PIX, bancos e transações digitais
Categoria: Dados financeiros, máquinas de cartão, PIX e transações
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre pIX, bancos e transações digitais no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como WhatsApp. Os termos mais recorrentes neste tema incluem: ele, banco, mas, ela, foi, pra, senha, pode, pix, mesmo. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Separar artefatos locais de informações obtidas por quebra bancária.
- Preservar comprovantes, notificações e bancos de aplicativos.
- Correlacionar datas, valores e participantes com outros vestígios.
Ferramentas, sistemas ou marcas citadas
WhatsAppPalavras-chave recorrentes
elebancomaselafoiprasenhapodepixmesmotermeumaisfazercartaoalgumtransferenciaappDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 14/02/2018 12:56 a 13:16 — Elaboração de laudo e relatório técnico pericial
Interessante no flagrante emitir os dois últimos comprovantes de transação
Infelizmente chegou pra gente com 3 meses de atraso
Alguém já fez algum laudo
Queria ver se estamos muito fora
O servidor já tá bloqueado
Não conseguimos acessar quase nada
E confesso que faz uns 3 anos que não chega dessas máquinas aqui pra gente
Não fiz o laudo, mas recebi essas instruções neste mesmo grupo
[5/1 14:39] [TELEFONE]: Resolução: física e lógica. Verificar se foi rompido o lacre/selo de segurança; abrir a máquina e verificar se há algum componente eletrônico adicionado ou estranho ao original. Ligar e realizar testes.
[5/1 15:10] [TELEFONE]: Diligência para apresentar nota fiscal ou documento de importação. Quanto a ludibriar, em algumas máquinas permite gerar cópia das últimas apostas. Sendo característica de jogo do bicho, por si mesmo já configura jogo de azar. Caso de apreensão do servidor, dai vale a pena analisar a aplicação. Porém em alguns casos o servidor está fora do país, geralmente onde não temos cooperação internacional.
[5/1 15:10] [TELEFONE]: Diligência para apresentar nota fiscal ou documento de importação. Quanto a ludibriar, em algumas máquinas permite gerar cópia das últimas apostas. Sendo característica de jogo do bicho, por si mesmo já configura jogo de azar. Caso de apreensão do servidor, dai vale a pena analisar a aplicação. Porém em alguns casos o servidor está fora do país, geralmente onde não temos cooperação internacional.
Origem 002 — 25/11/2019 18:26 a 19:19 — PIX, bancos e transações digitais
Boa noite pessoal!
Vocês tem o costume de participar de operações em que é necessário a extração de bancos de dados de servidores de empresas, órgãos públicos, etc? Se sim, como fazem? Existe algum protocolo definido? Extraem o dump, fazem as consultas ao banco ou recolhem todos os equipamentos?
Vocês tem o costume de participar de operações em que é necessário a extração de bancos de dados de servidores de empresas, órgãos públicos, etc? Se sim, como fazem? Existe algum protocolo definido? Extraem o dump, fazem as consultas ao banco ou recolhem todos os equipamentos?
Depende do caso. Geralmente consultas ao banco. Mas houveram casos de recolher backups e equip
Normalmente vocês já tem um conhecimento do caso e do banco ou acontece muito de serem chamados "de surpresa"?
Origem 003 — 27/06/2020 17:04 a 17:04 — Uma pericia na qual a vítima recebeu e-mail de um banco com boletos
Boa tarde! Estou com uma pericia na qual a vítima recebeu e-mail de um banco com boletos para pagamento. No entanto, estes estavam fraudados (cai em outro banco). Aparentemente, o e-mail veio de fato do banco (IP confere, mais ainda vou coletar as informações na vítima-estou só com impressos). Além de olhar os cabeçalhos do e-mails, o que mais pode ser analisado?
