Decripte — Cibersegurança Enterprise
Financeiro · Case de Cibersegurança

Segurança para Carteiras Digitais e Pix: defendendo saldo, chaves Pix e o DICT

Wallets e iniciadoras de pagamento concentram saldo, chaves Pix e acesso ao DICT — alvo prioritário de golpe de portabilidade, QR Code adulterado e abuso de iniciação. A Decripte mapeia o vetor, implanta validação de beneficiário e cria regras de SOC para detectar troca de chave em tempo real.

Resposta direta

Para proteger uma carteira digital ou iniciadora de pagamento Pix você precisa cobrir três frentes ao mesmo tempo: (1) endurecer o fluxo transacional — validar o beneficiário de cada Pix contra o nome retornado pelo DICT antes de exibir a confirmação, vincular o QR Code lido ao txid e ao valor esperado, e nunca confiar em dados de pagamento que cheguem só pelo cliente; (2) detectar abuso em tempo real — um SOC antifraude que correlacione troca de chave Pix, mudança de dispositivo, portabilidade de número e velocidade de saque, disparando bloqueio antes da liquidação; e (3) provar resiliência com pentest do app e da jornada Pix/Open Finance e resposta a incidentes pronta com contenção em até 1 hora. A Decripte faz exatamente isso: pentest de wallet e fluxo Pix, SOC 24x7 com regras antifraude, conformidade com o Regulamento do Pix e o arcabouço do Open Finance, e IR com SLA de contenção menor ou igual a 1h. Comece pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free.

Comece grátis agora Ver planos pagos

24/7

SOC antifraude monitorando transações Pix

<=1h

SLA de contenção em resposta a incidentes

PCI-DSS

Exigência para guarda e processamento de dados de cartão

LGPD

Base legal e minimização de dados de pagamento e chaves Pix

Em resumo

  • A superfície crítica de uma wallet Pix não é só o app: é a tríade saldo, chave Pix/DICT e a sessão autenticada do usuário — comprometer qualquer uma delas leva a saque irreversível.
  • Fraude de QR Code e troca de chave exploram a confiança visual do usuário e a ausência de validação servidor-side do beneficiário; a defesa é técnica (vincular txid/valor/recebedor) e comportamental (SOC detectando troca de chave).
  • Account takeover em wallet costuma começar fora do app — SIM swap, portabilidade de número e phishing de OTP — por isso a detecção tem de correlacionar sinais de dispositivo, rede e velocidade, não só a senha.
  • Iniciação de pagamento via Open Finance e Pix Automático amplia a superfície: consentimentos abusivos e iniciadoras maliciosas exigem validação de escopo, expiração e limites por consentimento.
  • Incidente em pagamento é incidente regulatório: notificação à ANPD (LGPD) e comunicação ao Banco Central seguem prazos próprios — a resposta tem de cuidar de contenção técnica e do dossiê de compliance ao mesmo tempo.
  • A Decripte combina pentest do fluxo Pix, SOC 24x7 antifraude e IR com contenção em até 1h; o ponto de entrada sem custo é o diagnóstico de Gestão de Ameaças em decripte.io/free.
Financeiro

Cibersegurança para Carteiras Digitais e Pix

Wallets e iniciadoras de pagamento concentram saldo, chaves Pix e acesso ao DICT — alvo prioritário de golpe de portabilidade, QR Code adulterado e abuso de iniciação. A Decripte mapeia o vetor, implanta validação de beneficiário e cria regras de SOC para detectar troca de chave em tempo real.

Comece grátis agora Ver planos pagos

Por que carteiras digitais e Pix são alvo prioritário

Uma carteira digital com Pix é, do ponto de vista de um atacante, um cofre com porta giratória. Diferente de uma conta bancária tradicional, onde a fricção de transferência ainda existe em alguns fluxos, a wallet foi desenhada para mover dinheiro em segundos, a qualquer hora, de forma irreversível. O Pix liquida em tempo real e não tem estorno automático: uma vez que o valor sai, recuperá-lo depende de bloqueio cautelar, do Mecanismo Especial de Devolução (MED) e de sorte. Isso muda completamente a economia do ataque — o criminoso não precisa de tempo para sacar, precisa de segundos.

