O que exatamente é o PIX Copia e Cola?

É uma funcionalidade do sistema PIX que transforma as informações de pagamento (valor, recebedor, banco) em uma longa cadeia de texto. O usuário copia esse texto do documento de cobrança e cola no aplicativo do banco para evitar a digitação manual de chaves e valores.

Como o malware Clipper entra no computador da empresa?

Geralmente através de ataques de phishing. Um funcionário clica em um link malicioso num e-mail disfarçado de nota fiscal, baixa um software pirata ou instala extensões não verificadas no navegador. O malware se instala em segundo plano de forma silenciosa.

Antivírus comum consegue bloquear esse malware?

Na maioria dos casos, não. Os criminosos útilizam técnicas de ofuscação (tornando o código 'FUD' - Fully Undetectable) que burlam os antivírus tradicionais baseados em assinatura. É necessário o uso de soluções corporativas de EDR (Endpoint Detection and Response) que analisam o comportamento anômalo da máquina.

Se minha empresa cair nesse golpe, o banco devolve o dinheiro via MED?

As chances são mínimas. O Mecanismo Especial de Devolução (MED) depende de haver saldo na conta de destino para realizar o bloqueio e estorno. Como as quadrilhas útilizam scripts automatizados para pulverizar o dinheiro para dezenas de outras contas em segundos, quando o golpe é descoberto dias depois, a conta laranja já está zerada.

Fraude com PIX Copia e Cola: A Anatomia do Sequestro de Clipboard

Você abre o e-mail da sua empresa numa terça-feira de manhã. O fornecedor de tecnologia enviou a nota fiscal e o código PIX Copia e Cola para o pagamento de um serviço no valor de R$ 45 mil. Você seleciona a longa cadeia de caracteres no PDF, aperta Ctrl+C. Abre o internet banking no navegador ao lado, clica no campo de pagamento e aperta Ctrl+V. A tela carrega os dados. O valor exibe R$ 45 mil. Você digita a senha de aprovação. O dinheiro sai da conta.

Três dias depois, o fornecedor liga cobrando a fatura em atraso. Você envia o comprovante. O fornecedor olha e avisa: 'Esse CNPJ não é nosso'. O dinheiro sumiu. O que aconteceu? Seu clipboard foi sequestrado.

Nós da Ouro Capital acompanhamos a evolução do ecossistema de pagamentos brasileiro há mais de uma década. Vimos a ascensão e a queda das fraudes com boletos adulterados. Observamos a migração do crime para o ecossistema instantâneo. Agora em 2026, com o PIX movimentando trilhões de reais anualmente segundo dados do Banco Central (BACEN), a sofisticação dos ataques atingiu um nível de invisibilidade assustador. Não estamos mais lidando com engenharia social barata ou ligações de falsos gerentes de banco. Estamos lidando com injeção de código na memória volátil do seu computador.

O sequestro de área de transferência — ou clipboard hijacking — não é uma técnica nova. Criminosos do Leste Europeu usam isso desde 2017 para roubar endereços de carteiras de Bitcoin. A adaptação para o mercado brasileiro era uma questão de tempo e de oportunidade matemática. A matemática é fria: se você consegue interceptar 100 pagamentos corporativos de R$ 10 mil antes de ser detectado, você fez R$ 1 milhão sem dar um único telefonema.

A anatomia do sequestro: Como o Clipper age

Para entender o golpe, precisamos olhar para as engrenagens do sistema. O malware responsável por essa interceptação é classificado na comunidade de cibersegurança como um 'Clipper'. Ele recebe esse nome porque sua única função na vida é monitorar, ler e alterar a área de transferência do sistema operacional, seja Windows, macOS ou Android.

A infecção inicial segue o roteiro clássico. Um funcionário do setor financeiro baixa um leitor de PDF pirata, clica num link malicioso disfarçado de intimação da Receita Federal, ou instala uma extensão de navegador comprometida. O Clipper se instala silenciosamente. Ele não apaga arquivos. Ele não trava a máquina. Ele não exibe mensagens de resgaté como um ransomware. Ele apenas senta na memória RAM e espera.

O alvo do Clipper é muito específico: o padrão EMVCo. Todo código PIX Copia e Cola, assim como os QR Codes estáticos e dinâmicos, segue o padrão internacional EMV. A estrutura de um código PIX (o payload) começa invariavelmente com uma sequência específica, geralmente 000201, seguida de identificadores do arranjo de pagamento brasileiro (br.gov.bcb.pix).

O Clipper usa uma técnica de programação básica chamada Expressão Regular (Regex). Ele fica rodando um loop contínuo na área de transferência. O momento exato em que o usuário aperta Ctrl+C ou clica em 'Copiar', o sistema operacional joga o texto copiado para o clipboard. O malware lê esse texto em milissegundos. Se o texto bater com a máscara Regex do PIX (ex: começa com 000201 e tem mais de 50 caracteres), o Clipper aciona seu gatilho.