Origem 004 — 27/06/2020 23:55 a 23:59 — Conexão USB, ADB e diagnóstico de porta em Android
se for pdf, aonde foi gerado de fato
ai na máquina que foi gerado seja na propria vitima ou da concessiaria, banco, buscar algum malware que é "acordado" na hora da impressão
já teve caso tb q numa mesma maquina apenas alguns boletos eram modificados, outros nao
esse tipo de "pericia" é mais para descartar autoria
ou culpa
no geral como não se encontra nada, o DP solciita junto ao banco a identificacao do favorecido falso e vai atras do mesmo
Origem 005 — 21/01/2021 12:55 a 15:25 — Extração e decodificação de bancos do WhatsApp
Boa tarde. Uma amiga perita foi vítima de golpe, de alguma forma entraram na conta bancária dela e fizeram um pix para outra conta. Na transação do pix só tem o nome e um sobrenome e os 6 dígitos do meio do CPF. Alguém de uma forma para facilitar a identificação desse indivíduo?
IMG-20210121-WA0002.jpg (arquivo anexado)
Fazer um programinha de força bruta e ver quais cpfs são válidos?
E torcer para não serem muitos cpfs válidos. Tem uma biblioteca em Java stella q faz a validação
Não lembro se tem alguma regra de atribuição para os dígitos do meio mas os dois últimos finais tem relação com a UF ou ano de nascimento.
Isso, dá uma procurada, 18 é referente a alguma UF ou data de nascimento.
Os dois últimos é o validador do cálculo feito com os primeiros
2 últimos antes do DV.
Eu estava tentando no infoseg mas não consegui fazer consulta parcial
Acho q fazer força bruta e pegar uma lista de possíveis cpfs seria um começo
Mas fazendo validação lógico
Último dígito antes do DV é 8, procuraria por SP. Ruim é a quantidade de homônimos.
Pois é, com só 1 sobrenome é osso
Mesmo assim provavelmente vai dar em um laranja
Não tem a conta que foi enviada? Se tiver tenta simular uma transferência do mesmo banco que deve aparecer o nome da conta. Aí Joga no infoseg e derruba o resto. Caso queira ajuda chama no privado.
Não tem, foi usada uma chave aleatória
https://github.com/leosol/c-valida-cpf
Caso alguém precise, faz validação de CNPJ. Um programinha em C para ser mais rápido. Qualquer dúvida só chamar. Dentro da pasta build tem uma versão já compilada para linux AMD64. Quando sobrar um tempinho a gente compila pra Windows.
o cpf dele não está entre os 450 [NOME] na base da receita federal com ddd 11
Nesse Pix ai, o nome pode ter sido alterado? Não entendo como funciona direito
A transferência foi do banco safra para o mercado pago
<Mídia oculta>
No escopo de XXX245218XX existem apenas 1030 cpfs válidos
No escopo de XXX245218XX existem apenas 1030 cpfs válidos
acho que dá pra buscar hein!
tem como gerar a lista?
<Mídia oculta>
Tem sim
Tem sim
<Mídia oculta>
lista-cpfs-com-XXX-245218XX.txt
lista-cpfs-com-XXX-245218XX.txt
IMG-20210121-WA0010.jpg (arquivo anexado)
👆 Clonaram o whatsapp de um vizinho! Eles não querem mais boletos de pagamento, preferem PIX! Informou o CPF.
Deposita 0,01 mandando ele pro inferno
vendo se tem mais algum
Origem 006 — 16/04/2021 09:14 a 10:15 — Spoofing de número e vulnerabilidade da caixa postal
Minha tia sofreu uma tentativa de golpe interessante ontem. Ela disse que ligaram para ela de um número tipo [TELEFONE], igual aos que tem na parte de trás do cartão de crédito, mas ela já estranhou de cara o (11), porque normalmente não tem código de área, e disseram que era da central de segurança do santander, que tinham identificado uma transação suspeita na conta dela e queriam confirmar. Para dar mais credibilidade confirmaram o CPF dela, o nome dela completo, o nome do marido, um TED que ela tinha recebido e um pix que ela fez no dia com os valores, os 4 últimos números de 2 cartões de crédito, então disseram que tinha um agendamento de pix de 4900 e poucos para um email fulanodetal@bol e perguntaram se tinha sido ela que tinha feito, ela disse que não. Então disseram que ela tinha que ir no banco para cancelar, mas que poderiam tentar pela central. Ele então disse que como estava só agendado, não estava efetuado, não podia cancelar, mas que ela podia tentar pelo aplicativo. Ela entrou no app do banco e não achou nada. Ele então disse que era melhor ela realizar logo a transferência que ele poderia cancelar, e pediu para ela digitar lá no email fulanodetal@bol... e foi aí que ela teve a certeza do golpe. Ela disse que como estava agendado, deixasse fazer pelo sistema mesmo e ligasse para ela amanhã que cancelaria pela central 🤣. Ele ainda ficou tentando um tempo, mas como viu que não ia dar certo desistiu. Mas o que mais chamou atenção foi ele ter todos esses dados dela, até das últimas transações bancárias e últimos dígitos de 2 cartões, ela falou que se sentiu na propaganda do Itaú ehehe. Analisando a situação só consigo ver a possibilidade de alguém com acesso a dados bancários estar vazando essas informações para golpistas.