Some-se a isso o que a wallet concentra: saldo em conta de pagamento, uma ou mais chaves Pix vinculadas (CPF, telefone, e-mail ou chave aleatória), o vínculo dessas chaves no Diretório de Identificadores de Contas Transacionais (DICT) e a sessão autenticada do usuário, frequentemente persistida no dispositivo para reduzir fricção. Cada um desses elementos é um vetor independente. Comprometer o saldo direto exige furar o saque; comprometer a chave permite redirecionar pagamentos legítimos; comprometer a sessão permite operar como o usuário; e enumerar o DICT permite construir listas de alvos com dados reais.

O que a wallet concentra (e por que cada item é um alvo)

  • Saldo em conta de pagamento — alvo do saque direto, irreversível pela natureza do Pix.
  • Chaves Pix vinculadas (CPF, telefone, e-mail, EVP) — alvo da troca de chave e do redirecionamento de recebimentos.
  • Vínculo no DICT — alvo de enumeração e de portabilidade fraudulenta.
  • Sessão autenticada e device binding — alvo do account takeover e do uso da conta como laranja.
  • Consentimentos de Open Finance / Pix Automático — alvo do abuso de iniciação de pagamento.

O resultado é que o mesmo usuário pode ser atacado por caminhos completamente distintos, e a defesa precisa cobrir todos. Proteger só o login não impede o QR Code adulterado. Validar só o QR Code não impede a portabilidade fraudulenta de número que precede um SIM swap. É por isso que a segurança de uma wallet Pix é, antes de tudo, um problema de correlação: ver o conjunto de sinais e decidir, em tempo real, se aquela operação é legítima.

O princípio que organiza tudo

Em pagamento instantâneo e irreversível, a defesa precisa acontecer ANTES da liquidação. Detectar a fraude depois do Pix sair é fazer perícia, não prevenção. Toda a arquitetura de segurança de uma wallet deve ser desenhada para inserir um ponto de decisão — humano ou automático — entre a intenção de pagar e a liquidação, sem destruir a experiência do usuário legítimo.

As quatro ameaças que mais derrubam wallets Pix

1. Fraude de QR Code Pix e troca de chave

O QR Code Pix carrega, no payload (padrão EMV MPM, BR Code), os dados do recebedor: chave, valor, txid e, no caso dinâmico, uma URL de payload hospedada pelo PSP recebedor. O golpe clássico substitui o QR Code legítimo por um do fraudador — em cobranças, boletos, telas de checkout, adesivos físicos em comércios e até em conversas de suporte falso. A vítima lê, vê um valor plausível, e confirma. Se o app exibe apenas o valor e um nome genérico, ou se trunca o nome do recebedor, o usuário não percebe que está pagando para outra pessoa. A variante mais perigosa é a troca de chave: o atacante que assume o controle de uma conta altera a chave Pix vinculada ou cria uma nova, de modo que recebimentos esperados pelo titular passem a cair em conta controlada por ele. A detecção exige observar o evento de criação/alteração de chave no DICT como sinal de risco de primeira ordem.

Onde o QR Code engana mesmo usuários atentos

  • Nome do recebedor truncado ou exibido em fonte pequena na tela de confirmação.
  • QR dinâmico apontando para payload externo que pode ser alterado server-side pelo recebedor após a leitura.
  • Valor exibido correto, mas chave/recebedor diferente do esperado — o usuário valida o número, não o destino.
  • Re-uso de txid ou ausência de vínculo entre o QR lido e o pedido de compra original.

2. Account takeover, saque de saldo e abuso de iniciação

O ATO de wallet raramente começa pela senha. Começa por SIM swap (o fraudador porta o número da vítima para um chip sob seu controle e passa a receber os SMS de OTP), por phishing de credenciais e códigos, por malware bancário em Android que sobrepõe telas (overlay) e captura PIN, ou por engenharia social com falso suporte. Com o segundo fator capturado, o atacante registra um novo dispositivo, troca a senha, e tem uma janela curta mas suficiente para saquear o saldo via Pix antes que o titular perceba. O abuso de iniciação de pagamento (Pix Automático e Open Finance) amplia ainda mais a superfície: se uma iniciadora maliciosa ou comprometida obtém um consentimento amplo, com limite alto e validade longa, ela pode disparar pagamentos sem nova autenticação a cada operação — explorando consentimentos mal escopados e falta de revalidação para mudanças de valor ou beneficiário.

