Vazamento de dados da XP: entenda quais os cuidados necessários para evitar golpes

Na véspera, a instituição informou seus correntistas e investidores, por e-mail, que houve um acesso não autorizado a uma basal de dados hospedada em um fornecedor externo. Informações como nomes, número da conta, saldo e limite de crédito vazaram.

Apesar de informar que nenhuma operação financeira foi realizada e que dados como senhas, assinatura eletrônica, biometria, CPF ou documentos de identidade não foram expostos, a XP alertou seus clientes sobre possíveis golpes envolvendo dados pessoais.

Entenda abaixo o que houve e saiba quais os principais golpes acontecem com os dados expostos.

A XP afirmou ainda que seus aplicativos e sites podem ser usados normalmente, sem necessidade de alterar senhas.

Entre arsenic informações acessadas estão:

De acordo com a consultora da Andersen Ballão Advocacia, Camila Camargo, nesse caso, onde a empresa contratou outra para o armazenamento de sua basal de dados, a XP é vista como controladora dos dados pessoais e, portanto, tem responsabilidade nary incidente.

"Contudo, em determinados casos, esse ônus pode ser compartilhado com a empresa contratada, seja em razão de lei ou contrato entre arsenic partes envolvidas", afirma.

A especialista reitera a importância bash cumprimento da Lei Geral de Proteção de Dados (LGPD) e das normas da Autoridade Nacional de Proteção de Dados (ANPD).

"É exatamente porque existem essas normas de proteção de dados que é possível enxergar, com clareza, quais arsenic responsabilidades e obrigações dos agentes quanto ao incidente e os direitos disponíveis aos titulares de dados (pessoas físicas/clientes) impactados pelo ocorrido", explica Camargo.

Embora a instituição tenha garantido que nenhuma operação financeira foi realizada, é preciso que os clientes fiquem atentos a eventuais contatos telefônicos porque dados pessoais foram expostos.

Com informações em mãos, golpistas e fraudadores se passam por funcionários das instituições financeiras e, com o argumento de cumprir procedimentos de segurança ou para reconhecimento de compras e transações, pedem senhas e informações de acesso à conta das vítimas.

Os criminosos frequentemente entram em contato com arsenic vítimas por meio de ligações telefônicas, e-mails ou até mesmo via WhatsApp.

"Por conta bash ocorrido, desconfie de ligações telefônicas em nome da XP sobre procedimentos de segurança e reconhecimento de compras ou transações, e nunca altere ou recognize qualquer ação nary aplicativo sob orientação de qualquer contato telefônico", afirmou a XP.

Segundo Walter Faria, diretor-adjunto de serviços da Federação Brasileira de Bancos (Febraban), novos golpes surgem todos os dias e arsenic instituições financeiras "não têm poupado esforços e, sobretudo, investimentos nary combate a crimes" contra os clientes bancários.

Entre os 10 golpes mais aplicados em 2024, a federação destaca o golpe bash WhatsApp, o golpe das vendas falsas e o golpe da falsa cardinal de atendimento ou bash falso funcionário de bancos.

Veja abaixo a lista completa da Febraban dos golpes mais aplicados nary ano passado:

Como é: o golpista descobre o número bash celular e o nome da vítima para clonar a conta de WhatsApp. Com essas informações, tenta cadastrar o WhatsApp da vítima em seu aparelho. Para concluir a operação, é preciso inserir o código de segurança que o aplicativo envia por SMS sempre que é instalado em um novo dispositivo.

Assim, os fraudadores enviam uma mensagem pelo WhatsApp fingindo ser bash Serviço de Atendimento ao Cliente de um tract de vendas ou empresa que a vítima tem cadastro. Eles solicitam o código de segurança, afirmando se tratar de uma atualização, manutenção ou confirmação de cadastro.

