Um grupo de criminosos cibernéticos conseguiu contornar os sistemas de verificação simplificada adotados por instituições financeiras brasileiras e realizou transferências não autorizadas que totalizaram R$ 700 mil em prejuízos para os clientes. O caso expõe fragilidades nos mecanismos de autenticação considerados “fáceis” – como perguntas de segurança, SMS ou confirmação por e-mail – e acende um alerta para usuários e bancos.
Como ocorreu o golpe?
De acordo com as investigações iniciais, os hackers primeiro coletaram dados pessoais das vítimas por meio de campanhas de phishing e vazamentos de bases de dados. De posse de informações como CPF, data de nascimento, nome da mãe e endereço, eles conseguiram acionar o procedimento de “verificação fácil” oferecido por alguns bancos para redefinir senhas ou autorizar transações.
Esse tipo de verificação, geralmente usada como alternativa à autenticação de dois fatores (2FA), exige apenas respostas a perguntas cadastrais ou confirmação por e-mail, sem envio de token ou biometria. Os criminosos também recorreram à técnica de SIM swap (troca fraudulenta do chip) para interceptar códigos enviados por SMS.
Técnicas usadas pelos criminosos
- Phishing direcionado: envio de e-mails e mensagens falsas que simulam comunicações oficiais do banco, levando a vítima a fornecer senhas e códigos.
- Engenharia social em call centers: ligações para a central de atendimento usando dados pessoais das vítimas para solicitar alterações cadastrais.
- SIM swap (troca de chip): clonagem ou troca fraudulenta do número de celular para receber SMS de confirmação.
- Exploração de APIs bancárias: uso de tokens de acesso obtidos indevidamente para realizar transações diretamente por canais digitais.
- Automação de ataques: scripts que testam combinações de senhas e dados em lotes contra os sistemas de autenticação.
Impacto financeiro e medidas dos bancos
Os valores furtados, que somam R$ 700 mil, foram retirados de contas-correntes e poupanças de dezenas de clientes. Os bancos envolvidos afirmam que já estão reembolsando os valores aos correntistas e que acionaram a Polícia Federal para investigar o caso. Especialistas apontam que a responsabilidade civil das instituições financeiras pode ser invocada com base no Código de Defesa do Consumidor e na Lei Geral de Proteção de Dados (LGPD), especialmente se ficar comprovada falha na segurança dos sistemas de verificação.
Procurados, os bancos não confirmaram quantas contas foram afetadas nem se há suspeitos identificados, mas garantem que as equipes de resposta a incidentes já estão atuando. O episódio deve pressionar o setor financeiro a adotar métodos mais robustos de autenticação, como biometria facial e chaves de segurança FIDO.
Como se proteger contra esse tipo de golpe
A seguir, algumas recomendações práticas para reduzir o risco de ter a conta bancária invadida:
- Ative a autenticação de dois fatores (2FA) em todos os serviços financeiros, preferencialmente com aplicador de códigos (Google Authenticator, Microsoft Authenticator) em vez de SMS.
- Não clique em links recebidos por e-mail, SMS ou WhatsApp que peçam para atualizar dados bancários ou “confirmar verificação”. Acesse sempre o site oficial do banco digitando o endereço manualmente.
- Mantenha o celular protegido com PIN forte e nunca compartilhe códigos de confirmação com terceiros, mesmo que pareçam ser do banco.
- Monitore regularmente os extratos e notificações de transações. Qualquer movimentação suspeita deve ser comunicada imediatamente ao banco.
- Evite usar a opção de “verificação fácil” ou “perguntas de segurança” como único fator de autenticação. Prefira senhas fortes e biometria.
- Mantenha o sistema operacional e aplicativos sempre atualizados para evitar exploração de vulnerabilidades.
FAQ – Perguntas frequentes sobre verificação bancária
O que é verificação fácil nos bancos?
É um método de autenticação que utiliza apenas dados cadastrais (CPF, nome da mãe, data de nascimento) ou confirmação por e-mail para autorizar operações. Embora seja prática para o usuário, oferece baixo nível de segurança.
Os bancos são obrigados a reembolsar valores furtados?
Sim, desde que o cliente não tenha agido com negligência grave. O entendimento do Superior Tribunal de Justiça (STJ) e as regras do Banco Central estabelecem que a instituição financeira responde objetivamente por falhas de segurança, salvo se comprovar culpa exclusiva do correntista.
O que fazer se eu desconfiar que minha conta foi invadida?
Entre em contato imediatamente com o banco pelo canal oficial, registre um boletim de ocorrência online (Delegacia Virtual) e altere todas as suas senhas. Também é recomendável notificar a ANPD (Autoridade Nacional de Proteção de Dados) se houver vazamento de dados pessoais.
Como saber se meu celular sofreu SIM swap?
Se o seu celular perder o sinal de rede móvel repentinamente ou ficar impossibilitado de fazer ligações, desconfie. Entre em contato com a operadora e verifique se houve solicitação de troca de chip. Mantenha um PIN no chip e ative alertas de transferência.