AINDA SOBRE A BLACK FRIDAY

SE NÃO EXISTISSEM TROUXAS, VIGARISTAS MORRERIAM DE FOME.

Segundo a empresa de cibersegurança ESET, 96% dos brasileiros devem aproveitar a Black Friday para fazer compras, mas quem não se acautelar pode levar gato por lebre. De acordo com a Check Point Research (divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd), um a cada seis arquivos maliciosos identificados neste mês tem a ver com pedidos, entregas e remessas de produtos, 4% dos novos sites de compras online são potencialmente fraudulentos. Demais disso, estudos recentes da McAfee dão conta de que 96% das crianças e adolescentes utilizam dispositivos móveis no Brasil. Então, para evitar dissabores:

 
— Mantenha o sistema operacional e o software do computador, smartphone ou tablet atualizados;
 
— Só faça compras online em sites de varejistas oficiais, e não se deixe seduzir por ofertas "boas demais para ser verdade" — um desconto de 80% no preço do iPhone de última geração, por exemplo, dificilmente será uma oportunidade de compra confiável;
 
— Fuja de modalidades de pagamento suspeitas e evite usar o PIX ou realizar transferências bancárias, pois pela facilidade e rapidez da transação por estes meios de pagamento são um prato cheio para os golpistas. Prefira sempre que possível usar uma versão virtual de seu cartão de crédito, e jamais forneça seus dados antes autenticar o site. Em vez de seguir o link recebido por email ou mensagem de texto, localize a promoção na página da loja, que você pode acessar a partir da barra de endereços do seu navegador.

 
Observação: A maioria das webpages falsas apresenta um nome de domínio semelhante ao da marca que tenta replicar, mas com letras adicionais ou erros ortográficos). Cabeçalhos e menus suspensos funcionando incorretamente ou com informações inconsistentes podem ser um sinal de que algo está errado. Veja se a empresa disponibiliza informações de registro, como CNPJ, razão social e endereço da sede, e pesquise em sites como Posso Confiar, Reclame Aqui e Procon.
 
— Evite reutilizar nomes de usuário e senhas — do contrário, um cibervigarista que roubar suas credenciais terá acesso a todas as contas que as compartilham —, e se receber um e-mail não solicitado de redefinição de senha, não clique no link incorporado; acesse o site respectivo e defina uma senha diferente das que você utiliza para outros fins.

— Procure sempre efetuar o logout (função sair) após transações bancárias em apps. Se a sessão fica aberta no navegador/aplicativo, ela poderá ser reutilizada indevidamente.
 
— Desabilite o seu cartão físico (crédito ou débito) para compras on-line, para essa finalidade use apenas os cartões virtuais — que têm uma janela de tempo para ser utilizados, o que aumenta a segurança contra golpes em ambientes online. 
 
— Não anote ou guarde senhas nos dispositivos móveis ou envie/armazene senhas por SMS, email ou aplicativos de mensagens — de posse de seu aparelho, um cibercriminoso conseguir acessar suas senhas e invadir suas contas.
 
— Ative o duplo fator de autenticação para acessar suas contas bancárias, emails, redes sociais e etc., e revise as permissões de acesso dos aplicativos (muitos aplicativos de compras podem solicitar senhas para acessar seus contatos, mensagens, fotos e outras informações pessoais que não são imprescindíveis para o funcionamento do serviço).
 
— Quando digitar suas credenciais e senhas, assegure-se de evitar que pessoas próximas visualizam os códigos — usar uma das mãos para cobrir parcialmente o teclado pode parecer paranoia, mas é uma boa ideia. 

 
Técnicas de engenharia social exploram as fragilidades do usuário, que é o elo mais frágil da corrente da segurança digital. Antes de fornecer informações sensíveis, verifique se o site é protegido por criptografia SSL — procure o "S" em HTTPS e o ícone de um cadeado trancado, que pode estar à esquerda do URL, na barra de endereço, ou na barra de status, na parte inferior da janela do navegador — e se não existem erros de ortografia no corpo do texto, no nome do domínio ou na extensão da Web — qualquer email com o nome da empresa grafado incorretamente ("Amaz0n" ou "Amazn" ao invés de "Amazon”, por exemplo) indica uma provável tentativa de phishing. 
 
Tanto no mundo real quanto no virtual, 100% de segurança é história da Carochinha, mas os riscos serão menores se você fizer suas compras usando um computador, tablet ou smartphone confiável e protegido por uma suíte responsável, e evitar redes Wi-Fi públicas.
 
Não clique em mensagens com promoções, seja no WhatsApp, em redes sociais ou no email sem antes verificar que está enviando a mensagem — pelo fato de o roube de WhatsApp ser um golpe muito popular, desconfie sempre, mesmo que a pessoa seja conhecida ou a empresa, famosa. Analise também o endereço/site o link para o qual você será direcionado. Se suposto remetente for um banco ou uma loja, o site precisa conter o nome da empresa/instituição — e o mesmo se aplica a promoções, descontos ou qualquer outra mensagem “urgente”. Se lhe for prometido um desconto em troca de informações pessoais, fique esperto — jamais informe seus dados, número de cartão de crédito ou senhas bancárias. 
 
Boas compras.

UBER, PAGAMENTO POR PIX E OUTRAS DICAS DE SEGURANÇA

ANTES DE FAZER ALGUMA COISA, PENSE. QUANDO ACHAR QUE JÁ PODE FAZÊ-LA, PENSE OUTRA VEZ.

