a receber uma volumetria grande de dinheiro. Com isso, um vazamento da conta principal se torna um prato cheio para que fraudadores passem a fazer investidas diretas contra essas contas e respectivos “alias”, visando a obter o bônus financeiro que é direcionado para este endereço (ou conjunto de endereços ligados à mesma conta).  

Vamos supor que a senha do e-mail vaze por algum motivo, ou mesmo que o fraudador consiga acesso ao e-mail através de algum ataque de engenharia social. De posse de um e-mail, um criminoso pode, então, fazer uma busca e tentar logar com a conta (fazendo um takeover) e passar a entender se aquela conta já está cadastrada para o PIX e se tem “alias” em algum banco específico. 

Caso o e-mail possua “alias” ou esteja sendo usado para um ou mais bancos, isso passa a ser ainda mais interessante para o fraudador, especialmente se houver um grande volume de recebimento nesta chave. 

Imagine que esta conta tem um alias para determinado banco. Só o fato de na chave já ter o nome ou referência a um banco isso já facilita para que o fraudador passe a ter uma noção de outras informações sobre a instituição em questão, e também suas possíveis fragilidades. 

Este cenário facilita os próximos passos da investida – mesmo que em relação a engenharia social, prática muito explorada no Brasil -, e o criminoso pode descobrir a melhor forma de conseguir mais informações para concretizar um cenário de fraude. De posse das informações, o fraudador tentaria seguir em frente buscando explorar as fragilidades encontradas, pelas  vulnerabilidades técnicas, de processo ou mesmo falhas de implementação. 

O possível resultado? O fraudador poderia conseguir transferir a chave para outro banco onde este usuário não tenha mais entrada e bloquear o acesso à conta de e-mail. 

Dado um volume de dinheiro recebido e da perda da posse do e-mail frente ao bônus que o fraudador terá, só restará para vítima tentar recuperar a posse da chave o mais rápido possível – ou, então, pedir a cada um dos seus pagadores que parem de enviar dinheiro usando um e-mail que foi comprometido para aquela chave. 

O potencial de ataques é considerável e o impacto pode ser grande. E, se o e-mail tivesse sido utilizado corretamente (e com menos exposição), as possibilidades e interesses para este tipo de ataque seriam menores – ou pelo menos minimamente mais contidos e mais complexos de se conseguir sucesso. 

A melhor maneira de evitar fraudes no PIX: fique de olho nos dispositivos móveis e cuide bem de suas chaves

Divulgar o número do telefone ou o endereço de e-mail, até pouco tempo atrás, não oferecia um risco bancário imediato. Este cenário muda com a chegada do PIX e a nova forma de fazer pagamentos e transferências, já que isso vai possibilitar uma maior facilidade nas transações financeiras e alavancar novos negócios.

Independente da segurança do ecossistema PIX, os fraudadores se adaptarão e consequentemente adaptarão suas ferramentas para este novo cenário. Com isso, novos vetores de ataque certamente surgirão, e caberá às instituições financeiras, responsáveis pela autenticação de usuários e validação de chaves de endereçamento, investir em soluções de segurança, bem como na conscientização e orientação de seus usuários sobre possíveis má práticas.

Os dispositivos móveis são peças centrais nesta nova realidade do PIX, já que as transações financeiras serão feitas a partir de telefones celulares. Camadas de proteção terão que ser obrigatoriamente implementadas nos processos de onboarding, troca de aparelho, atualização cadastral, recuperação de contas, acesso entre outros que são pontos de investida de fraudadores para invasão de contas.

É neste cenário que se destaca o AllowMe e nossa expertise em verificar o comportamento de devices. A solução pode contribuir com a validação e gerenciamento de identidade digital, tornando as transações do PIX mais simples e seguras e, ao mesmo tempo, ajudando a detectar comportamentos anômalos que possam vir a ser utilizados para comprometer a identidade de usuários e relações entre instituições financeiras e seus clientes.

Para entender como podemos te ajudar, entre em contato com um de nossos especialistas!