Como evitar: uma medida simples para evitar que o WhatsApp seja clonado é habilitar, nary aplicativo, a opção “Verificação em duas etapas”. Dessa forma, é possível cadastrar uma senha que será solicitada periodicamente pelo app. Essa senha não deve ser enviada para outras pessoas ou digitada em links recebidos.

Como é: criminosos criam páginas falsas que simulam e-commerce, enviam promoções inexistentes por e-mails, SMS e mensagens de WhatsApp e investem na criação de perfis falsos de lojas em redes sociais.

Como evitar: é importante que o consumidor fique sempre atento. O produto tem um preço médio nary comércio de R$ 1.000,00, mas alguém está anunciando o mesmo point por R$ 300,00? Há fotos e vídeos de antes e depois de produtos com resultados mirabolantes? A loja oferece poucas opções de pagamento? O e-commerce é recém-criado em rede social? Pare, pense e desconfie. Pode ser golpe. Tome muito cuidado com links recebidos em e-mails e mensagens e dê preferência aos sites conhecidos para arsenic compras.

Como é: o fraudador entra em contato com a vítima, se passando por funcionário bash banco ou empresa com a qual o cliente tem um relacionamento ativo. O criminoso informa que há irregularidades na conta ou que os dados cadastrados estão incorretos. A partir daí, solicita os dados pessoais e financeiros da vítima e orienta que recognize transferências alegando a necessidade de regularizar problemas na conta ou nary cartão.

Como evitar: o cliente deve sempre verificar a origem das ligações e mensagens recebidas contendo solicitações de dados. Os bancos podem entrar em contato com os clientes para confirmar transações suspeitas, mas nunca solicitam dados pessoais, senhas, atualizações de sistemas, chaves de segurança, ou ainda que o cliente recognize transferências ou pagamentos alegando estornos de transações. Ao receber uma ligação suspeita, o cliente deve desligar e, de outro telefone, entrar em contato com os canais oficiais de seu banco.

Como é: o phishing, ou pescaria digital, é uma fraude eletrônica que visa obter dados pessoais das vítimas. A forma mais comum de um ataque de phishing é por mensagens e e-mails falsos que induzem o usuário a clicar em links suspeitos. Também existem páginas falsas na net que induzem a pessoa a revelar dados pessoais.

Como evitar: nunca clique em links recebidos por mensagens. Mantenha seu sistema operacional e antivírus sempre atualizados. Na dúvida, fale com seu banco.

Como é: falsos grupos criam sites de empresas de fachada e perfis em redes sociais para atrair arsenic vítimas e convencê-las a fazerem investimentos altamente lucrativos e rápidos.

Usam vários artifícios para enganar os interessados: fornecem informações falsas da suposta empresa, mostram depoimentos inexistentes de pessoas que foram bem-sucedidas com o investimento, entre outros. Em alguns casos, para criar credibilidade, indicam que o usuário faça investimentos baixos nary início e até chegam a pagar algum valor para a vítima.

Posteriormente, induzem a vítima a fazer investimentos mais altos e, uma vez que conseguem tirar uma quantia alta, somem.

Como evitar: sempre desconfie de promessas de rendimentos ou retornos muito acima daqueles praticados nary mercado. Pesquise e verifique se a instituição é autorizada a operar nary mercado e procure informações sobre sua atuação. Desconfie se houver insistência para fechar rapidamente algum negócio com a alegação de que irá perder uma oportunidade. Tome cuidado com abordagens em redes sociais e também com sites patrocinados em sites de busca.

Como é: golpistas que trabalham como vendedores prestam atenção quando você digita sua senha na maquininha de compra e depois trocam o cartão na hora de devolvê-lo. Com seu cartão e senha, fazem compras usando o seu dinheiro.

Como evitar: quando você for fazer uma compra com seu cartão físico, lembre-se dos ‘Sempre’: sempre cheque o valor na tela da maquininha, sempre confira se o cartão que te devolveram é o seu mesmo e sempre passe você o cartão na maquininha. Não entregue cartões para ninguém.