 

Diferentemente do boleto bancário, do DOC e do TED, o Pix permite fazer movimentações instantâneas e gratuitas, 24/7, a qualquer hora do dia ou da noite. Por conta dessa versatilidade, o número de chaves Pix aumentou 72% no último ano. Paralelamente, os casos de furto e roubo de celulares também cresceram — na capital paulista, o aumento foi de 40% e 12%, respectivamente, entre janeiro e abril de 2022. Isso sem falar nos sequestros-relâmpago. 

 

Também vem crescendo o número de usuários de smartphone que instalam apps "sensíveis" em outro aparelho e o deixam em casa (lembrando que o Wi-Fi funciona normalmente sem o SIM-Card). Mas você pode ocultar os apps no aparelho que usa no dia a dia, criar uma senha de desbloqueio e adicionar outras etapas de verificação de identidade. 

Se o celular for Samsung, abra as configurações do Android, toque em Tela inicial > Ocultar aplicativos, selecione os programinhas que deseja ocultar e confirme em OK. Se o celular for de outra marca, baixe uma das muitas ferramentas disponíveis na Play Store. Feito isso, você terá de abrir a gaveta de apps, digitar o nome do programa desejado na barra de busca e tocar em Abrir (na barra inferior da tela de informações).

O iPhone não conta com um recurso nativo, mas permite remover os apps da tela inicial e acessá-los somente pela biblioteca de aplicativos (que é exibida quando você desliza a tela inicial para a direita). Para fazer essa configuração, mantenha o dedo sobre um dos ícones; quando os apps começarem a flutuar na tela, toque no traço horizontal (que aparece logo acima do ícone do aplicativo desejado) e em Remover da tela de início. A partir daí, será preciso acessar a biblioteca (deslizando com o dedo para a direita) e digitar o nome do programa.

 

A Uber adicionou a opção de pagamento por PIX. O acesso pode ser feito tanto na página inicial do aplicativo, em “Pagamentos”, quanto após a escolha do destino, em “Opções de Pagamento”.  Em ambos os casos, a viagem só será confirmada depois que a transferência for confirmada. 

Segundo a empresa, com exceção do pagamento em dinheiro*, todas as demais modalidades são efetuadas através da plataforma. No caso do Pix, a chave necessária à transação é fornecida pela Uber (não pelo motorista), e a viagem só é confirmada depois que a transferência for concluída. Se você for cobrado pelo motorista na fina da corrida, mostre a ele o comprovante do pagamento fornecido pela plataforma. Em caso de pagamento em duplicidade, entre em contato com a empresa e solicite o reembolso. Em sendo necessário, faça um B.O. (os dados do motorista constam do comprovante de pagamento) e recorra ao Reclame (da PROTESTE).

 

Para evitar problemas com transações virtuais, jamais faça pagamentos usando o cartão de débito — como o dinheiro sai sua conta no mesmo instante, pode haver dificuldades no cancelamento da compra (se o produto não for entregue ou vier danificado ou com defeito, por exemplo). Para maior segurança, gere uma "versão virtual" do seu cartão de crédito. Como o número e o código de segurança mudam a cada solicitação e a validade expira tão logo o pagamento é efetuado, as chances de fraude são quase inexistentes. 

* Nem sempre é possível gerar um cartão virtual quando se está na rua, sobretudo se o aplicativo do banco estiver no celular que você mantém em casa. Nessa situação, o jeito é pagar em dinheiro; se o motorista não tiver troco, o valor correspondente ficará "a crédito", ou seja, será descontado do preço da próxima viagem. 

TODO CUIDADO É POUCO

POLÍTICA SE FAZ UM DIA DEPOIS DO OUTRO

Diferenciar websites “legítimos” dos potencialmente perigosos está mais difícil a cada dia, donde a palavra de ordem é confiar desconfiando e redobrar os cuidados nas compras online. 

Recomenda-se evitar o uso cartões de débito e, no que diz respeito aos cartões de crédito, utilizar sempre que possível cartões pré-pagos ou versões “virtuais” do cartão atrelado a sua conta bancária. Igualmente importante é informar somente os dados indispensáveis à transação. Diferentemente de um relógio, um par de tênis ou outro produto a ser entregue em sua casa, um software shareware é obtido via download e a licença (chave de ativação), enviada para o endereço de email cadastrado no ato da compra. Portanto, não há motivo para informar seu endereço físico e outros dados que não os do cartão.

Com relação aos aplicativos que você instala no smartphone ou no tablet, faça o download a partir da loja do fabricante do aparelho ou do Google Play (ou da App Store, no caso do iPhone e do iPad). Isso não garante que você não levará gato por lebre, mas reduz significativamente os riscos. E fique atento às permissões que os programinhas solicitam — uma lanterna, por exemplo, não precisa ler seus emails ou acessar sua lista de contatos, também por exemplo. 

Fuja de promessas mirabolantes e de ofertas imperdíveis. Na política, o candidato que mais promete costuma ser o que menos cumpre. Nas compras online, sites com anúncios de mais e conteúdo de menos, ou que o induzam a instalar seja lá o que for para ter pleno acesso ao conteúdo da página, têm tudo para ser arapucas. 

Se o link para o site vier a bordo de email de procedência duvidosa (o fato de o remetente da mensagem ser conhecido não garante que foi ele quem a enviou), clique no endereço com o botão direito, selecione “copiar link” ou “copiar o endereço da página”) e faça uma busca no Google. No caso de links “encurtados”, recorra a um serviço que os reconverta em links convencionais, como o CheckShortURL. 

O URLVoid não só indica qual site é responsável pelo URL como também informa quando o domínio foi registrado, sua posição no ranking do Google e quantos avisos de reputação maliciosa foram registrados por sites de varredura. O VirusTotal usa mais de 50 ferramentas diferentes para checar arquivos e links suspeitos, e apresenta os resultados em poucos segundos (ou minutos, dependendo do tamanho do arquivo). 

