bacen-pix-security

# BACEN PIX - Regulamentação de Segurança e Antifraude > [!abstract] Síntese > O PIX transformou o sistema financeiro brasileiro, processando mais de 40 bilhões de transações em 2024. Sua popularidade criou uma superfície de ataque sem precedentes para grupos de fraude financeira. A regulamentação de segurança do PIX - baseada na Circular 3.978/2020 e normativos complementares - estabelece o DICT, o MED e limites antifraude como camadas defensivas contra trojans bancários brasileiros e engenharia social. --- > [!latam] Relevância para o Brasil > O PIX é um fenômeno exclusivamente brasileiro: o sistema de pagamentos instantâneos mais adotado do mundo em proporção à população, com mais de 170 milhões de usuários ativos. Essa ubiquidade transforma o PIX no vetor de fraude financeira mais explorado no Brasil. Trojans bancários como **Grandoreiro**, **Casbaneiro** e **Mekotio** - desenvolvidos específicamente para o mercado LATAM - evoluíram continuamente para subverter os controles do PIX. O CERT.br registra campanhas semanais de phishing usando temas PIX, e a FEBRABAN reporta que fraudes via PIX já superam em volume os golpes tradicionais de cartão. ## O PIX como Superfície de Ataque O PIX foi lançado em novembro de 2020 pelo [[brasil|BACEN]] como sistema de pagamentos instantâneos. Em menos de 4 anos tornou-se o meio de pagamento mais utilizado no Brasil, processando transações 24/7 com liquidação em 10 segundos. Essa ubiquidade transformou o PIX no alvo principal do ecossistema de fraude financeira LATAM. Os grupos que mais exploram o PIX como vetor: - **[[s0531-grandoreiro|Grandoreiro]]** - overlay de tela que substitui dados de destinatário durante transferências PIX - **[[casbaneiro|Casbaneiro]]** - captura de sessões bancárias para interceptar QR codes e chaves PIX - **[[mekotio|Mekotio]]** - clipboard hijacking que substitui chaves PIX copiadas pelo usuário - **[[s0373-astaroth|Astaroth]]** - infostealer que rouba credenciais de acesso ao app bancário para fraude PIX > [!danger] Clipboard Hijacking como TTP Dominante > A técnica mais comum em fraudes PIX é o clipboard hijacking - o malware monitora a área de transferência e substitui qualquer chave PIX copiada por uma chave do atacante. O usuário acredita estar pagando o destinatário correto mas transfere para conta laranjá. --- ## Visão Geral > [!info] Em revisão > Esta seção está sendo elaborada com contexto histórico, relevância para o Brasil e LATAM. ## Arquitetura de Segurança do PIX ```mermaid graph TB USER["👤 Usuário PIX Iniciando transação"] USER --> APP["📱 App Bancário Autenticação MFA obrigatória"] APP --> DICT["📚 DICT Diretório de Identificadores"] DICT --> VALID["✅ Validação da Chave Bloqueada? Suspeita? Fraude?"] VALID -->|"Chave limpa"| TX["💳 Transação PIX Liquidação em 10s"] VALID -->|"Chave flagged"| ALERT["⚠️ Alerta IF Recebedora Análise obrigatória"] VALID -->|"Chave bloqueada"| BLOCK["🚫 Bloqueio Cautelar BACEN notificado"] TX --> RECV["🏦 IF Recebedora Análise de risco pós-crédito"] RECV -->|"Fraude detectada"| MED["🔄 MED Mecanismo de Devolução"] MED --> REFUND["💰 Devolução Total ou parcial (7 dias)"] style DICT fill:#1a1a2e,stroke:#4ade80,color:#fff style MED fill:#1a1a2e,stroke:#f59e0b,color:#fff style BLOCK fill:#1a1a2e,stroke:#e94560,color:#fff ``` --- ## DICT - Diretório de Identificadores de Transação PIX O **DICT (Diretório de Identificadores de Transação PIX)** é a infraestrutura central que associa chaves PIX a contas bancárias. Gerenciado pelo BACEN, o DICT: ### Funções do DICT | Função | Descrição | | ------ | --------- | | Registro de chaves | Associa CPF/CNPJ, e-mail, celular ou chave aleatória a uma conta | | Resolução de endereços | Converte chave PIX em ISPB + agência + conta do destinatário | | Marcação de fraude | Permite IFs sinalizarem chaves envolvidas em fraudes | | Histórico de titularidade | Rastreia transferências de chave entre contas | | Consulta antifraude | Expõe sinais de risco antes da confirmação da transação | ### Chaves PIX como IoCs Do ponto de vista de CTI, chaves PIX de contas laranjá funcionam como **Indicators of Compromise (IoCs)**: - IFs com maior volume de fraude devem reportar chaves ao DICT imediatamente - A marcação no DICT propaga o sinal para todas as outras IFs participantes - Chaves marcadas como fraude não podem ser reutilizadas em novas contas --- ## MED - Mecanismo Especial