Ele apaga o código original da memória e insere o código PIX do fraudador. Quando o usuário aperta Ctrl+V no aplicativo do banco, ele não está colando o que copiou do e-mail do fornecedor. Ele está colando o payload gerado pela quadrilha.

O golpe é brilhante na sua simplicidade porque ataca o elo mais fraco da cadeia de segurança: a confiança cega do usuário no atalho do teclado. O cérebro humano está condicionado a acreditar que A = B quando usamos Copiar e Colar.

O ecossistema criminoso brasileiro e o MaaS

A operação de um ataque de Clipper em larga escala exige infraestrutura. O mercado cibercriminoso brasileiro opera hoje num modelo de franquia altamente profissionalizado, conhecido como Malware-as-a-Service (MaaS). Analisamos fóruns da dark web e grupos fechados no Telegram, e a precificação é explícita.

Um pacote básico de Clipper focado em PIX é alugado por cerca de R$ 800 a R$ 1.500 semanais. O desenvolvedor do malware não executa a fraude. Ele apenas vende a ferramenta e garante que o código permaneça indetectável (FUD - Fully Undetectable) pelos principais antivírus comerciais do mercado.

Quem aluga a ferramenta, o operador, precisa resolver a segunda parte do problema: para onde mandar o dinheiro. É aqui que entram as redes de contas laranja. Os códigos maliciosos inseridos no clipboard não apontam para uma conta fixa. Eles se conectam a um servidor de Comando e Controle (C2) que rotaciona as chaves PIX de destino dinamicamente.

Se o malware usasse sempre a mesma chave PIX, o sistema antifraude da Stone, do PagSeguro ou do Mercado Pago bloquearia a conta recebedora no terceiro ou quarto pagamento suspeito. Para contornar isso, o Clipper busca uma chave nova no servidor a cada 10 minutos. Essas chaves pertencem a contas digitais abertas com documentos falsos ou alugadas por laranjas que recebem um percentual do valor desviado.

O dinheiro baté na conta do laranja e é imediatamente pulverizado. Um pagamento de R$ 45 mil é fragmentado em 45 transferências de R$ 1.000 para outras contas em segundos, usando scripts automatizados. Quando o empresário percebe o erro três dias depois, o dinheiro já virou criptoativo ou foi sacado em caixas eletrônicos.

A ilusão do MED (Mecanismo Especial de Devolução)

Ouvimos frequentemente diretores financeiros acreditarem que o MED do Banco Central é a rede de segurança definitiva. A Resolução BCB nº 103 criou o MED para fácilitar o bloqueio e a devolução de valores em caso de fraude. A teoria é excelente. A prática é cruel.

O MED funciona de forma assíncrona. Quando o Itaú, Bradesco ou Nubank aciona o MED, a instituição recebedora tem até 7 dias para analisar o caso e devolver o recurso, desde que haja saldo na conta de destino. O problema estrutural do sequestro de clipboard é o tempo de descoberta. O golpe só é descoberto quando o fornecedor cobra a dívida. Nesse intervalo de 48 a 72 horas, o saldo da conta laranja é zero. O MED é acionado, a conta é bloqueada, mas não há o que devolver. A perda é integralizada no balanço da empresa vítima.

O papel das instituições financeiras e a biometria comportamental

Os bancos e fintechs não estão parados. A responsabilidade civil das instituições financeiras em casos de fraude via malware no computador do cliente ainda é um terreno pantanoso no Superior Tribunal de Justiça (STJ). Os bancos argumentam que a falha de segurança ocorreu no ambiente (endpoint) do usuário. Os clientes argumentam falha na prestação do serviço e falta de travas de segurança sistêmicas.

Para evitar o litígio e a perda de confiança, gigantes como Nubank, Mercado Pago e Itaú BBA estão implementando defesas silenciosas baseadas em biometria comportamental e análise de contexto.

Observe a estratégia de Device Binding avançada. O banco cria uma impressão digital do dispositivo do usuário. Se o usuário costuma realizar pagamentos do ERP corporativo sempre entre 9h e 17h, colando códigos PIX que apontam para CNPJs com CNAEs da área de tecnologia ou logística, o sistema aprende esse padrão.

Quando o Clipper entra em ação, ele comete erros de contexto. O código colado de repente aponta para uma conta pessoa física, recém-criada numa fintech de varejo, num valor que destoa do histórico. O motor de regras do banco detecta a anomalia. Em vez de simplesmente aprovar após a digitação da senha, o banco introduz fricção. A tela pede um reconhecimento facial no celular do diretor aprovador, ou exige uma confirmação via token físico. Essa quebra de fluxo é muitas vezes suficiente para o usuário parar e ler o nome do recebedor na tela.