Outra opção interessante é o Zulu URL Risk Analyzer. Basta digitar (ou copiar e colar) o endereço do site e clicar em Submit URL — quanto maior o número de barrinhas verdes, menor a chance de você ter problemas.

NATAL, COMPRAS VIRTUAIS E OUTROS QUE TAIS

A DESCONFIANÇA É A MÃE DA SEGURANÇA.

Quando eu comecei a me entender por gente, as crianças perdiam os dentes de leite bem antes de deixarem de acreditar em Papai Noel, e o “Espírito do Natal” dava ar da graça lá pelo final de novembro — a princípio timidamente, depois num crescendo, como o do apito de um trem que aproxima da estação. 

Naqueles tempos, os “votos de boas festas” pareciam mais sinceros. As pessoas desejavam um feliz Natal — e um feliz Ano Novo — a torto e a direito, inclusive a desconhecidos com quem simplesmente cruzavam na rua. E enfeitar a árvore, armar o presépio e pendurar a guirlanda na porta de casa fazia parte da festa.

De uns anos para cá, o "Espírito do Natal" resolveu frequentar exclusivamente hipermercados, shopping centers e assemelhados. No afã de fazer a clientela "entrar no clima", os lojistas removem a decoração do Halloween e, ato contínuo, penduram os ornamentos natalinos. Mas a coisa se tornou impessoal, sem graça, e com a pandemia, então, nem se fala. 

Ainda que as pessoas armem árvores de Natal e pendurem redes de lampadinhas pisca-pisca nas janelas e varandas, o clima é artificial e os votos carecem de calor humano. Em época de vacas magras, presente virou lembrancinha e lembrancinha virou cartão virtual (para economizar o selo postal).

Nem sempre dá para escapar de comprar um presentinho cá, outro acolá, seja porque algumas pessoas realmente merecem, seja porque... enfim, o fato é que é impossível evitar. Mas dá para evitar os tradicionais engarrafamentos, transporte público lotado, lojas apinhadas e aborrecimentos que tais recorrendo às compras online.

Em quase dois anos de convívio com a Covid, a maioria dos brasileiros comprou pelo menos um produto pela Internet. Até quem era avesso ao comércio virtual acabou se rendendo. Cerca de 13 milhões de pessoas fizeram compras online pela primeira vez em 2020 no Brasil (número equivalente à população do Estado da Bahia), e o pagamento com cartão de crédito é a opção preferida, tanto por consumidores quanto por lojistas — o boleto bancário e o Pix disputam o segundo lugar, e as demais opções não vêm ao caso para efeito desta abordagem.

Observação: Para saber mais sobre como surgiu o "dinheiro de plástico", esta postagem dá início a uma sequência que eu publiquei há alguns anos.

O Brasil fechou 2020 com 134 milhões de cartões de crédito (um aumento de 12% na comparação com o ano anterior). Por outro lado, a proporção das famílias que se encalacraram com o uso do dinheiro de plástico alcançou um recorde de 81,8% em junho deste ano — maior patamar desde o início da pesquisa, em 2010. Mas isso é outra conversa. 

Importa dizer que a segurança no pagamento com cartão será maior se você não usar a função débito e, em vez de informar os dados do cartão de crédito "físico", utilizar uma "versão virtual" do instrumento de crédito convencional.

Observação: O cartão de débito é vinculado à conta corrente e utilizá-lo é o mesmo que fazer um pagamento à vista com dinheiro, pois o valor da transação é debitado no ato. Se o saldo não for suficiente, mas o portador do cartão dispuser de um limite de crédito pré-aprovado (o famoso "cheque especial"), a compra será autorizada, mas serão cobrados juros escorchantes sobre o limite e o tempo utilizados. A maior inconveniência, por assim dizer, de pagar compras online "no débito" é que fica muito mais difícil cancelar uma transação fraudulenta ou reclamar se o produto não for entregue ou tiver um defeito qualquer. E o mesmo se aplica ao pagamento via Pix.

O cartão de crédito funciona como qualquer transação financeira. No caso, a empresa emissora e o portador do cartão fazem um acordo: a instituição concede ao cliente um limite de crédito para ser usado no pagamento de compras e serviços, e o cliente se compromete a quitar a fatura na data de vencimento. Quando a fatura mensal é paga, o limite contratual torna a ficar disponível — em havendo compras parceladas, a liberação do limite total se dá somente quando a última parcela for quitada.

Resista estoicamente à tentação de pagar a parcela mínima e rolar o restante da dívida, pois os juros e demais encargos são escorchantes. Só parcele o pagamento se o financiamento for feito pela loja (preço à vista em "x" vezes "sem juros", p. ex.), e fique atento para a "melhor data": compras efetuadas 10 dias antes do vencimento da fatura são lançadas no mês subsequente, de modo que você só desembolsará o dinheiro dali a 40 dias.

No que concerne à "anuidade", o valor e a forma de cobrança (de uma só vez ou em parcelas mensais) variam de uma instituição pra outra. Como a oferta de cartões sem anuidade é cada vez maior, você pode conseguir um bom desconto (ou mesmo a isenção da anuidade) negociando com a operadora. Via de regra, quanto o cliente usa o cartão, mais chances ele tem de reduzir o valor da anuidade, que, como dito, pode até chegar a zero.

Quando você paga com cartão numa loja física, a leitura dos dados é feita pela "maquininha" e a transação é autorizada depois que você digita sua senha no teclado do dispositivo. Nas compras pela Internet não existe maquinha. Você preenche um formulário online com seu nome, bandeira, número e vencimento do cartão e, ao final, informa o CVV (sigla em inglês para “Card Verification Value” ).