Sinais que, correlacionados, denunciam um ATO em andamento

  • Novo dispositivo + troca de senha + tentativa de Pix de alto valor na mesma sessão.
  • Portabilidade recente do número associado à conta ou à chave Pix.
  • Mudança de chave Pix seguida de saque imediato.
  • Geolocalização/ASN incompatível com o histórico do usuário e horário atípico.
  • Aumento abrupto da velocidade transacional (múltiplos Pix em sequência para chaves novas).

O quarto vetor crítico é o vazamento e a enumeração no DICT. O DICT permite consultar a qual conta uma chave está vinculada — é o que torna o Pix utilizável. Mas consultas em massa, automatizadas e sem rate limit adequado, permitem enumeração: confirmar quais CPFs/telefones têm conta em determinado PSP, vincular dados pessoais a contas e montar listas de alvos qualificadas. O Banco Central impõe limites de consulta e monitora padrões; do lado do PSP, a defesa é tratar acesso ao DICT como dado sensível, com limitação de taxa, detecção de scraping e minimização do que se expõe ao cliente.

Enumeração de DICT não é só problema de privacidade

Listas de chaves válidas alimentam os outros vetores: o atacante usa a enumeração para escolher alvos com saldo provável, personalizar o phishing (sabe o nome real do titular) e direcionar o golpe de QR Code. Tratar o DICT como superfície de ataque ativa — e não só como um diretório de consulta — é diferencial defensivo.

Gestão de Ameaças · Grátis

Os dados de carteiras digitais e pix já estão expostos ou à venda? Descubra agora — de graça.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Comece grátis agora Ver planos pagos

O modelo de ameaça de um fluxo Pix, ponta a ponta

Mapear ameaça em wallet Pix significa percorrer a jornada do dinheiro e perguntar, em cada estágio, o que pode ser falsificado, interceptado ou abusado. A Decripte usa essa abordagem — alinhada ao raciocínio do OWASP para aplicações web e mobile e ao OWASP API Security — para que nenhum ponto de confiança fique sem controle compensatório.

Pontos de decisão de segurança no fluxo Pix

  • Onboarding e KYC: validação de identidade, prova de vida e device fingerprint na criação da conta.
  • Registro/alteração de chave Pix: exigir autenticação forte e tratar a alteração como evento de alto risco monitorado.
  • Leitura/geração de QR Code: validar o payload BR Code server-side, vincular txid, valor e recebedor ao pedido de origem.
  • Confirmação de pagamento: exibir nome completo do beneficiário retornado pelo DICT e comparar com o esperado antes do toque final.
  • Autenticação da transação: segundo fator resistente a phishing para operações de risco, com limites por perfil.
  • Liquidação: ponto de não-retorno — toda análise antifraude precisa concluir antes daqui.
  • Pós-liquidação: monitoramento de devolução (MED), bloqueio cautelar e trilha de auditoria imutável.

A regra de ouro que emerge desse mapa é simples de enunciar e difícil de implementar bem: nunca confie em dados de pagamento que cheguem apenas pelo cliente. O valor, o recebedor e o txid precisam ser determinados e validados no servidor, vinculados ao pedido de compra ou à intenção declarada do usuário. Toda fraude de QR Code prospera onde o app aceita, sem checagem cruzada, o que o QR diz.

Validação de beneficiário: o controle de maior retorno

A medida isolada que mais reduz fraude de QR Code e troca de chave é exibir, na tela de confirmação, o nome completo do recebedor exatamente como retornado pelo DICT, e — quando há um beneficiário esperado (cobrança, fatura) — comparar automaticamente e alertar em caso de divergência. É barato de implementar, não adiciona fricção ao pagamento legítimo e quebra a premissa do golpe.

SOC antifraude transacional: detectar troca de chave em tempo real

Detecção em pagamento instantâneo é uma corrida contra o relógio de liquidação. Um SOC antifraude para wallet Pix não é um SOC genérico de logs: ele ingere o stream de eventos transacionais e de identidade — login, novo dispositivo, criação/alteração de chave, consulta ao DICT, iniciação de pagamento, tentativa de Pix — e aplica regras e modelos que decidem, em milissegundos, se uma operação deve seguir, ser desafiada com autenticação adicional (step-up) ou ser bloqueada.

A Decripte opera o SOC 24x7 sobre essa telemetria, com regras de correlação desenhadas para os padrões deste setor. O sinal mais valioso é justamente a troca de chave Pix seguida de comportamento anômalo: quando uma alteração de chave coincide com novo dispositivo, portabilidade recente de número, ou é imediatamente seguida de saque, a probabilidade de fraude dispara. A regra correta não bloqueia toda troca de chave — isso quebraria o uso legítimo — mas eleva o nível de verificação e congela o saque dentro de uma janela quando o conjunto de sinais ultrapassa um limiar.

