Você copia uma chave Pix, cola no aplicativo do banco e acredita que está pagando a pessoa certa. Mas o dinheiro vai parar na conta de um criminoso. Esse é o mecanismo do clipboard hijacking — ou sequestro da área de transferência —, uma fraude digital que especialistas em segurança estão alertando com cada vez mais urgência no Brasil.
O golpe funciona de forma silenciosa. Quando o usuário copia uma chave Pix, um endereço de criptomoeda ou outro dado importante, um malware substitui automaticamente essa informação por outra controlada pelos criminosos. Como a alteração ocorre de maneira discreta, muitas vítimas acabam colando e utilizando o dado falso sem notar a troca.
A técnica afeta usuários de Android e iOS e tem sido usada no Brasil para roubar dados de Pix, acessar contas bancárias e realizar transferências. O perigo está justamente na naturalidade do gesto: copiar e colar é algo que qualquer pessoa faz dezenas de vezes por dia, sem desconfiança.
A infecção costuma ocorrer por meio da instalação de aplicativos e programas pirateados obtidos fora das lojas oficiais, anexos enviados em e-mails maliciosos e até páginas falsas que utilizam CAPTCHA ou janelas pop-up para instalar códigos nocivos. Após infectar o aparelho, o vírus permanece oculto e só entra em ação quando identifica informações consideradas valiosas.
Versões mais avançadas do malware são ainda mais perigosas. Alguns malwares conseguem reconhecer diferentes formatos de dados e gerar automaticamente um endereço compatível com o tipo de informação copiada, reduzindo as chances de despertar suspeitas. Ou seja: se você copiar um CPF, o vírus entrega um CPF falso. Se copiar uma chave de e-mail, ele troca por outro e-mail — tudo de forma automática.
Tanto o Android quanto o iOS já foram alvos confirmados dessa ameaça. No sistema da Apple, uma vulnerabilidade existente na versão 14, lançada em 2020, permitia que qualquer aplicativo acessasse a área de transferência sem autorização do usuário. A sincronização entre iPhone, Mac e iPad ampliava ainda mais o risco. Após a repercussão, a Apple passou a exigir permissões específicas, notificações de acesso e implementou novas camadas de proteção.
O Android também restringiu o acesso à área de transferência a partir de 2019 e, com o Android 13, adicionou recursos como alertas de leitura e exclusão automática do conteúdo copiado. Mesmo assim, especialistas alertam que o sistema do Google continua mais vulnerável, já que aplicativos maliciosos conseguem, em alguns casos, chegar até a Play Store disfarçados de ferramentas comuns.
Detectar o ataque não é tarefa fácil. Antivírus também enfrentam dificuldades para barrar o ataque, já que os arquivos maliciosos são leves e ofuscados. Além disso, as regras recentes de estorno de Pix ainda não são amplamente utilizadas, o que amplia os prejuízos para as vítimas.
Para quem usa Pix com frequência — e no Nordeste, assim como no restante do Brasil, o sistema de pagamento instantâneo é parte do dia a dia —, a atenção antes de confirmar qualquer transferência é a principal linha de defesa. As recomendações de segurança incluem: conferir os primeiros e os últimos caracteres da chave Pix antes de concluir o pagamento; priorizar pagamentos por QR Code em vez de copiar e colar chaves; confirmar dados sensíveis por outros canais antes de enviar o dinheiro; evitar aplicativos pirateados ou obtidos fora das lojas oficiais; e manter antivírus, antimalwares e o sistema operacional sempre atualizados.
O especialista Lucas Lago, membro do Instituto Aaron Swartz de Ciberativismo, reforça que a principal dica é não fazer Pix sem checar a pessoa que vai receber o dinheiro. "Os aplicativos vão indicar nome, conta e outras informações da pessoa que você está fazendo a transferência. É importante conferir isso sempre", diz Lago. Ele também orienta a verificar antes os links no Google e se o nome que aparece ali está correto.