O CVV é um "código de segurança" — geralmente formado por três ou quatro algarismos — que vem impresso no verso do cartão. Nesse caso, para se passar por você, o fraudador não precisa da mídia (o cartão propriamente dito) nem de sua senha, ou por outro, qualquer pessoa que tiver acesso aos dados exigidos pelo formulário poderá fazer compras e pagá-las com o cartão. Em tese, esse código não fica armazenado nos servidores das lojas em texto puro, mas isso não significa que ele não possa ser descoberto. Daí ser mais seguro usar um cartão virtual (ou um cartão pré-pago, caso você não disponha de um cartão de crédito convencional que gere uma versão virtual).

O cartão virtual é atrelado ao cartão "físico", mas seu número é diferente do número da versão de plástico e muda toda vez que ele é gerado. Via de regra, o limite de crédito, as cobranças e a fatura são as mesmas do cartão ao qual ele é vinculado, mas a validade é limitada — ou seja, ele "expira" minutos ou horas depois de ser gerado e só pode ser usado uma única vez (para evitar clonagem e outros tipos de golpes).

Diferentemente dos cartões pré-pagos, que servem tanto para pagamento em lojas físicas quanto em sites, os cartões virtuais só funcionam em compras online. Alguns podem ser usados tanto em sites nacionais como internacionais e permitem parcelar o pagamento das compras normalmente. Os principais bancos comerciais disponibilizam seus próprios cartões virtuais, e utilizá-los costuma ser muito simples. Na maioria dos casos, o próprio cliente gera os dados (através do app do banco ou do serviço de netbanking).

As regras de utilização também podem variar de um banco para outro — se as informações disponibilizadas no site não forem suficientes, esclareça as dúvidas com seu gerente. O Itaú, por exemplo, emite um cartão de crédito virtual para cada transação online, e sua validade é de 48 horas. Findo esse prazo, o serial deixa de funcionar, inibindo a ação de fraudadores e assemelhados. 

Em suma, você pode gerar um cartão virtual sempre que precisar e cancelá-lo se desistir de usar, sem pagar nada por isso. Também não há limite quanto ao número de vezes que o recurso pode ser utilizado.

Boas compras e boas festas.

BLACK FRIDAY OU BLACK FRAUDE — PARTE III

SE VOCÊ PODE ESCOLHER ENTRE SER HUMILDE OU CONVENCIDO, ESCOLHA SER CONVENCIDO. SEMPRE HAVERÁ A OPORTUNIDADE DE SER HUMILDE DEPOIS, QUANDO FICAR PROVADO QUE VOCÊ ESTAVA ERRADO.

O Código de Defesa do Consumidor regula apenas relações de consumo em sites de empresas nacionais ou com representação no Brasil. Quem fizer compras em sites internacionais deve recorrer a intermediadores de pagamento — assim, se o produto não for entregue, o valor da compra poderá ser reembolsado. 

Dê preferência a sites confiáveis, que informem seu endereço físico e telefone de contato, política de troca, devolução e atendimento a consumidores estrangeiros. Se você adquirir um produto qualquer num site estrangeiro — um iPhone, por exemplo — e ele apresentar defeito, você pode pleitear o conserto numa loja autorizada da empresa que funcione no território nacional — como uma loja oficial da Apple no Brasil, no nosso exemplo.

Os produtos e serviços devem ser oferecidos com informações corretas, claras e precisas sobre suas características, preço, garantia, prazo de validade, dados do fabricante e eventuais riscos que possam apresentar à saúde e à segurança do consumidor. O preço à vista deve ser exigido junto à imagem do produto ou descrição do serviço, com tamanho de fonte não inferior a doze, e informações claras sobre possíveis descontos oferecidos em função do prazo ou do meio de pagamento. Devem constar também o prazo com o número, periodicidade, o valor das prestações e todos os custos adicionais da transação (despesas de entrega, seguro etc.), além dos juros, acréscimos e encargos.

O site deve oferecer a data e o turno (manhã, tarde ou noite) da entrega dos produtos ou realização dos serviços sem que isso represente qualquer despesa adicional para o consumidor. Toda publicidade que contenha informações falsas sobre o produto ou serviço — ou que confunda o consumidor sobre suas características — é considerada enganosa, a exemplo de ofertas que escondam dados essenciais sobre o produto ou serviço. Qualquer meio usado pelo fornecedor para atrair o interesse do consumidor é considerado "oferta", e tudo que é ofertado deve ser cumprido.

Em caso de descumprimento, o consumidor pode optar por outro produto ou prestação de serviço equivalente, cancelar o contrato e pedir a devolução do valor pago (devidamente corrigido) e, quando cabível, pleitear judicialmente indenização por perdas e danos. Caso não consiga acesso aos fornecedores envolvidos na venda, o consumidor pode solicitar diretamente à administradora do cartão o cancelamento da compra e o estorno do valor pago.

A empresa, por sua vez, tem o dever de enviar ao consumidor a confirmação imediata do pedido de cancelamento e comunicar prontamente a instituição financeira ou administradora do cartão, para que a transação não seja lançada na fatura ou, se for o caso, o estorno dos valores pagos. A empresa não pode condicionar a aceitação do cancelamento à não violação da embalagem do produto (o consumidor não tem como saber que o bem adquirido tem defeito se não o retirar da embalagem e, dependendo do caso, colocá-lo em funcionamento). Também não há que falar em cobrança de frete por devolução.

