Безпека PIX для бізнесу: як захистити торговий рахунок від шахрайства

PIX перетворив спосіб обробки платежів бразильським бізнесом. Миттєве зарахування, відсутність комісій за більшість операцій та доступність 24/7 зробили його домінуючим платіжним методом — 2025 року було опрацьовано понад 40 мільярдів транзакцій. Але в міру поширення PIX зростають і техніки шахрайства, націлені на підприємців.

Для бізнесу, що залежить від PIX, розуміння цих загроз не просто корисне — воно потрібне. Ось ваш повний посібник з безпеки PIX для торговців.

Загрози PIX для бізнесу

1. Підроблені скріншоти оплати

Найпростіше та поширене шахрайство. Клієнт показує сфабриковану квитанцію PIX на екрані телефону, заявляючи, що оплату відправлено. Для завантажених підприємців — фуд-траків, вуличних торговців, роздрібних магазинів — спокуса миготливо поглянути на скріншот і відпустити товар — саме те, на що розраховують шахраї.

Масштаб проблеми: FEBRABAN повідомила, що шахрайство з підробленими квитанціями PIX торкнулося понад 500 000 підприємств у 2025 році.

2. Атаки з заміною QR-коду

Шахраї фізично замінюють ваш PIX QR-код у точці продажу на свій власний. Кожен клієнт, який сканує QR-код, відправляє гроші шахраю, а не вашому бізнесу. Це особливо поширене в:

• Фуд-корти та вуличні намети
• У ринкових торговців
• на станціях самообслуговування
• На друкованих QR-кодах, залишених без нагляду

3. Соціальна інженерія проти співробітників

Шахраї дзвонять у ваш бізнес, представляючись співробітниками банку чи платіжного процесора. Вони заявляють про «оновлення системи PIX» або «перевірку безпеки», що вимагає від співробітників передачі облікових даних, проведення тестового перекладу або встановлення дистанційного доступу.

4. Експлуатація запланованого PIX

Клієнт показує квитанцію запланованого PIX як доказ оплати. На відміну від миттєвого перекладу запланований може бути скасований відправником до обробки. Ви віддаєте товар, а клієнт скасовує платіж.

5. Експлуатація повернень

Клієнт робить невеликий легітимний PIX-платіж, потім заявляє, що заплатив більше чи двічі. Він просить повернення на інший PIX-ключ. Повернення проходить, а ви залишаєтеся в збитку.

6. Захоплення облікового запису через PIX-ключ

Якщо PIX-ключ вашого бізнесу - номер телефону або email, і зловмисник отримає контроль над цим номером (через SIM swap) або поштою, він може перенаправити вхідні платежі на себе.

Матриця загроз для бізнесу

| Загроза | Ціль | Складність Збитки | |---|---|---|---| | Підроблений скріншот | Точка продажу | Низька | Середній за транзакцію | Підміна QR-коду Фізичне розташування | Низька | Високий (зачіпає всіх клієнтів) | Соціальна інженерія Співробітники | Середня | Дуже високий | | Трюк із запланованим PIX | Точка продажу | Низька | Середня | | Експлуатація повернень Фінансовий відділ Середня | Середня | | Захоплення PIX-ключа Бізнес-аккаунт | Висока | Критичний | | Шкідливе ПЗ/RAT | Системи бухгалтерії Висока | Критичний |

Заходи захисту для торговців

Перевірка платежів у реальному часі

Ніколи не покладайтеся на те, що показує клієнт. Введіть наступні кроки перевірки:

1. Перевіряйте банківський рахунок прямо — Відкрийте банківську програму або POS-систему для підтвердження зарахування
2. Налаштуйте push-сповіщення для кожного вхідного PIX-платежу
3. Використовуйте звукові повідомлення — Деякі програми можуть озвучувати вхідні платежі, що корисно в шумному середовищі торгівлі
4. Перевіряйте суму, відправника та час кожної транзакції

Безпека QR-кодів

Захистіть PIX QR-код від підробки:

1. Ламінуйте статичні QR-коди, щоб їх не можна було легко заклеїти
2. Щодня перевіряйте QR-коди — Шукайте сліди наклеєних стікерів або заміни
3. Використовуйте динамічні QR-коди, які змінюються з кожною транзакцією
4. Розміщуйте QR-коди в зоні видимості персоналу
5. Регулярно тестуйте власний QR-код, щоб переконатися, що він веде на ваш рахунок