de Devolução O **MED** permite a devolução de valores transferidos em fraudes PIX. Operado pelo BACEN como mediador entre as IFs, o mecanismo tem dois tipos: ### Tipo 1 - Fraude Acionado quando há evidência de que a transação foi originada por fraude: - Prazo: até **90 dias** após a transação original - Acionamento: pela IF pagadora após reclamação do cliente - Decisão: IF recebedora tem **7 dias úteis** para contestar ou devolver - Bloqueio cautelar: os fundos ficam bloqueados na conta recebedora durante análise ### Tipo 2 - Falha Operacional Acionado para erros sistêmicos (transação duplicada, valores incorretos): - Prazo: até **1 dia útil** após a transação - Resolução automática via BACEN > [!tip] Para o SOC de IFs > O MED cria obrigações operacionais diretas para o time de segurança: manter logs das transações por 10 anos, responder a solicitações de bloqueio cautelar em até 30 minutos e ter processo automatizado de análise de fraude pós-crédito. --- ## Limites de Transação como Controle Antifraude O BACEN estabelece limites configuráveis como camada de defesa primária contra fraudes de alto valor: | Período | Limite Padrão | Observação | | ------- | ------------- | ---------- | | Noturno (20h-06h) | R$ 1.000 | Reduzido para limitar "golpe do PIX noturno" | | Diurno | R$ 20.000 | Configurável pelo cliente via agência/app | | Por transação pessoa jurídica | Sem limite regulatório | IF define por análise de risco | | PIX Automático | Definido por contrato | Para débito automático e assinaturas | Clientes podem solicitar ampliação dos limites, mas com autenticação em agência (presencial + biometria) para limites acima de R$ 20.000 - barrando fraudes por engenharia social remota. --- ## Bloqueio Cautelar Norma públicada em 2022 permite que IFs bloqueiem preventivamente saldo de contas suspeitas: - **Duração**: até **72 horas** prorrogáveis por mais 24h com justificativa - **Acionamento**: suspeita fundamentada de fraude, análise de padrões transacionais - **Notificação obrigatória**: titular da conta deve ser comúnicado imediatamente - **Contestação**: titular pode acionar o BACEN se considerar o bloqueio indevido O bloqueio cautelar é a resposta regulatória ao modelo de **conta laranjá** - contas de terceiros usadas como escoadouro de fraudes PIX antes do saque. Os trojans bancários brasileiros movem fundos em cascata por múltiplas contas laranjá em segundos para dificultar o rastreamento. --- ## Correlação com Ameaças ### Fluxo de Fraude PIX com Trojan Bancário ```mermaid graph TB INF["🎣 Infecção Phishing ou malware drive-by"] INF --> INST["💀 Trojan Instalado Grandoreiro / Casbaneiro / Mekotio"] INST --> MON["👁️ Monitoramento Aguarda acesso ao app bancário"] MON --> TRIG["⚡ Trigger Usuário abre app bancário"] TRIG --> OVL["🪟 Overlay / Hijack Captura credenciais e sessão"] OVL --> PIX["💸 PIX Fraudulento Chave substituída ou nova TX"] PIX --> LARANJAS["🏦 Contas Laranjá Cadeia de 3-5 contas mule"] LARANJAS --> SAQUE["💵 Saque Imediato Lotéricas, ATMs, crypto"] style INF fill:#1a1a2e,stroke:#e94560,color:#fff style PIX fill:#1a1a2e,stroke:#e94560,color:#fff style LARANJAS fill:#1a1a2e,stroke:#f59e0b,color:#fff ``` **Mecanismos de defesa ativados:** - DICT detecta chave flagged antes do envio - Bloqueio cautelar congela fundos nas contas laranjá - MED inicia processo de devolução dentro de 90 dias - Análise comportamental da IF detecta padrão de saque atípico ### TTPs dos Atacantes As fraudes PIX exploram diretamente técnicas MITRE: | TTP | Técnica | Uso no Contexto PIX | | --- | ------- | ------------------- | | [[t1566-phishing\|T1566]] | Phishing | Entrega inicial do trojan bancário | | [[t1557-adversary-in-the-middle\|T1557]] | Adversary-in-the-Middle | Overlay de tela do app bancário | | [[t1110-brute-force\|T1110]] | Brute Force | Ataques a contas de clientes de fintechs | | [[t1657-financial-theft\|T1657]] | Financial Theft | Objetivo final - extração via PIX | --- ## Referências - [Circular BCB 3.978/2020 - Regulamento PIX](https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Circular&número=3978) - [BACEN - Manual de Operações do PIX](https://www.bcb.gov.br/estabilidadefinanceira/pix) - [FEBRABAN - Relatório de Fraudes no PIX 2024](https://febraban.org.br/) - [CERT.br - Trojans Bancários Brasileiros](https://www.cert.br/) --- ← Voltar para **[[_regulations|Regulações]]** · **[[_market|Market Intelligence]]**