O consumidor tem 7 dias contados a partir do recebimento do produto adquirido pela Internet para cancelar a compra (a seu talante, ou seja, sem que a desistência tenha a ver com defeito ou mau funcionamento). O cancelamento pode ser formalizado pela mesma via utilizada na aquisição ou qualquer outro meio disponibilizado pela loja para esse fim.  

Tampouco é preciso haver um “termo de garantia” para que o consumidor possa exigi-la. Além de obrigatória, a garantia legal cobre qualquer vício — que deve ser reparado sem custo para o consumidor. O período de validade da garantia legal é de 30 dias para produtos não duráveis (ex.: alimentos) e de 90 dias para produtos duráveis (ex.: eletrodomésticos). Em caso de vícios que sejam perceptíveis de plano, a garantia começa a valer a partir da entrega do produto (ou da conclusão do serviço). Em se tratando de vício oculto — que só aparece com a utilização do produto ou serviço —, o prazo começa a valer a partir do momento em que o problema é constatado pelo consumidor.

A "garantia estendida" é uma modalidade de seguro que os lojistas "empurram" para os clientes, visando aumentar por via indireta sua margem de lucro. Uma vez contratado, ele prorroga a garantia legal ou contratual (e começa a viger ao final desse prazo). As empresas que disponibilizam essa cobertura adicional devem oferecer uma das seguintes opções: 

1) extensão de garantia original — que começa a valer após o término da garantia contratual e oferece idênticas coberturas e exclusões; 

2) garantia original ampliada — que começa a valer após o término da garantia contratual, com ampliação da cobertura prevista no contrato original; 

3) extensão de garantia reduzida — aplicável somente a veículos automotores ou a bens que não tenham outra garantia que não a legal, de 90 dias — que começa a viger ao final do prazo de garantia legal (ou contratual, se houver), com redução de cobertura.

Qualquer que seja o plano escolhido, o seguro de garantia estendida deve possibilitar, a título de indenização, o reparo ou a troca do produto, ou, a critério do consumidor, a devolução do valor pago. Na impossibilidade de reparo, o produto deve ser trocado por outro da mesma marca e modelo ou, em não sendo possível, por outro similar, mediante aquiescência do consumidor, que pode também optar pela devolução do valor pago. Cabe às lojas virtuais disponibilizar em seus sites todas as informações gerais da apólice, como cobertura, data da contratação e validade da garantia estendida. Note ainda que o valor desse seguro não pode ser incluído no preço do produto, nem sob a forma de desconto, devendo ser uma opção manifestada pelo consumidor.

Se o produto apresentar problemas dentro do prazo de garantia legal, o fornecedor deverá solucioná-lo em até 30 dias, mas numa única oportunidade. Após esse prazo, se o problema não for solucionado, o consumidor pode exigir a troca do produto por outro da mesma espécie, em perfeitas condições de uso; o cancelamento da compra e devolução do que pagou; ou ficar com o produto mediante desconto no preço. Em se tratando de bem essencial — ou se o conserto comprometer demais as características do produto —, o consumidor pode escolher entre a troca imediata ou o cancelamento da compra, com a devolução do valor pago corrigido monetariamente.

No que concerne à forma de pagamento, as modalidades mais comuns em compras online são o boleto bancário e o cartão de crédito. Evite usar cartões de débito e, na modalidade crédito, prefira utilizar uma versão virtual — mais detalhes nesta sequência de postagens.

FACEBOOK, WHATSAPP E INSTAGRAM FORA DO AR E AS NOVAS REGRAS DO PIX

A JUSTIÇA NUNCA SERÁ FEITA ATÉ AQUELES QUE NÃO SÃO AFETADOS SE INDIGNAREM COMO OS QUE SÃO.

O WhatsApp, o Facebook e o Instagram apresentam instabilidades que comprometeram o funcionamento das plataformas nesta segunda-feira (4). Segundo o Down Detector ― ferramenta que monitora problemas no status dos serviços online ― as primeiras reclamações começaram a pipocar por volta das 12h de ontem.

O problema, desconhecido até o momento em que eu escrevo esta linhas, seria de escala global e parou na lista dos assuntos mais comentados do Twitter. O WhatsApp informou que a equipe de tecnologia da empresa ainda busca saber o que causou a falha; o Facebook publicou, via Twitter, que “está trabalhando para que as coisas voltem ao normal o mais rápido possível”. O Instagram, que também se encontra sob o guarda-chuva de Mark Zuckerberg, informou que “as pessoas estão tendo dificuldade para acessar nossos aplicativos e produtos”.

Ao tentar abrir a página do Facebook, o internauta se deparava com um indicador de que a falha estava centralizada nos servidores das plataformas, que não conseguiam “rodar” a solicitação dos usuários. No caso do WhatsApp, as mensagens pararam de ser enviadas; no Facebook e no Instagram, os conteúdos deixaram de ser atualizados após o erro.

A mensagem "DNS_PROBE_FINISHED_NXDOMAIN", sugere um erro relacionado com o servidor DNS, que é uma espécie de "agenda de contatos" da Internet. É ele que registra os números (endereços de IP) associados aos "nomes de domínio" (como facebook.com). A Internet só funciona com números, então essa "agenda" cumpre o objetivo de permitir consultas (chamadas de "resoluções de domínio") para que qualquer pessoa possa saber o número de IP do site que pretende acessar. Se acontece uma falha, o acesso à página fica indisponível porque não é possível encontrar o caminho certo para chegar nela. Para algumas pessoas que tentaram acessar Facebook, Instagram e WhatsApp, era exibida uma mensagem de "Erro 500" ou "Erro 5XX", que geralmente indica uma dificuldade do computador do usuário se comunicar com o servidor do site ou aplicativo.