Exemplos de regras de SOC para wallet Pix

  • Troca de chave Pix + novo device na mesma janela de 24h → exigir step-up e segurar saques por janela definida.
  • Portabilidade de número detectada + tentativa de reset de credencial → congelar operações de risco e notificar o titular por canal alternativo.
  • QR Code com recebedor divergente do beneficiário esperado da cobrança → bloquear e alertar.
  • Velocidade: N Pix para chaves criadas há menos de X minutos → revisão automática.
  • Consentimento de iniciação com limite alto e validade longa criado fora do padrão do usuário → revalidar escopo.

Tão importante quanto detectar é não afogar o time em falso positivo. A filosofia da Decripte é não bloquear grosseiramente (não derrubar ASN inteiro, não barrar todo Pix acima de um valor), e sim calibrar regras por risco e por perfil de usuário, medindo a taxa de FP e ajustando continuamente. Antifraude que gera atrito demais é desativado pela área de negócio na primeira reclamação — e aí a proteção vira zero.

O que muda com SOC dedicado

Sem SOC, a troca de chave fraudulenta vira um evento entre milhões de logs, descoberto quando o cliente liga reclamando do saque. Com SOC antifraude calibrado, a mesma troca de chave acende um alerta correlacionado em segundos, o saque é segurado e um analista decide antes da liquidação — transformando uma perda consumada em uma tentativa bloqueada.

Pentest de wallet e do fluxo Pix: provar antes que provem por você

O pentest de uma carteira digital com Pix vai muito além de um scan de aplicação. A Decripte testa a jornada inteira como um atacante real testaria, cobrindo o app mobile, as APIs de back-end, a integração com o arranjo Pix e os fluxos de Open Finance. O objetivo é encontrar a falha antes que ela vire incidente — e fazê-lo de forma controlada, com regras de engajamento claras e sem tocar em dados reais de clientes além do estritamente autorizado.

Escopo típico de um pentest de fluxo Pix

  • App mobile (Android/iOS): root/jailbreak detection, certificate pinning, proteção contra overlay e captura de tela, armazenamento seguro de sessão e segredos.
  • APIs de pagamento: autorização por objeto (BOLA/IDOR), validação server-side de valor/recebedor/txid, replay de requisições de Pix, manipulação de limites.
  • Fluxo de chave Pix: tentativa de alteração sem autenticação forte, race conditions no registro de chave, abuso do fluxo de reivindicação/portabilidade.
  • Open Finance / iniciação: escopo e expiração de consentimento, revalidação para mudança de valor/beneficiário, isolamento entre consentimentos.
  • Anti-automação: rate limit de consultas ao DICT, detecção de enumeração, proteção de endpoints de OTP contra força bruta.
  • Autenticação e sessão: resistência a SIM swap no fluxo de recuperação, força do segundo fator, expiração e revogação de sessão.

Cada achado vem com prova de conceito reproduzível, classificação de severidade, impacto de negócio e plano de correção priorizado. Para uma wallet, a diferença entre um relatório útil e um inútil é a tradução do técnico para o transacional: não basta dizer que existe um IDOR; é preciso mostrar que aquele IDOR permite ler o saldo de outro usuário ou disparar um Pix em nome dele, e quanto isso custa em risco real.

Pentest recorrente, não evento único

Wallet é software vivo: a cada release de app, integração de iniciadora ou mudança no arranjo Pix, a superfície muda. A Decripte estrutura o pentest como prática recorrente — retest após correções e cobertura de novas funcionalidades — em vez de um carimbo anual que envelhece em semanas.

Gestão de Ameaças · Grátis

Quanto custaria um incidente em carteiras digitais e pix? Veja o seu risco real antes que ele aconteça.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Comece grátis agora Ver planos pagos

Conformidade: BCB, Open Finance, LGPD e PCI-DSS sem ficção regulatória

Carteira digital e iniciadora de pagamento operam dentro de um arcabouço regulatório denso, e a segurança precisa conversar com ele. A Decripte estrutura a conformidade de forma que os controles técnicos sustentem as exigências, e não o contrário — evitando o teatro de compliance em que se preenche planilha sem reduzir risco.