Навчання співробітників

Ваш персонал – перша лінія оборони:

• Навчіть співробітників перевіряти кожен PIX-платіж у банківському додатку, а не по скріншотах клієнтів
• Встановіть правило: жоден співробітник не повинен передавати банківські дані телефоном
• Створіть протокол перевірки для всіх, хто представляється співробітником банку - повісьте слухавку та передзвоніть до банку
• Проводьте тренування, щоб персонал розпізнавав спроби соціальної інженерії

Безпека облікових записів

Захистіть рахунки, що приймають PIX-платежі:

1. Використовуйте PIX-ключ, прив'язаний до CNPJ, а не особистий номер телефону чи email
2. Увімкніть двофакторну автентифікацію на всіх банківських додатках
3. Обмежте доступ до облікових записів — тільки уповноважений персонал повинен мати облікові дані
4. Встановіть ліміти транзакцій для окремих PIX-операцій
5. Щоденно перевіряйте активність облікового запису на предмет несанкціонованих транзакцій

Безпечна передача фінансової інформації бізнесу

Підприємства регулярно повинні ділитися PIX-ключами, банківськими реквізитами та платіжними інструкціями з партнерами, постачальниками та співробітниками. Надсилання цієї інформації через email або групові чати в Telegram створює постійні записи, які можуть бути скомпрометовані.

Використовуйте LOCK.PUB для передачі банківських реквізитів через захищені паролем посилання з обмеженим терміном дії. Це гарантує, що ваші PIX-ключі та номери рахунків не зберігатимуться в десятках історій чатів, звідки їх може витягти будь-який, який отримав доступ до одного з пристроїв.

Правильне налаштування PIX для бізнесу

Виберіть правильний PIX-ключ

| Тип PIX-ключ | Рівень безпеки Рекомендація |---|---|---| | Випадковий ключ (EVP) Найвищий | Найкращий для бізнесу – жодної особистої інформації | | CNPJ | Висока | Хороший для формальної ідентифікації бізнесу | Email | Середня | Ризик під час компрометації email-акаунту | | Номер телефону Знижений | Ризик SIM swap атак | CPF | Найменший для бізнесу Уникайте використання особистого CPF для бізнес-транзакцій

Налаштуйте ліміти транзакцій

Центральний банк дозволяє налаштувати ліміти PIX:

• Встановіть знижені нічні ліміти (з 20:00 до 6:00)
• Встановіть максимуми за транзакцію, що відповідають розміру вашого бізнесу
• Вимагайте додаткову аутентифікацію для перекладів вище за певний поріг
• Зареєструйте довірених отримувачів для регулярних великих платежів

Моніторинг та аудит

• Щодня перевіряйте всі PIX-транзакції
• Звіряйте PIX-квитанції із записами про продаж
• Слідкуйте за незвичайними патернами (множинні дрібні транзакції, активність у неробочий час)
• Налаштуйте оповіщення для транзакцій вище за ваш звичайний діапазон

Що робити, якщо ваш бізнес став мішенню

1. Заморозьте порушений рахунок, негайно зв'язавшись із банком
2. Запросіть MED (Mecanismo Especial de Devolucao) через банк протягом 80 днів для шахрайських транзакцій
3. Подайте B.O. (поліцейський звіт) онлайн з усіма доказами
4. Повідомте співробітників про конкретну техніку шахрайства
5. Перегляньте та посиліть процедури перевірки
6. Перевірте всі QR-коди у фізичних точках на предмет заміни

Висновок

PIX зробив платежі швидше та зручніше для бразильського бізнесу, але ця зручність потребує відповідних інвестицій у безпеку. Найважливіша звичка проста: завжди перевіряйте платежі на банківському рахунку перед відпусткою товару. Ніколи не довіряйте скріншотам, не пропускайте перевірку в завантажені періоди та захищайте QR-коди від фізичної заміни.

Під час передачі банківської інформації бізнесу партнерам або співробітникам використовуйте LOCK.PUB для створення безкоштовних захищених паролем посилань з обмеженим терміном дії для безпечного зберігання фінансових даних.