O Facebook atribuiu a interrupção dos serviços a uma "mudança na configuração" dos servidores que coordenam o tráfego entre seus centros de dados. O especialista em cibersegurança Brian Krebs descreveu o que aconteceu como uma remoção por parte do Facebook do "mapa que informa aos computadores do mundo como encontrar suas diferentes propriedades online." A revista Fortune informou que a fortuna pessoal de Zuckerberg caiu quase seis bilhões de dólares na comparação com o dia anterior, passando a pouco menos de US$ 117 bilhões. Para os concorrentes do Facebook, porém, o dia foi muito bom: O Telegram passou de 56º aplicativo gratuito mais baixado nos Estados Unidos para o quinto lugar, segundo a empresa especializada SensorTower, e o Signal tuitou que recebeu "milhões de novos integrantes".

Atualização: Por volta das 19h de ontem, o CTO do Facebook, Mike Schroepfer, publicou uma atualização sobre as falhas nos aplicativos da empresa. Mais tarde, o próprio Zuckerberg postou no Facebook um pedido de desculpas. Após várias horas fora do ar, os apps voltaram a funcionar em alguns dispositivos móveis e por desktop. O início da normalização ocorreu por volta das 18h50. Hoje, ao que tudo indica, está tudo normal. Resta saber até quando.

Dito isso, passo ao assunto de hoje.

As novas regras do Pix começam a valer nesta segunda-feira (4), em meio aos primeiros vazamentos de dados e aos crescentes relatos de golpes aplicados utilizando a ferramenta. As mudanças visam melhorar a segurança do sistema instantâneo de pagamentos.

Pessoas físicas e microempreendedores individuais têm agora um limite padrão de R$ 1 mil para realizar transações entre as 20h e 6h — a medida vale tanto para Pix quanto TED (transferências entre contas do mesmo banco e cartões de débito), mas o cliente pode aumentar esse limite. Bancos e outras instituições financeiras passam a ter prazo mínimo de 24 horas e máximo de 48 horas para efetivar pedido de aumento do limite de transações feito por canal digital (até então, o prazo para aumento de limite do Pix variava entre uma hora e o dia útil seguinte). A mudança vale também para TED, DOC, boleto, cartão de débito e transferências entre contas do mesmo banco.

Com as novas regras, instituições financeiras poderão reter transações para análise de risco por 30 minutos, durante o dia, ou 60 minutos, durante a noite, mas devem permitir o cadastramento prévio de contas que possam receber Pix acima dos limites estabelecidos — esse cadastramento só terá efeito após 24 horas.

As instituições financeiras passam a ser obrigadas a marcar contas com indícios de utilização em fraudes no Diretório de Identificadores de Contas Transacionais (DICT) — base de dados que poderá ser consultada para coibir outros crimes envolvendo uma mesma conta suspeita. Instituições de pagamentos eletrônicos terão de compartilhar informações de transações suspeitas de envolvimento com atividades criminosas para as autoridades de segurança pública. As instituições reguladas pelo BC deverão ter controles adicionais de fraude. O Comitê de Auditoria ou o Conselho de Administração deverão ser avisados, e o BC deverá ter acesso a essas informações.

A limitação das transações de pessoas físicas havia sido anunciada em agosto pelo BC para reduzir os casos de sequestros e roubos noturnos, após pedidos das próprias instituições financeiras. Para Arthur Igreja, especialista em Tecnologia e Segurança Digital, as novas medidas não são suficientes. “Em caso de sequestro relâmpago, por exemplo, o criminoso pode manter a vítima refém por mais tempo, até o horário que a transação financeira será efetivada. Mas isso não é motivo para alarmar a população e deixar de acreditar na efetividade da ferramenta Pix”, afirma ele. E complementa: “Hoje, já são mais de 73 milhões de brasileiros que utilizam o sistema para transações bancárias. O problema não está na ferramenta, mas no avanço cada vez maior da engenharia social. Infelizmente, os golpes digitais e a criminalidade acompanham o avanço da tecnologia”. No entanto, para Igreja, “cada vez mais o BC implementará medidas que tornarão o sistema ainda mais seguro”.

A resolução obriga ainda que os mecanismos de segurança adotados pelas instituições sejam no mínimo iguais aos procedimentos do BC. Casos de excessivas consultas de chaves Pix que não resultem em liquidação ou de consultas a chaves inválidas deverão ser identificados e devidamente tratados. O BC também determinou que as instituições que oferecem o Pix sejam responsabilizadas caso fique comprovado que a fraude decorreu de falhas nos mecanismos de segurança e de gerenciamento de riscos — as instituições estarão obrigadas a usar as informações vinculadas às chaves Pix como um dos fatores para autorizar ou rejeitar transações.

Em nota, o BC informou que as medidas criam incentivos para que os participantes do Pix aprimorem cada vez mais seus mecanismos de segurança e de análise de fraudes, e que novas medidas com foco na segurança dos usuários devem ser adotadas até o dia 16 de novembro.

Com informações de Agência Brasil

MAIS SOBRE INSEGURANÇA DIGITAL (PARTE VI) — A HORA E A VEZ DO PIX

O COMEÇO DE TODAS AS CIÊNCIAS É O ESPANTO DE AS COISAS SEREM O QUE SÃO.

Menos de um ano após começar a funcionar, o PIX já é o segundo meio de pagamento mais usado pelos brasileiros nas compras à vista, atrás apenas do dinheiro — as modalidades de pagamento mais utilizadas pelos brasileiros são dinheiro (71%), PIX (70%), cartão de débito (66%) e cartão de crédito (57%).