Marcos regulatórios relevantes para o setor

  • Regulamento do Pix e o arranjo de pagamentos instantâneos do Banco Central — regras do DICT, MED, limites e requisitos do participante.
  • Arcabouço do Open Finance Brasil — papéis de iniciador (ITP), padrões de consentimento, autenticação e segurança de APIs.
  • LGPD (Lei 13.709/2018) e regulação da ANPD — base legal, minimização, e dever de comunicação de incidente com risco a titulares.
  • PCI-DSS — quando há armazenamento, processamento ou transmissão de dados de cartão (recargas, cash-in via cartão).
  • ISO/IEC 27001 — sistema de gestão de segurança da informação como base organizacional dos controles.

Do lado da LGPD, chaves Pix, CPF e dados transacionais são dados pessoais — alguns sensíveis pelo contexto. O tratamento exige base legal adequada, minimização (não exponha mais do que o usuário precisa ver) e, em caso de incidente com risco ou dano relevante aos titulares, comunicação à ANPD e aos afetados. A Decripte estrutura o playbook de notificação para que, quando o pior acontecer, a equipe saiba exatamente o que comunicar, a quem e em que prazo — sem improviso jurídico no meio da crise.

Incidente de pagamento é incidente regulatório duplo

Um vazamento ou fraude relevante numa wallet aciona, ao mesmo tempo, obrigações perante a ANPD (LGPD) e perante o Banco Central (como participante de arranjo). A resposta técnica e a resposta de compliance precisam correr em paralelo, com a mesma trilha de evidências — por isso o IR da Decripte já produz o dossiê regulatório durante a contenção, não depois.

Como a Decripte estrutura a defesa de uma wallet Pix

Defender uma carteira digital não é instalar uma ferramenta; é montar um sistema de camadas onde cada uma cobre o que a outra deixa passar. A Decripte parte do mapeamento de ameaças específico do fluxo Pix e constrói da prevenção à resposta, com o SOC no centro porque, em pagamento instantâneo, a velocidade de detecção é a própria segurança.

Camadas que sustentam uma wallet Pix segura

  • Prevenção no fluxo: validação server-side de beneficiário, vínculo de QR/txid, autenticação forte para eventos de risco.
  • Detecção em tempo real: SOC 24x7 antifraude correlacionando identidade, dispositivo, chave e velocidade.
  • Verificação ofensiva: pentest recorrente do app, APIs, fluxo Pix e Open Finance.
  • Conformidade viva: controles mapeados para BCB, Open Finance, LGPD e PCI-DSS.
  • Resposta pronta: IR com contenção em até 1h e dossiê regulatório embutido.
  • Borda: WAF e mitigação de DDoS protegendo as APIs públicas e os endpoints de OTP/consulta.

O ponto de entrada, sem custo e sem compromisso, é o diagnóstico gratuito de Gestão de Ameaças em decripte.io/free — ele já revela exposições reais (superfície externa, vazamentos, sinais de risco) e serve de base para decidir quais camadas pagas priorizar. Quem prefere ver o leque completo encontra os planos em /planos.

Cenário ilustrativo: a onda de QR Codes adulterados na wallet "PagaLeve"

Cenário ilustrativo

Cenário ILUSTRATIVO (não é um cliente real). A "PagaLeve" é uma carteira digital fictícia com cerca de 2 milhões de usuários, Pix nativo e início de integração com Open Finance. Ao longo de uma semana, o time de suporte percebe um aumento de reclamações: usuários afirmam ter pago cobranças com QR Code e o dinheiro foi para o destinatário errado. Em paralelo, alguns clientes relatam que recebimentos esperados pararam de cair na conta. A suspeita inicial é golpe pontual; a realidade é uma campanha coordenada combinando QR Code adulterado em cobranças e troca de chave Pix em contas comprometidas. A PagaLeve aciona a Decripte para resposta a incidentes.

  1. Detecção (hora 0)

    A Decripte ingere a telemetria transacional e cruza as reclamações. Em poucas horas, o SOC identifica dois padrões: (a) confirmações de pagamento onde o recebedor exibido divergia do beneficiário esperado da cobrança original, e (b) um pico anômalo de alterações de chave Pix concentrado em contas que tinham registrado novo dispositivo nas 48h anteriores. A correlação revela que não são golpes isolados, e sim duas pernas da mesma campanha.