Interessante. Eles podem ter conseguido a primeira senha, talvez? Que só permite visualizar as transações, sem fazê-las.
Não sei se no Santander é assim
interceptaram a fatura talvez?
Ela recebe por carta?
não tinha me atentado para essa informação
se ela costuma usar um PC para internetbanking, é bom verificar se tem algum trojan.
Meu irmão trabalha com centrais IP e troncos SIP. Algumas operadoras, de fora do Brasil, permitem fazer spoof de caller ID de boa. Fizemos um teste e conseguimos ligar para o meu celular, sendo que o número chamador era o meu próprio celular.
e assim entraram na caixa postal do [NOME] eheheh
Sim sim... Mas a facilidade de contratar um troco desses é muito grande, basta um cartão de crédito e um e-mail válido
Se fosse um trojan já não teria todos os dados necessários e não precisaria ligar??
Não sei se todo trojan é capaz de pegar senhas e tokens SMS,BBCODE...
tem banco que o app possui duas senhas: uma senha para acesso à conta e outra senha para transações
além dos tokens e QRCodes, como bem lembrou o [NOME]
algo como a autenticação em 2 etapas
é bem provável que tenha sido isso, acessaram o banco mas não tinham o token
Mas, já era possível efetuar uma compra online no crédito, só bastaria o nome, CPF, número do cartão e código verificador?
mas normalmente acessando online você só consegue ver os 4 últimos dígitos do cartão, e foi justamente o que confirmaram
Nesta semana fizeram 03 compras on-line no meu cartão. O banco identificou e bloqueou o cartão e cancelou as compras. Neste tipo de operação, há tempo pra cancelar. Nas transações em valores o golpe é irreversível.
no meu app do banco só aparecem os primeiros e últimos nrs do cartão
Um trojan banking já consegue capturar todas as informações necessárias para fazer o criminoso efetuar uma compra online.
Os sistemas bancários analisam as compras de cada cliente, ou fazem cancelamento ou confirmação de dados.
E todos as compras acima de 50 reais os clientes são avisados por SMS e pelo mensagens do aplicativo do banco.
Dificultou muito esse tipo de golpe.
Dificultou muito esse tipo de golpe.
Origem 007 — 18/06/2021 15:37 a 17:51 — Extração e compatibilidade em Samsung iPhone 8 plus
Como a maioria dos casos que eu vi foram pessoas com dinheiro, pode ser que seja algo planejado, e a senha [SEGREDO] pelo shoulder surfing 😏
Ou não habilitar o acesso por biometria. Deixar de preguiça e digitar a senha mesmo
"Shoulder surfing"?
Com o login do banco habilitado por biometria, tudo que o meliante precisa saber é a senha do celular para fazer o limpa
Olhar a senha por cima do ombro
O certo é gastar tudo no fds pra não ter dinheiro pra bandido
Como muitas das notícias também são de furtos no shopping, então o bandido fica seguindo até ver a pessoa digitando a senha
Depois furta o celular e limpa a conta
Mas aí eles fazem empréstimo. O negócio é guardar o dinheiro debaixo do colchão e não ter conta em banco
Testei no iPhone 8 plus o cadastro de um novo dedo e ele logou tanto no Sicredi quanto no BB.