Esses bons resultados têm atraído, além de novos adeptos para o sistema, a atenção de golpistas, que não param de criar formas de enganar os usuários da ferramenta. Isso porque a agilidade do PIX é "sopa no mel" para os criminosos, pois permite movimentações rápidas e gratuitas a qualquer dia e horário. Com isso, a vítima tem menos tempo para perceber a artimanha e pode não conseguir cancelar a operação. Diante disso, é essencial ficar atento para evitar ser vítima de fraude, que podem ocorrer de diversas maneiras.

O tipo de ataque mais comum é a clonagem do WhatsApp — que, aliás, existe desde muito antes de o PIX ser lançado. Com a nova tecnologia, a clonagem foi aprimorada. A primeira etapa do golpe é o contato com a vítima: o criminoso finge ser representante de uma empresa e solicita um código de segurança ao proprietário da conta como se ele fosse necessário para atualização, manutenção ou confirmação de cadastro.

O problema é que esse código permite o sequestro do perfil: se o usuário não tiver habilitado a autenticação em duas etapas, basta essa informação para que a conta de WhatsApp seja instalada em um dispositivo diferente. Com acesso ao perfil, o golpista aborda os contatos da vítima e pede ajuda financeira, de preferência com transferência por PIX. Depois que o dinheiro é transferido, recuperá-lo é pouco provável, já que a transferência é feita por vontade própria (mesmo que seja motivada por um golpe).

Uma variação desse ataque é a da falsa pesquisa sobre Covid. O golpista se passa por representante do Ministério da Saúde, faz perguntas sobre sintomas relacionados à doença e, ao final, solicita que o usuário informe um código recebido por SMS, como se fosse um dado necessário para confirmar a realização da pesquisa, mas a ideia é usá-lo para clonar o WhatsApp da vítima.

Outra modalidade de fraude é relacionada à clonagem da conta — é como se fosse um upgrade do método. Depois de sequestrar a conta da vítima, o golpista passa a usar fotos suas, obtidas em redes sociais. Em seguida, ele passa a procurar os contatos da vítima. Como o número de celular é desconhecido, ele alega que teve de trocá-lo. Em seguida, diz que está em uma emergência e pede uma transferência via PIX.

Por isso, é muito importante ter cuidado com a exposição de dados em redes sociais. E mais: vale ficar atento quando receber mensagens de contatos com números novos, especialmente se eles pedirem dinheiro com urgência. Antes de atender o pedido feito pelo contato, confirme com a pessoa por chamada telefônica ou email (pelo WhatsApp não vale, porque a conta pode estar em posse de criminosos).

Pelo fato de a versão simples do ataque ser inviabilizada pelo uso da autenticação em duas etapas, muitos fraudadores incluíram vêm incluindo uma segunda fase à ação: depois de obter o código enviado por SMS, o golpista entra em contato com a vítima e se apresenta como integrante da equipe de suporte do WhatsApp. Ele informa ao usuário que identificou uma suposta atividade maliciosa na conta e que enviou um e-mail para que ele recadastre a dupla autenticação. A vítima, de fato, recebe uma mensagem legítima do WhatsApp. Ela contém um link para a redefinição da verificação em duas etapas. Ao clicar nele, o usuário desabilita a proteção, e o golpista se aproveita do fato de que a conta está desprotegida para seguir com o golpe.

Em outra técnica, o criminoso se vale do desconhecimento sobre as formas de cadastro das chaves PIX. Ele se passa por funcionário do banco em que a vítima tem conta e oferece ajuda para efetuar o cadastro ou informa que é preciso fazer um teste com o sistema de pagamentos para regularizar o registro. A vítima, então, é induzida a fazer uma transferência via PIX e dá adeus ao dinheiro repassado ao golpista.

Segundo a FEBRABAN, as instituições financeiras não solicitam dados pessoais de seus clientes ativamente e seus funcionários não ligam para fazer testes com o PIX. Jamais passe informações por telefone; em caso de dúvida, procure os canais oficiais da instituição bancária para confirmar a necessidade de atualização de dados.

Outra fraude começa em mensagens e vídeos divulgados em redes sociais. Trata-se de fake news que afirmam que um bug no PIX permite que o usuário receba de volta um prêmio em dinheiro quando transfere valores para determinadas chaves. A vítima acredita e envia dinheiro diretamente para o golpista (o dono da chave supostamente contemplada). Dinheiro fácil, anunciado em mensagens em redes sociais, deve ser um sinal de alerta para todos os usuários. E lembre-se: o sistema criado pelo Bacen é robusto, seguro e sem bugs.

Pagamentos pelo PIX podem ser feitos a partir de códigos QR. Em meio à pandemia, tornaram-se comuns lives em benefício de organizações não governamentais e recebam doações, muitas delas via QR Code. Alguns criminosos fazem o download dessas apresentações e criam uma transmissão nova em que colocam seu próprio código QR. Assim, recebem as doações de quem não tem muita experiência com a tecnologia.

Portanto:

• Sempre verifique a identidade de quem está solicitando o PIX;
• Na hora de efetivar a transação, fique atento: os aplicativos estão cada vez mais fáceis de utilizar e o usuário, muitas vezes, seleciona ‘Confirmar’ sem nem perceber que está transferindo recursos para um nome que não conhece;
• Alguns sites já estão adotando pagamento por PIX. Nesse caso, se o usuário estiver em um ambiente falso, o dinheiro vai para a conta do golpista;
• É fundamental confirmar o limite disponível para transferência por PIX com a instituição financeira. Às vezes, o próprio usuário comete um erro de digitação e atribui a perda a um golpe;
• Usuários que não têm familiaridade com o PIX podem treinar o uso do recurso. Uma boa ideia é fazer uma transferência de R$ 1 para um conhecido, de modo a testar a funcionalidade. E pedir o dinheiro de volta, se quiser, já que o processo é gratuito.