  2. Contenção (dentro de 1h da decisão de conter)

    Aplica-se a contenção com SLA menor ou igual a 1h: segura-se temporariamente o saque para o subconjunto de contas que sofreram troca de chave + novo device, exige-se step-up de autenticação para qualquer alteração de chave, e injeta-se uma regra no fluxo de confirmação para bloquear pagamentos cujo recebedor do QR divirja do beneficiário esperado. Endpoints de OTP recebem rate limit reforçado via WAF para cortar a força bruta que alimentava o ATO.

  3. Erradicação

    A análise de causa-raiz mostra que o app exibia o nome do recebedor truncado e não comparava o destino do QR dinâmico com o pedido de origem, permitindo a troca silenciosa do payload. No back-end, o endpoint de alteração de chave aceitava a operação com autenticação fraca em determinada rota. Corrige-se: validação server-side do BR Code com vínculo txid/valor/recebedor, exibição do nome completo do DICT na confirmação, e autenticação forte obrigatória para alteração de chave.

  4. Recuperação

    As contas comprometidas são restauradas com reset assistido de credenciais e revogação de sessões e dispositivos não reconhecidos. Para os Pix já liquidados, aciona-se o Mecanismo Especial de Devolução (MED) e o pedido de bloqueio cautelar junto aos PSPs recebedores, recuperando parte dos valores. Os consentimentos de Open Finance criados no período suspeito são revalidados quanto a escopo e limite.

  5. Detecção contínua (pós-incidente)

    O SOC 24x7 passa a operar as novas regras em regime permanente: troca de chave correlacionada a risco, divergência de beneficiário e velocidade transacional viram alertas de primeira ordem. A taxa de falso positivo é calibrada nas semanas seguintes para não atritar o usuário legítimo.

  6. Lições e estruturação

    Conduz-se um pentest completo do fluxo Pix e do app para fechar vetores adjacentes (IDOR em endpoints de saldo, replay de requisições), estrutura-se o playbook de notificação ANPD/Banco Central, e a validação de beneficiário e o monitoramento de troca de chave passam a ser requisitos fixos de cada release.

Desfecho com a Decripte

No cenário ilustrativo, a combinação de SOC antifraude, contenção em até 1h e correção de causa-raiz transforma uma campanha que poderia ter sangrado milhões em uma janela curta de fraude contida, com parte dos valores recuperada via MED e o vetor fechado de forma permanente. O ganho duradouro não é só ter parado a onda: é a PagaLeve sair do incidente com validação de beneficiário no fluxo, detecção de troca de chave em tempo real e um pentest recorrente — passando de reativa a estruturada. O equivalente desse ponto de partida, na vida real, começa sem custo no diagnóstico de decripte.io/free.

Resposta a Incidentes · 24/7

Não espere o incidente acontecer. Comece a blindar carteiras digitais e pix hoje mesmo.

Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.

Comece grátis agora Ver planos pagos

Como a Decripte responde a um incidente em carteira digital ou Pix

Em pagamento instantâneo e irreversível, a resposta a incidentes é uma corrida contra a liquidação. O processo da Decripte é desenhado para conter primeiro — segurar o saque e cortar o vetor — e só depois investigar com calma, sempre produzindo a trilha de evidências que o regulador vai exigir.

  1. Acionamento e triagem imediata: o time de IR entra com o SOC, ingere a telemetria transacional e de identidade e correlaciona reclamações para distinguir golpe isolado de campanha coordenada, definindo o escopo afetado em horas.
  2. Contenção em até 1h: segura saques das contas de maior risco, força step-up para eventos sensíveis (alteração de chave, novo dispositivo), bloqueia pagamentos com beneficiário divergente e reforça rate limit nos endpoints de OTP e consulta.
  3. Preservação de evidências: captura logs transacionais, eventos de DICT, registros de dispositivo e sessão de forma íntegra e com cadeia de custódia, para sustentar tanto a perícia quanto a notificação regulatória.
  4. Análise de causa-raiz: reconstrói a cadeia do ataque — do vetor de entrada (SIM swap, phishing, QR adulterado, endpoint fraco) até a liquidação — identificando exatamente qual controle falhou.
  5. Erradicação: fecha a causa-raiz (validação server-side de beneficiário, autenticação forte para chave, correção de IDOR/replay) e remove acessos, sessões e dispositivos do atacante.
  6. Recuperação e devolução: restaura contas comprometidas, aciona o Mecanismo Especial de Devolução (MED) e bloqueio cautelar para os Pix já liquidados, e revalida consentimentos de Open Finance suspeitos.
  7. Notificação regulatória: monta o dossiê e apoia a comunicação à ANPD (LGPD) e ao Banco Central nos prazos aplicáveis, com a mesma base de evidências da contenção.
  8. Lições aprendidas e hardening: converte o incidente em regras permanentes de SOC, novos requisitos de release e pentest dirigido aos vetores adjacentes, para que o mesmo caminho não se repita.