No Sicredi, depois de logado, dá pra gerar cartão virtual e fazer pix sem qualquer outro procedimento de segurança (nem mesmo a inserção novamente do dedo)
Já o BB, embora logado com o novo dedo, não consegui fazer o pix pois pediu a senha de 6 dígitos
No Sicredi, depois de logado, dá pra gerar cartão virtual e fazer pix sem qualquer outro procedimento de segurança (nem mesmo a inserção novamente do dedo)
Já o BB, embora logado com o novo dedo, não consegui fazer o pix pois pediu a senha de 6 dígitos
Fiz o mesmo teste no iPhone 11 cadastrando novo FaceID e o resultado foi o mesmo.
https://www.folhape.com.br/noticias/quadrilhas-que-limpam-contas-bancarias-furtam-celulares-ate-dentro-de/187338/
nessa notícia os furtos são dentro de shoppings
O Procon-SP notificou as empresas Motorola, Samsung e Apple pedindo explicações sobre dispositivos de segurança disponíveis em cada aparelho para desbloqueio e acesso às informações. “O pedido se deve considerando notícias de que quadrilhas têm roubado celulares com o intuito de acessar aplicativos de bancos instalados no aparelho e fazer transferências indevidas na conta bancária da vítima”, diz a nota.
As empresas deverão apresentar uma lista de informações a fim de comprovar a segurança dos dispositivos e devem se posicionar até o dia 22 de junho.
As empresas deverão apresentar uma lista de informações a fim de comprovar a segurança dos dispositivos e devem se posicionar até o dia 22 de junho.
Acho que o Bradesco passou a pedir novamente a habilitação da digital há um ou dois meses, após a inclusão de um novo dedo.
O ideal seria que todos os aplicativos com possibilidade de login por biometria fizessem isso após inclusão de novos dedos.
o ideal seria que o cadastro da digital fosse feito com o banco (seja no app ou presencial), e não que ele simplesmente "acreditasse" no SO, dizendo que validou a digital.
achei uma falha absurda de segurança quando me dei conta disso.
O do Itaú não pede biometria.
Os cartões de crédito itaú permitem login por biometria e continuam funcionando depois da inclusão de um novo dedo.
Estou me referindo ao aplicativo.
Eu também, aos aplicativos de cartão de crédito do Itaú. No do banco itaú não tem opção de realizar o login com biometria?
Peguei o iPhone 11 aqui de uma colega (obviamente desbloqueado por ela) e cadastrei meu face id como alternativo sem nenhuma dificuldade, sem nenhum pedido de senha ou do face id dela
Na sequência, com meu rosto, entrei no app do Itaú, Sicredi, BB,...
Então no SO da apple é pior ainda. No android para cadastrar uma nova digital é preciso digitar a senha.
Ou seja, basta q o iPhone esteja desbloqueado e eu saia correndo com ele e clicando na tela de tempos em tempos pra ele não bloquear
até ter tempo de me esconder e cadastrar meu rosto
Segurança não combina muito com praticidade
Hensor = Ramsonware ?
Hensor é foda, quando pega, pega pra capa
Igual ao Lázaro, vai ser osso pegar esse Hensor
Aqui quando eu escolho cadastrar um FACE ID alternativo, a primeira coisa pedido é minha senha.
STK-20210507-WA0002.webp (arquivo anexado)
Sim, eu me confundi. Realmente precisa da senha
Uma senha para liberar todas as senhas...
Origem 008 — 10/08/2021 16:13 a 17:11 — Ativação do modo desenvolvedor e depuração USB
Pessoal, preciso de ajuda com um Moto G8 Play.
Ele está desbloqueado mas não consigo conecta-lo ao PC. Emite um som qdo conecto o cabo como se houvesse um erro de software
Ele está desbloqueado mas não consigo conecta-lo ao PC. Emite um som qdo conecto o cabo como se houvesse um erro de software
<Mídia oculta>
Quando vou na configuração USB no modo desenvolvedor, tudo está certo
Quando vou na configuração USB no modo desenvolvedor, tudo está certo
<Mídia oculta>
Entregando qdo pesquiso por USB nas configurações
Entregando qdo pesquiso por USB nas configurações
Ele não me permite alterar nada tanto com o cabo conectado qto com o cabo desconectado
a entrada USB não tem nada bloqueando? alguma sujeira?