O BACEN também tem uma lista de sugestões importantes. Acompanhe:

• Confira os remetentes de emails e não acesse páginas suspeitas, com endereços curtos ou com erros de digitação;
• Não clique em links recebidos por email, WhatsApp, redes sociais ou mensagens de SMS que direcionam a cadastros de chaves do PIX;
• Cadastre chaves do PIX apenas em canais oficiais de bancos ou fintechs;
• Em caso de suspeita, entre em contato com o banco pelos canais oficiais;
• Após o cadastro, o BACEN envia o código por SMS (se a chave cadastrada for um celular) ou email (se ela for um email). Essa confirmação não vem por ligação telefônica nem por link;
• Não compartilhe esse código;
• Não faça transferências para conhecidos sem confirmar por chamada telefônica ou pessoalmente. O WhatsApp não é uma boa opção, já que pode estar clonado.

Na última sexta-feira BACEN anunciou uma série de mudanças para o uso do PIX. A proposta é melhorar a segurança desse sistema. Entre as ações estão o bloqueio de horários para transferências, limitação de valores e até a escolha dos destinatários. Ainda não se sabe quando as regras começarão a valer efetivamente. Segundo o presidente do BC, Roberto Campos Neto, com o anúncio das mudanças as instituições financeiras poderão se preparar para as novas regras, que "serão efetivas em algumas semanas”.

• Das 20h às 6h fica estabelecido um limite de R$ 1.000 para transferências para mesmo banco, PIX e TED
• Se quiser aumentar esse limite, o cliente pode fazer a solicitação, mas haverá prazo mínimo de 24 horas e máximo de 48 horas para a efetivação do pedido feito por canal digital, impedindo o aumento imediato em situação de risco;
• Clientes passam a poder estabelecer limites transacionais diferentes no PIX para os períodos diurno e noturno, permitindo limites menores durante a noite;
• Instituições poderão permitir que usuários cadastrem com antecedência contas que poderão receber PIX acima dos limites estabelecidos;
• Haverá prazo mínimo de 24h para que o cadastramento prévio de contas por canal digital produza efeitos;
• É possível que uma transação fique retida por 30 minutos durante o dia ou por 60 minutos durante a noite para a análise de risco da operação.

• Passa a ser obrigatório o mecanismo, já existente e hoje facultativo, de marcação no Diretório de Identificadores de Contas Transacionais (DICT) de contas em relação às quais existem indícios de utilização em fraudes no PIX, inclusive no caso de transações realizadas entre contas mantidas no mesmo participante;
• Passam a ser permitidas consultas ao DICT para alimentar os sistemas de prevenção à fraude das instituições;
• Usuários do PIX poderão adotar controles adicionais em relação a transações envolvendo contas marcadas no DICT;
• Usuários de arranjos de pagamentos eletrônicos poderão compartilhar com autoridades de segurança pública as informações sobre transações suspeitas de envolvimento com atividades criminosas;

Ainda não há consenso sobre quem deve arcar com o prejuízo em golpes aplicados utilizando o PIX. Desde que a solução de pagamento instantâneo foi implementada, em novembro de 2020, a Justiça brasileira já tomou decisões tanto a favor de instituições financeiras quanto de clientes que foram lesados por crimes envolvendo o PIX. Especialistas ressaltam que, por mais que envolvam a mesma solução, os crimes podem ter diferentes perfis, o que acaba sendo determinante para as decisões.

Via de regra, o banco não tem responsabilidade quando há um crime cometido utilizando o PIX, porque, no caso de um sequestro relâmpago, por exemplo — crime que cresceu 39% no Estado de São Paulo —, a própria vítima coloca o login no aplicativo de banco e faz a transferência, de modo que o banco não contribui em nada com essa fraude. Por outro lado, algumas decisões judiciais atribuíram a responsabilidade aos bancos quando as vítimas entraram em contato com a instituição financeira logo após o crime, requerendo o bloqueio dos valores na conta de destino, mas não foram atendidas, ou quando há suspeita de invasão do aplicativo.

De acordo com a súmula 479 do STJ, "as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias". Em tese, isso significa que os bancos acabam arcando com o prejuízo em casos de invasão de hackers, fraude nos sistemas, entre outros problemas internos. Por outro lado, em sequestros relâmpagos há o que se chama de "fortuito externo" — ou seja, elementos que fogem das margens de controle que as instituições financeiras colocam nos aplicativos. Nesses casos, a responsabilização das instituições costuma ser mais rara.

Em julho, a Justiça de Goiás condenou parcialmente o Banco Itaú a restituir o valor de R$ 20 mil a duas vítimas de um golpe sofrido após um criminoso ter alegado ser funcionário do banco e realizar movimentações por PIX. A vítimas fizeram um boletim de ocorrência e tentaram resolver a situação de forma administrativa, mas houve "recusa do banco". Com isso, o juiz responsável pelo caso refutou o argumento da instituição financeira — de que a culpa é exclusiva do autor da ação — e ainda condenou o banco a pagar uma indenização de R$ 5 mil por danos morais.

Por outro lado, uma decisão recente do TJ-SP em ação ajuizada contra o Banco Itaú entendeu pela improcedência do pedido feito por uma vítima que teve o celular furtado e R$ 8 mil retirados de sua conta. De acordo com a magistrada que jugou o caso, a responsabilidade é exclusiva do cliente, pois a transação foi realizada pelo aplicativo no celular.

Com informações de O Estado de S. Paulo