Outra linha de defesa técnica adotada pelas instituições de pagamento é a ofuscação de memória nos próprios aplicativos de desktop e a recusa de colar (paste) de áreas de transferência não seguras em ambientes web altamente sensíveis. Porém, a usabilidade entra em conflito direto com a segurança. Bloquear o atalho Ctrl+V irrita profundamente os clientes corporativos que processam dezenas de pagamentos diários.

Implicações práticas para o caixa da sua empresa

O ataque de Clipper afeta consumidores finais, mas o alvo preferêncial é o mercado B2B (Business-to-Business). A explicação está no ticket médio e na rotina operacional. Um consumidor comum paga uma conta de luz de R$ 200 via PIX Copia e Cola. Uma empresa paga fornecedores, impostos e salários na casa dos milhares ou milhões de reais.

A rotina do Contas a Pagar nas empresas brasileiras ainda depende fortemente de processos manuais. O assistente financeiro recebe dezenas de PDFs, copia os códigos, joga no internet banking e envia para o diretor financeiro (CFO) aprovar.

Aqui encontramos a falha no processo de Maker-Checker (quem faz não é quem aprova). O assistente (Maker) tem o computador infectado pelo Clipper. Ele copia o código certo, mas cola o código do fraudador. O sistema bancário gera o lote de pagamentos. O CFO (Checker) entra no aplicativo do banco apenas para aprovar. Ele vê uma lista com 50 pagamentos. Ele não vai conferir o nome do recebedor de cada um dos 50 itens. Ele confia que o assistente imputou os dados corretamente. Ele seleciona tudo e digita a senha master. O golpe está consumado em escala industrial.

O impacto financeiro não se limita à perda do principal. A empresa vítima continua devendo ao fornecedor original. Ela pagará juros por atraso. Se o valor for material, o fluxo de caixa do mês inteiro é comprometido, forçando a captação de linhas de crédito emergenciais a taxas punitivas.

Como blindar sua operação contra o Clipper

A mitigação desse risco exige uma abordagem em camadas. Nenhuma ferramenta de software isolada resolve o problema do fator humano, mas a combinação de tecnologia e processos estritos reduz a superfície de ataque a quase zero.

Na nossa análise, listamos as medidas de aplicação imediata para operações financeiras:

Abolição do Copia e Cola em altos valores: Estabeleça uma política interna. Pagamentos acima de R$ 5.000 não devem ser feitos por PIX Copia e Cola manual. Exija que os fornecedores enviem boletos com PIX integrado (onde o banco lê o código de barras e já puxa os dados do PIX registrado no sistema bancário, ignorando o clipboard) ou útilize QR Codes lidos diretamente pela câmera do celular corporativo. O Clipper não consegue interceptar a leitura óptica da câmera.
Integração ERP-Banco (APIs): A solução definitiva para médias e grandes empresas é eliminar o humano do processo de digitação. Utilize as APIs de iniciação de pagamento oferecidas pelo Open Finance. O sistema ERP da sua empresa se comúnica diretamente com os servidores do Itaú, BTG ou Santander, enviando o payload original criptografado de ponta a ponta. A área de transferência do Windows nunca é útilizada.
Máquinas Dedicadas (Hardening): O computador que acessa o banco não deve ser o mesmo computador que o funcionário usa para baixar PDFs suspeitos, acessar redes sociais ou ler e-mails externos. Operações financeiras devem ocorrer em máquinas bloqueadas (Thin Clients) ou em máquinas virtuais rigorosamente controladas, com políticas de restrição de software (AppLocker) ativadas.
EDR no lugar de Antivírus: O antivírus tradicional baseado em assinatura é ineficaz contra Clippers mutantes. Ferramentas de EDR (Endpoint Detection and Response) monitoram o comportamento dos processos em tempo real. Se um processo oculto tenta ler continuamente a área de transferência e injetar dados enquanto o navegador está aberto, o EDR mata o processo e isola a máquina da rede.
Treinamento de Conferência Ativa: A última linha de defesa é o olho humano. O fraudador consegue alterar a chave PIX, mas ele não consegue alterar a tela do banco que exibe o nome do recebedor antes da confirmação da senha. Treine a equipe aprovadora para verificar sempre o Nome do Recebedor e o CNPJ associado na tela de confirmação. Se o fornecedor é a 'Tech Solutions LTDA' e a tela do banco mostra 'João Carlos da Silva', aborte a operação imediatamente.

A velocidade do PIX trouxe ganhos de eficiência inegáveis para a economia brasileira. Dinheiro que orbita em tempo real acelera negócios. A contrapartida dessa velocidade é a impossibilidade de estorno. O sequestro de clipboard explora exatamente essa assimetria tecnológica. O cibercrime automatizou o ataque. Cabe às empresas automatizarem a defesa.