Como a Decripte estrutura a segurança de uma wallet Pix

Estruturar é sair do modo reativo. A Decripte monta camadas que cobrem a jornada do dinheiro de ponta a ponta, com o SOC no centro porque, em Pix, detectar rápido é a própria prevenção.

Validação transacional server-side

O coração da defesa contra QR Code e troca de chave: valor, recebedor e txid determinados e checados no servidor, vínculo do QR ao pedido de origem, e exibição do nome completo do beneficiário retornado pelo DICT na confirmação. Nunca confiar em dado de pagamento que chega só pelo cliente.

SOC 24x7 antifraude transacional

Detecção em tempo real correlacionando identidade, dispositivo, alteração de chave Pix, portabilidade de número e velocidade transacional. Regras calibradas por risco e por perfil para bloquear fraude sem afogar o usuário legítimo em falso positivo.

Verificação ofensiva recorrente

Pentest do app mobile, das APIs de pagamento, do fluxo de chave Pix e da iniciação via Open Finance, com retest após correções e cobertura de cada nova funcionalidade — porque a superfície da wallet muda a cada release.

Conformidade alinhada ao arcabouço

Controles mapeados para o Regulamento do Pix e o DICT, o arcabouço do Open Finance, a LGPD/ANPD e, quando há dados de cartão, o PCI-DSS, com ISO/IEC 27001 como base de gestão — compliance que sustenta risco real, não planilha.

Resposta a incidentes pronta

Playbook de IR com contenção em até 1h, cadeia de custódia e dossiê regulatório embutido, integrado ao MED e ao bloqueio cautelar, para que a equipe não improvise no meio da crise.

Proteção de borda das APIs

WAF e mitigação de DDoS sobre os endpoints públicos — OTP, consulta de chave, iniciação — para cortar força bruta, enumeração de DICT e abuso automatizado antes que cheguem à lógica de negócio.

Planos recomendados para Carteiras Digitais e Pix

SOC 24x7

Detecção em tempo real de troca de chave Pix, account takeover e velocidade anômala de saque — em pagamento instantâneo, ver e bloquear antes da liquidação é o controle de maior valor para uma wallet.

Ver plano →

Resposta a Incidentes

Quando o golpe de QR Code ou o saque fraudulento já está em curso, conter em até 1h, acionar o MED e produzir o dossiê para ANPD e Banco Central é o que separa uma janela curta de fraude de uma perda em massa.

Ver plano →

Pentest

Provar a resiliência do app, das APIs de pagamento e do fluxo Pix/Open Finance antes que um atacante o faça — encontrando IDOR, replay, alteração de chave sem autenticação forte e falhas de validação de beneficiário.

Ver plano →

Conformidade

Estruturar e demonstrar aderência ao Regulamento do Pix, ao Open Finance, à LGPD e ao PCI-DSS, com controles que sustentam o risco real e um playbook de notificação pronto para o incidente regulatório duplo.

Ver plano →

Perguntas frequentes

Como proteger minha carteira digital contra fraude de QR Code Pix?

O controle mais eficaz é validar o beneficiário no servidor: exibir na tela de confirmação o nome completo do recebedor exatamente como retornado pelo DICT e, quando há um beneficiário esperado (uma cobrança ou fatura), comparar automaticamente e alertar em caso de divergência. Some-se a isso o vínculo do QR Code ao txid e ao valor do pedido de origem e a regra de nunca confiar em dados de pagamento que cheguem apenas pelo cliente. A Decripte implementa essas validações e cobre o restante com SOC e pentest. Comece o diagnóstico em decripte.io/free.

Como detectar troca de chave Pix fraudulenta em tempo real?

Tratando a criação ou alteração de chave Pix como evento de risco de primeira ordem e correlacionando-o com outros sinais: novo dispositivo, portabilidade recente do número, troca de senha e saque imediato. O SOC 24x7 da Decripte aplica regras que, quando esse conjunto ultrapassa um limiar, exigem step-up de autenticação e seguram o saque por uma janela — sem bloquear toda troca de chave legítima.