Cabo é de transferência de dados? Tem cabos que só servem para carga.
Sim. Já tentei outros cabos, outros PCs
Acabei de encontrar em um fórum alguns usuários que passaram por isso quando atualizaram o telefone para o android 10
que inclusive estavam com dificuldade para voltar para o 9, já que a transferência de dados não estava funcionando
Vou procurar mais e se encontrar alguma solução, atualizo aqui. Aparentemente o cel ta "ilhado"
uma boa forma de verificar se é o android 10 ou se é algum problema físico é colocar o aparelho em fastboot
rodar o fastboot e vê se ocorre comunicação
sem comunicação tbém
hum... tá com cara da trilha de dados mesmo estar com problema
Estou com um redmi 8 que está com defeito similar. Ele carrega, mas não detecta transferência de dados. Mesmo trocando a placa do conector usb não resolveu. Infelizmente notamos sinais de umidade na placa principal, bem próximo à área dos resistores e capacitores da linha de dados que conecta ao chipset.
https://forums.lenovo.com/t5/motorola-one-action/unable-to-connect-to-PC-after-android-10-update-last-system-update/m-p/5012154
Nesse fórum encontrei o relato com as telas iguais ao meu caso
Por isso estou desconfiando do Android 10
Porém não encontrei se existe alguma solução que eu possa aplicar por cartão de memória ou eventualmente conectando-o à internet
Não cheguei a abrir o meu. É uma possibilidade tbém embora o som emitido indique algum erro de software
No seu caso emite algum som?
Origem 009 — 29/10/2021 16:19 a 17:53 — Extração e análise de mensagens do WhatsApp
<Mídia oculta>
Fiz uns testes com ela ligada, tentei conectar nela como wifi e com o v380, mas não tive muito sucesso.
Fiz uns testes com ela ligada, tentei conectar nela como wifi e com o v380, mas não tive muito sucesso.
Acho que era uma boa rodar um sniffer , tipo um nethunter. Mas tem que ter uma placa wifi com modo promíscuo ou usar um celular rooteado com modulo wifi que dê para setar modo promíscuo e monitor. Aí vc pode ver o que ele pode estar emanando de pacote 802.11
Valeu [NOME], vou tentar.
Boa tarde, pessoal. Uma pessoa mandou um PIX aleatoriamente para mim. Valor de R$ 334,10. Aí tentou me ligar e não atendi (DDD diferente do que estou acostumado). Agora me mandou mensagem no WhatsApp. Parece que está querendo o dinheiro de volta. A minha pergunta é: isso pode ser golpe?
Como a pessoa arranjou seu telefone?
Agora pode agendar pix. Eles fazem o agendamento e depois cancelam.
Então pode ser golpe. Vc transfere "de volta" e ele cancela a transferência inicial
Eu vi que no próprio PIX do NUbank tem um botão abaixo para reembolso.
Será que se eu apertar esse botão não pode ser a maneira mais segura de eu devolver o dinheiro?
Pode ter trocado o ddd
Pode ser uma tentativa de ocultar dinheiro obtido de forma criminosa. A pessoa manda dinheiro pra você, logo em seguida pede pra enviar pra um terceiro. Adicionando você na transação dificulta rastrear
Seu pix é seu telefone? Se sim ele pode ter obtido de algum grupo de WhatsApp em algum celular roubado
Na minha opinião o mais seguro é fazer isso mesmo
O cara se chama Alexandre. Meu e-mail é [EMAIL]. Ele usou esse e-mail como chave.
Acho que seria a melhor maneira mesmo
vc ja perguntou pra ele como ele tem teu email E teu telefone?
Pelo menos para saber se é um planejado ou não.
