A “má prática” consiste na criação de alias de e-mail, permitindo que o mesmo endereço seja utilizado para infinitas chaves. Porém, este atalho pode esconder  ameaças para usuários do PIX

Começou! O PIX, novo sistema de pagamentos instantâneos brasileiro, está oficialmente disponível desde 16 de novembro. A nova modalidade, desenvolvida pelo Banco Central, chega como uma alternativa aos já tradicionais DOCs e TEDs e promete facilitar e muito a experiência de uma transferência bancária. 

Agora, basta o usuário cadastrar uma chave — que podem ser o endereço de e-mail, CPF ou CNPJ, telefone ou o QR Code com o Endereço Virtual de Pagamento (EVP) — junto ao banco ou instituição financeira que desejar e pronto: a pessoa já está apta a receber pagamentos e transferências 24 horas por dia, 7 dias por semana, em até 10 segundos. 

Tudo isso já é um grande facilitador de uso para o PIX, mas alguns usuários tentaram tornar essa experiência ainda mais prática, cadastrando a mesma chave em diferentes contas bancárias. Quer dizer… as chaves são diferentes na teoria, mas na prática não: o mesmo e-mail pode gerar várias chaves diferentes. Tudo isso graças a um fator chamado “alias”, que explicaremos mais adiante. 

Leia também: Aumentando a segurança transacional do PIX: como funcionarão as validações para inserção de chaves no Diretório de Identificadores de Contas Transacionais (DICT)

Leia também: Fluxos de atrelamento às chaves de endereçamento do PIX: entenda como vão funcionar as quatro opções permitidas pelo DICT

Chaves PIX: dá pra cadastrar o mesmo e-mail em várias contas bancárias?

A princípio, não. Cada chave é exclusiva e deverá ser cadastrada em apenas um banco ou instituição – afinal, com o PIX, você não precisa informar o banco de destino ao fazer uma transferência, apenas a chave. 

Porém, alguns usuários já acharam uma maneira de cadastrar o mesmo endereço de e-mail em instituições bancárias diferentes utilizando os domínios do Gmail, iCloud Mail e Outlook (Hotmail). Esta descoberta parece bastante engenhosa, mas pode ter em si um risco embutido, facilitando ou servindo de incentivo para alguns fraudadores. 

Criar chaves de e-mail com “alias” 

Alguns sistemas de e-mail permitem o uso de “alias”: um complemento alternativo ao nome de usuário, permitindo a diversificação daquele endereço. No Gmail, por exemplo, é possível criar um “alias” usando o sinal de “+”: o sistema vai entender que o que vier antes do símbolo de adição é o endereço original, e o restante é o complemento.

Por exemplo, se o Fulano criar o e-mail fulano@gmail.com e quiser cadastrar um alias para centralizar todas as newsletters que costuma ler, ele pode utilizar o alias fulano[email protected]. Isso pode facilitar a organização do usuário dentro da conta e até saber se alguém andou “vazando” aquele endereço. 

Nas últimas semanas, circulou na internet uma dica sugerindo o uso de alias para cadastrar o mesmo endereço de e-mail no PIX. E usuários passaram a criar e-mails como [email protected], [email protected]

Na prática, o Fulano estará utilizando chaves PIX diferentes para instituições diferentes, no entanto o e-mail e toda camada de segurança estará concentrada sob um mesmo e-mail/conta, a [email protected], onde todas as notificações de transferências PIX e segurança serão recebidas. E esta parece ser uma ideia bastante engenhosa. Será?

Utilizar o mesmo e-mail e vários “alias” para instituições diferentes pode não ser uma boa ideia em termos de segurança

O e-mail foi criado, inicialmente, para ser um serviço apenas para troca de mensagens. A partir do momento que passamos a usá-lo para o PIX, acontece uma mudança de cenário, e este endereço passa a ter muito mais valor – afinal, ele se tornou uma chave (endereço) para receber quantias de dinheiro. 

