pix-threat-actors - RunkIntel

# Atores de Ameaça ao Sistema PIX > [!latam] Alta Relevância Brasil — Fraude PIX > O **sistema PIX** (pagamentos instantâneos do Banco Central do Brasil) é alvo prioritário de múltiplos grupos criminosos brasileiros. Fraudes, golpes de engenharia social, malware de acesso remoto (RATs) e sequestros de chave PIX representam o principal vetor de crime financeiro digital no Brasil desde 2020. ## Visão Geral O PIX, lançado pelo Banco Central do Brasil em novembro de 2020, tornou-se rapidamente o principal alvo de fraudes financeiras digitais no país. Ao longo de 2021-2025, múltiplos grupos e atores individuais desenvolveram ecossistemas completos de fraude baseados nas características do sistema: transações instantâneas, disponibilidade 24/7 e limite alto de valor. Os atores de ameaça ao sistema PIX operam em diversas categorias: **Grupos organizados de crime cibernético:** - Operadores de malware bancário (RATs, overlays) como [[grandoreiro]], [[mekotio]] e [[banking-trojans|trojans bancários LATAM]] - Redes de mulas financeiras que recebem e dispersam valores fraudulentos - Grupos especializados em acesso remoto a dispositivos para PIX via engenharia social **Vetores mais comuns:** - **Golpe do falso funcionário**: ligação fingindo ser banco solicitando transferência PIX - **Vírus bancário**: aplicativo malicioso que realiza PIX no background - **Engenharia social via WhatsApp**: clonagem de número + solicitação de PIX a contatos - **Golpe do sequestro virtual**: ameaças falsas exigindo pagamento imediato via PIX O Banco Central reportou que fraudes via PIX aumentaram 52% em 2022 e continuam crescendo. O CAIS/RNP e a FEBRABAN monitoram continuamente novas técnicas de fraude PIX. ## Ecossistema de Fraude PIX ```mermaid flowchart LR A[Engenharia Social\nWhatsApp / Telefone\nFalso banco] --> B[Acesso ao Dispositivo\nRAT / AnyDesk\nVírus bancário] B --> C[Coleta de Credenciais\nSenha app bancário\nToken SMS] C --> D[Transação PIX\nConta mula\nDissipação rápida] D --> E[Lavagem\nCriptomoedas\nContas laranja] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Reconhecimento | [[t1589-gather-victim-identity-information\|T1589]] | Coleta de dados via LGPD violações / redes sociais | | Phishing | [[t1566-phishing\|T1566]] | SMS/WhatsApp com links falsos de banco | | Acesso Remoto | [[t1219-remote-access-software\|T1219]] | AnyDesk, TeamViewer via engenharia social | | Captura de Credenciais | [[t1056-input-capture\|T1056]] | Overlays bancários e keyloggers | ## Relevância LATAM — Contexto Brasil O PIX é sistema exclusivamente brasileiro, tornando este vetor de ameaça altamente específico ao contexto nacional: - **LGPD e vazamentos**: Dados pessoais de CPF, nome e telefone disponíveis em mercados underground alimentam golpes direcionados - **Inclusão digital**: Usuários recém-bancarizados com menor familiaridade com segurança digital são alvos prioritários - **Limite noturno**: O BC implementou limite de R$1.000 para PIX noturno (22h-6h) como medida de segurança - **Mecanismo Especial de Devolução (MED)**: Permite contestar fraudes em até 7 dias — recurso ainda pouco conhecido ## Detecção e Defesa - Nunca realizar transações PIX por solicitação telefônica sem confirmação presencial - Habilitar notificações em tempo real para toda transação PIX - Configurar limite diário de PIX compatível com uso real (não o máximo) - Ativar modo escuro no app bancário para dificultar captura de tela por RATs - Denunciar fraudes ao [[_febraban|FEBRABAN]] e ao Banco Central via BC Resolve ## Referências - Banco Central do Brasil: Relatório de Fraudes PIX (2022-2024) - FEBRABAN: Cartilha de Segurança PIX (2023) - CERT.br: Incidentes relacionados a fraudes PIX (2021-2024) - Kaspersky LATAM: Banking trojans targeting PIX users (2022) - Apura Cyber Intelligence: Ecossistema de fraude PIX no dark web brasileiro (2023)