L’enregistrement des clés Pix a déjà été publié, bien que les transactions avec le nouveau système de paiement de la Banque centrale ne soient disponibles qu’à partir du 16 novembre 2020. Cependant, même à ce premier moment, il est nécessaire d’être conscient des fraudes et des vols de données qui profitent de la nouveauté. Apprenez comment enregistrer les clés de Pix en toute sécurité.
Au cours des cinq premières heures ouvrables de la publication du registre des clés Pix le 5 octobre, M. Kaspersky a identifié plus de 30 domaines frauduleux liés au système de paiement. Le souci de Fábio Assolini, le spécialiste principal de la sécurité de l’entreprise, est que ce nombre ne fera qu’augmenter, et c’est la première étape vers la réalisation d’une escroquerie.
Comme il s’agit d’un système financier, l’intérêt pour Pix est grand. Après tout, il est beaucoup plus rapide d’effectuer un transfert par cette méthode. Mais les clés de Pix doivent être entre de mauvaises mains pour que l’arnaque fonctionne.
Les e-mails de phishing ont commencé avant même la publication de l’enregistrement, utilisant le nom de banques populaires pour envoyer un lien vers le pré-enregistrement des clés de Pix. Dans la tentative frauduleuse identifiée par Kaspersky, le site vers lequel le lien conduisait l’utilisateur demandait un mot de passe bancaire, un numéro de téléphone portable et le CPF.
Sommaire
Comment enregistrer les clés de Pix en toute sécurité
Le moyen le plus sûr d’enregistrer une clé Pix est l’application de la banque ou fintech, sur une base volontaire et sans partir d’un lien reçu par SMS ou par e-mail. Dans les institutions qui sont déjà habilitées à enregistrer la clé, une option sera disponible pour le système de paiement de la Banque centrale.
À titre d’exemple :
Enregistrer la clé Pix dans la boîte
Lorsque vous accédez au compte, sur l’écran d’accueil, appuyez sur “Pix” ;
Sélectionnez l’option dans le menu ;
Choisissez “Enregistrer la clé” et suivez les instructions de l’écran suivant.
Clé d’enregistrement dans Nubank
Nubank a placé le bouton pour enregistrer la clé Pix sur l’écran d’accueil. Par-dessus tout, les autres options de compte. Il suffit d’appuyer sur “Enregistrez vos clés” et de suivre les instructions à l’écran.
Enregistrer la clé Pix sur PicPay
Accédez aux paramètres par l’icône de l’engrenage ;
Choisissez l’option “Mon Pix” ;
Suivez les instructions à l’écran pour enregistrer une ou plusieurs clés dans PicPay.
En général, lorsque vous entrez dans une banque ou une application fintech (comme dans l’exemple de l’image ci-dessous), l’option doit être claire et mise en évidence sur l’écran d’accueil, c’est-à-dire si une pop-up apparaît pour annoncer la nouveauté et demander l’enregistrement des clés.
Les banques elles-mêmes se disputent intensément les clés principales des clients : e-mail, téléphone et CPF. Comme le système facilite la transaction pour ces identifiants, il est avantageux pour la banque de les avoir (même si la portabilité est possible), mais nous en avons déjà parlé dans le perlmOl 160 ? Tout le monde veut sa Pix.
Même les arnaqueurs.
Pourquoi mes clés sont-elles importantes ?
La clé Pix est directement liée au compte bancaire du client pour recevoir ou effectuer des virements et des paiements. Mais la sécurité va plus loin : même si certaines de ces données sont faciles à trouver sur Internet, personne ne doit diffuser aux quatre coins du monde quelles sont celles qui sont utilisées et dans quelle banque.
Il est donc plus facile de voler les clés. Supposons que quelqu’un ait enregistré l’e-mail comme le principal moyen de le recevoir. Un arnaqueur peut concevoir une stratégie pour faire migrer cette clé vers son compte et ainsi recevoir les ressources au nom de la victime.
Hypothétiquement, ce client pourrait recevoir un courriel au nom de la banque, demandant des données relatives à la clé déjà enregistrée, qui, en fait, pourraient être des jetons ou des informations de confirmation afin que la clé puisse être portée sur un autre compte.
Pix + échange de cartes SIM
Un autre exemple est la fraude avec le “SIM swap”, une méthode qui permet de transférer un numéro existant vers une nouvelle puce. Cette technique est utilisée pour cloner WhatsApp et demander de l’argent à des amis ou des parents. Mais il peut être utilisé pour voler d’autres informations d’identification et, dans ce cas, enregistrer une clé Pix avec le téléphone de quelqu’un d’autre.
Il est essentiel de garder la clé et le secret bancaire
Les informations financières sont des données sensibles. Moins la clé est publique, mieux et plus il est facile d’identifier une tentative de coup d’État. Le téléphone, le CPF et le courrier électronique sont des données faciles à mémoriser et facilitent effectivement le transfert, mais les soins doivent être doublés.
Il en va de même pour dire quelle banque est utilisée chez Pix. La réception d’un (faux) e-mail provenant d’une banque quelconque permet d’identifier facilement qu’il s’agit d’une escroquerie (puisque la personne n’y a pas de compte), mais lorsque l’e-mail reçu provient de la banque que vous utilisez, la puce se gratte derrière l’oreille ? faites confiance au message ou non ?
Que faire ?
Des tentatives auront toujours lieu. Notre meilleure défense est l’information. Comme l’avertit M. Kaspersky, vous devez vous méfier de tout contenu qui arrive par SMS, par e-mail ou par les réseaux sociaux et ne pas cliquer sur les liens contenus dans ces messages. Les recommandations sont :
- Vérifiez l’expéditeur du courriel : Si l’expéditeur du courriel est le même que celui du site web de la banque, il s’agit d’un contact légitime ;
- Vérifiez l’adresse du site web (URL) vers lequel le lien vous a conduit : si c’est la même que celle de la banque, c’est bon. Sinon, ne procédez pas et n’entrez aucune information vous concernant ;
- Les connexions peuvent également être défectueuses : puisqu’il n’est pas possible de confirmer qui est la personne de l’autre côté de la ligne (un escroc peut également connaître vos données personnelles) ;
- Si vous n’êtes pas sûr que la page soit réelle, ne continuez pas.
Outre le vol d’informations, les sites web frauduleux sur Pix peuvent inviter l’utilisateur à télécharger un logiciel malveillant pour infecter l’appareil utilisé, permettant ainsi l’accès à distance par un certain hacker, ce qui peut compliquer encore plus les choses, puisque certaines applications bancaires n’exigent pas que le client entre un mot de passe ou des données biométriques pour se connecter.
Il est préférable de choisir de faire un enregistrement volontaire des clés par l’application de la banque ou par fintech au lieu de suivre les liens ou les notifications qui doivent mener à la page d’enregistrement. C’est le moyen le plus sûr de s’inscrire. Et comme pour toute navigation sur Internet, la sécurité des informations est importante à l’heure actuelle, prenez soin de vos données.