Tal ponto pode ser considerado um incentivo para fraudadores tentarem tomar o acesso  daquela conta – especialmente se um único  e-mail contendo vários “alias” diretamente ligados passa a receber uma volumetria grande de dinheiro. Com isso, um vazamento da conta principal se torna um prato cheio para que fraudadores passem a fazer investidas diretas contra essas contas e respectivos “alias”, visando a obter o bônus financeiro que é direcionado para este endereço (ou conjunto de endereços ligados à mesma conta).  

Vamos supor que a senha do e-mail [email protected] vaze por algum motivo, ou mesmo que o fraudador consiga acesso ao e-mail através de algum ataque de engenharia social. De posse de um e-mail, um criminoso pode, então, fazer uma busca e tentar logar com a conta (fazendo um takeover) e passar a entender se aquela conta já está cadastrada para o PIX e se tem “alias” em algum banco específico. 

Caso o e-mail possua “alias” ou esteja sendo usado para um ou mais bancos, isso passa a ser ainda mais interessante para fraudador, especialmente se houver um grande volume de recebimento nesta chave. 

Imagine que esta conta tem um alias para  o Banco XPTO. Só o fato de na chave já ter o nome ou referência a um banco isso já facilita para que o fraudador passe a ter uma noção de outras informações sobre a instituição em questão, e também suas possíveis fragilidades. 

Este cenário facilita os próximos passos da investida – mesmo que em relação a engenharia social, prática muito explorada no Brasil -, e o criminoso pode descobrir a melhor forma de conseguir mais informações para concretizar um cenário de fraude. De posse das informações, o fraudador tentaria seguir em frente buscando explorar as fragilidades encontradas, pelas  vulnerabilidades técnicas, de processo ou mesmo falhas de implementação. 

O possível resultado? O fraudador poderia conseguir transferir a chave para outro banco onde o Fulano não tenha mais entrada e bloquear o acesso a conta de e-mail. 

Dado um volume de dinheiro recebido e da perda da posse do e-mail frente ao bônus que o Fraudador terá, só restará para vítima tentar recuperar a posse da chave o mais rápido possível – ou, então, pedir a cada um dos seus pagadores que parem de enviar dinheiro usando um e-mail que foi comprometido para aquela chave. 

O potencial de ataques é considerável e o impacto pode ser grande. E, se o e-mail tivesse sido utilizado corretamente (e com menos exposição), as possibilidades e interesses para este tipo de ataque devem ser menor – ou pelo menos minimamente mais contido e mais complexo de se conseguir sucesso. 

A melhor maneira de evitar fraudes no PIX: fique de olho nos dispositivos móveis e cuide bem de suas chaves

Divulgar o número do telefone ou o endereço de e-mail, até pouco tempo atrás, não oferecia um risco bancário imediato. Este cenário muda com a chegada do PIX e a nova forma de fazer pagamentos e transferências, já que isso vai possibilitar uma maior facilidade nas transações financeiras e alavancar novos negócios.

Independente da segurança do ecossistema PIX, os fraudadores se adaptarão e consequentemente adaptarão suas ferramentas para este novo cenário. Com isso, novos vetores de ataque certamente surgirão, e caberá às instituições financeiras, responsáveis pela autenticação de usuários e validação de chaves de endereçamento, investir em soluções de segurança, bem como na conscientização e orientação de seus usuários sobre possíveis má práticas.

Leia também: PIX e autenticação digital de usuários: verificação de identidade de clientes será de responsabilidade das empresas participantes (PSPs)

Os dispositivos móveis serão peças centrais nesta nova realidade do PIX, já que as transações financeiras serão feitas a partir de telefones celulares. Camadas de proteção terão que ser obrigatoriamente implementadas nos processos de onboarding, troca de aparelho, atualização cadastral, recuperação de contas, acesso entre outros que são pontos de investida de fraudadores para invasão de contas.

É neste cenário que se destaca o AllowMe e nossa expertise em verificar o comportamento de devices. A solução pode contribuir com a validação e gerenciamento de identidade digital, tornando as transações do PIX mais simples e seguros; e, ao mesmo tempo, ajudando a detectar comportamentos anômalos que possam vir a ser utilizados para comprometer a identidade de usuários e relações entre instituições financeiras e seus clientes.

Para entender como podemos te ajudar, entre em contato com um de nossos especialistas!