Eu entrei em contato no chat do NuBank e eles falaram que isso é muito comum de acontecer e que eu poderia devolver o dinheiro sem problemas. Também me falaram que se fosse um agendamento, isso seria exibido para mim.
Origem 010 — 29/10/2021 18:04 a 18:04 — Extração em dispositivos Realme/Oppo
O e-mail é a chave que ele usou para fazer o PIX. Segundo ele, ele se chama Alexandre e errou o e-mail. 🤷🏽♂️
Mas o telefone ele disse que colocou no Google é meu número aparece como primeiro resultado. Fiz aqui e realmente aparece meu número. 😖
Mas o telefone ele disse que colocou no Google é meu número aparece como primeiro resultado. Fiz aqui e realmente aparece meu número. 😖
Origem 011 — 26/01/2022 11:05 a 11:15 — Extração e análise de dados em iPhone/iOS
Um cliente do Banco Bradesco (aqui chamado de vítima) teve uma quantia em dinheiro transferida de sua conta. Ele tem um App instalado no celular. a pergunta é: é possível verificar/constatar se uma determinada operação bancária (transferência) foi feita à partir do app do Bradesco instalado no celular da vítima, ou se foi através de outro dispositivo sincronizado. essa confirmação é possível?
No server do Bradesco consta se a transação foi pelo internet banking, app do celular ou caixa eletrônico, inclusive se a transação foi validada por token
através de uma análise direta do aparelho não?
o app local não deve guardar log
Provavelmente o app estará com arquivos com o conteúdo protegido por cripto com chave da keystore (Android) ou keychain (ios)
Origem 012 — 01/10/2024 13:45 a 14:05 — Extração em dispositivos Realme/Oppo
Aí só consultando os "experts de Hogwarts"!!!
Pode oficiar todas as vpns também, porque ele pode ter usado uma
Vixe! Tem isso também.
Acho que o melhor caminho é realmente oficiar o banco, até porque o banco hoje tem seu próprio sistema de segurança/antivirus/antifraude que deve ter muita informação vinculada ao IP. Atentar só que muitas operadoras compartilham IP, logo, o ideal é ter o horário mais preciso possível de acesso e também a porta usada no acesso.
Beleza então. Vou informar isso para o pessoal. Muito obrigado.
Origem 013 — 26/05/2025 08:57 a 08:57 — PIX, bancos e transações digitais
Bom dia.
Quem já examinou shareaza, sabe dizer se o campo "uploads" do banco "library1.dat", quando o valor é maior do que zero, serve pra confirmar seguramente que o arquivo foi compartilhado?
Quem já examinou shareaza, sabe dizer se o campo "uploads" do banco "library1.dat", quando o valor é maior do que zero, serve pra confirmar seguramente que o arquivo foi compartilhado?
Origem 014 — 09/01/2026 10:42 a 11:03 — Extração e compatibilidade em Samsung SM-A065
Algum registro de mandinga com SM-A065 desbloqueado?
É muito chato de conseguir FFS no Inseyets
Fizemos um ontem. Ela dá a mensagem toda hora pra reconectar o cabo antes da próxima interação, quando seguimos isso deu certo de primeira. Mas foi de castigo ao lado do aparelho o tempo todo <Mensagem editada>
Aí vcs ficam nesse desconecta e reconecta?
E vcs vêem diferença entre deixa no SOMENTE CARREGANDO ou TRANSFERÊNCIA DE ARQUIVOS?
Sim, o colega já tava com ele há vários dias tentando e nada. Peguei pra ajudar ele, só segui toda instrução e foi de primeira, sem dor de cabeça
Sempre deixo no que a ferramenta sugere, normalmente transferência de arquivo como padrão
<Mídia oculta>
E vc ficou nessas N tentativas tbm?
E vc ficou nessas N tentativas tbm?
<Mídia oculta>
E vc ficou nessas N tentativas tbm?
E vc ficou nessas N tentativas tbm?
Origem 015 — 19/05/2026 13:25 a 13:25 — PIX, bancos e transações digitais
https://www.metropoles.com/colunas/mirelle-pinheiro/pf-investiga-perito-por-vazamento-no-caso-banco-master-saiba-quem-e