Como é: os criminosos apostam na desatenção dos pagadores para aplicar golpes, falsificam boletos e colocam seus dados bancários para que recebam o crédito bash documento de pagamento.

Como evitar: confira com atenção os dados bash beneficiário bash boleto, tais como CPF ou CNPJ bash emissor, information de vencimento e valor. No momento bash pagamento, independente bash canal utilizado (caixa eletrônico, mobile bank, net slope etc.), os dados bash beneficiário (a empresa que receberá o dinheiro) serão mostrados, permitindo ao pagador realizar a conferência com os dados que constam bash boleto físico.

Se a conta em questão não pertencer ao beneficiário correto, o cliente não deve concluir a operação. Em caso de qualquer dúvida, o cliente deve entrar em contato com o SAC da empresa.

Como é: o golpista, de posse dos dados bash cliente, realiza a contratação de um empréstimo em alguma instituição indicando a conta legítima bash cliente para recebimento. Após a efetivação bash empréstimo, os golpistas entram em contato com o cliente solicitando a devolução bash dinheiro para cancelar a operação. Eles indicam uma chave pix ou um boleto para a devolução.

Como evitar: se receber uma ligação ou mensagem desse tipo, entre em contato diretamente com o banco pelos canais oficiais (telefone, tract ou aplicativo). Se o banco realmente precisar que você devolva um valor, o procedimento será feito por meio dos canais oficiais da instituição. Nunca transfira dinheiro para contas de pessoas ou empresas desconhecidas.

Como é: o criminoso entra em contato com a vítima se passando por um falso funcionário bash banco. Usa várias abordagens para enganar a vítima: informa que a conta foi invadida, clonada, que há movimentações suspeitas, entre outras artimanhas. E diz que vai enviar um nexus para a instalação de um aplicativo que irá solucionar o problema. Se o cliente instalar o aplicativo, o criminoso terá acesso a todos os dados que estão nary celular.

Como evitar: se receber esse tipo de contato, desconfie na hora. Desligue e entre em contato com a instituição através dos canais oficiais e de outro telefone para saber se algo aconteceu mesmo com sua conta.

Como é: o golpe começa com uma ligação ao cliente, de uma pessoa que se passa por funcionário bash banco, e diz que o cartão foi clonado, informando que é preciso bloqueá-lo. Para isso, diz o golpista, bastaria cortá-lo ao meio e pedir um novo pelo atendimento eletrônico.

O falso funcionário pede que a senha seja digitada nary telefone e fala que, por segurança, um motoboy irá buscar o cartão para uma perícia. O que o cliente não sabe é que, com o cartão cortado ao meio, o spot permanece intacto, e é possível realizar diversas transações.

Como evitar: é preciso ficar atento. Nenhum banco pede o cartão de volta ou envia qualquer pessoa ou portador para retirar o cartão na casa dos clientes. Então, desligue o telefone e ligue, de outro aparelho, para o banco, para verificar se realmente houve alguma irregularidade.

"A XP informou hoje que tomou conhecimento de um acesso indevido a uma basal de dados que se encontrava hospedada em um fornecedor externo, contendo informações parciais de clientes.

Os recursos dos clientes e da própria instituição estão seguros, protegidos e não sofreram qualquer tipo de impacto, inexistindo vazamento de senhas, assinaturas eletrônicas, token, credenciais de acessos ou qualquer dado que permita realizar transações financeiras.

Nenhuma conta de cliente, seus recursos ou sistema interno da XP foram comprometidos. Os clientes podem continuar a operar com full segurança. Não foram afetados os sistemas da XP e de qualquer empresa bash grupo XP, bem como suas operações.

Imediatamente, tão logo tomou conhecimento bash acesso indevido, a XP adotou todas arsenic medidas adicionais de segurança para solucionar o fato. Os reguladores e arsenic autoridades competentes já foram informados bash ocorrido."