O que fazer quando o saldo do cliente é saqueado via Pix por account takeover?

Acionar a resposta a incidentes imediatamente. A Decripte contém em até 1h (segura saques das contas afetadas, revoga sessões e dispositivos do atacante, força step-up), preserva evidências, aciona o Mecanismo Especial de Devolução (MED) e o bloqueio cautelar para os Pix já liquidados, e apoia a notificação à ANPD e ao Banco Central. Em paralelo, fecha a causa-raiz para que o vetor não se repita.

Como o abuso de iniciação de pagamento no Open Finance e no Pix Automático é evitado?

Validando o consentimento como controle central: escopo mínimo, limites por consentimento, validade adequada e revalidação obrigatória quando muda valor ou beneficiário, além de isolamento entre consentimentos. A Decripte testa esses fluxos no pentest e monitora, via SOC, consentimentos criados fora do padrão do usuário — limite alto e validade longa surgidos de repente são sinal de alerta.

Enumeração do DICT é um risco real para minha wallet?

Sim. Consultas em massa e sem rate limit adequado permitem confirmar quais CPFs e telefones têm conta no PSP e montar listas de alvos qualificadas, que alimentam phishing e golpe de QR Code direcionados. A defesa é tratar o acesso ao DICT como superfície ativa: limitação de taxa, detecção de scraping, minimização do que se expõe ao cliente e proteção de borda nos endpoints de consulta.

Quais normas e regulações minha carteira digital com Pix precisa atender?

O Regulamento do Pix e as regras do arranjo do Banco Central (incluindo DICT e MED), o arcabouço do Open Finance Brasil se houver iniciação de pagamento, a LGPD e a regulação da ANPD para dados pessoais, e o PCI-DSS quando há dados de cartão (por exemplo, cash-in via cartão). A ISO/IEC 27001 serve de base organizacional. A Decripte estrutura controles que sustentam essas exigências sem teatro de compliance.

Pentest de uma wallet Pix é diferente de um pentest de aplicação comum?

Sim. Além do app mobile e das APIs, ele percorre a jornada do dinheiro: validação server-side de valor e recebedor, replay de requisições de Pix, alteração de chave sem autenticação forte, abuso de portabilidade, escopo de consentimento de Open Finance e anti-automação no DICT. Cada achado é traduzido para impacto transacional real, com prova de conceito e plano de correção priorizado.

Por onde começar sem custo?

Pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free, que já revela exposições reais da sua superfície externa e sinais de risco, servindo de base para priorizar. Para ver o leque completo de planos pagos, acesse /planos.

Termos do setor

DICT (Diretório de Identificadores de Contas Transacionais)
Base centralizada do arranjo Pix, operada pelo Banco Central, que vincula cada chave Pix (CPF, telefone, e-mail ou chave aleatória) à respectiva conta. É o que permite pagar usando apenas a chave — e, por isso, é alvo de enumeração e de portabilidade fraudulenta.
MED (Mecanismo Especial de Devolução)
Procedimento do arranjo Pix que permite ao PSP solicitar a devolução de valores em casos de fundada suspeita de fraude ou falha operacional, dentro de prazos e regras definidos. É um dos instrumentos de recuperação acionados na resposta a incidentes.
Account Takeover (ATO)
Tomada de controle da conta de um usuário legítimo pelo atacante, geralmente via SIM swap, phishing de credenciais e OTP, ou malware. Em wallets, costuma preceder o saque imediato do saldo via Pix antes que o titular perceba.
Iniciador de Transação de Pagamento (ITP)
Papel do Open Finance em que um terceiro autorizado dispara pagamentos em nome do usuário, mediante consentimento. Mal escopado ou comprometido, abre caminho para abuso de iniciação — pagamentos disparados sem nova autenticação a cada operação.
BR Code
Padrão de QR Code de pagamentos do Banco Central, baseado no formato EMV MPM, que carrega no payload os dados do recebedor (chave, valor, txid e, no QR dinâmico, uma URL de payload). Validar esse payload no servidor é central contra a fraude de QR Code.
Step-up authentication
Elevação dinâmica do nível de autenticação exigido quando uma operação é classificada como de risco (alteração de chave, novo dispositivo, Pix de alto valor), pedindo um fator adicional resistente a phishing sem atritar as operações de baixo risco.

A Decripte protege e responde a incidentes no setor de carteiras digitais e pix.

Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.

Comece grátis agora Ver planos pagos