{"id":4945,"date":"2023-11-23T11:47:49","date_gmt":"2023-11-23T14:47:49","guid":{"rendered":"https:\/\/netdeep.com.br\/novo\/?p=4945"},"modified":"2026-02-25T10:06:56","modified_gmt":"2026-02-25T13:06:56","slug":"como-funciona-o-golpe-do-boleto-falso","status":"publish","type":"post","link":"https:\/\/netdeep.com.br\/novo\/como-funciona-o-golpe-do-boleto-falso\/","title":{"rendered":"Como funciona o Golpe do Boleto Falso"},"content":{"rendered":"

Imagino que voc\u00ea j\u00e1 tenha ouvido falar sobre o \u201cgolpe do boleto falso\u201d, que acontece quando uma pessoa que realmente fez uma compra ou tem uma conta em aberto recebe um boleto de forma digital ou impressa para pagamento. Contudo, ao realizar o pagamento, o valor vai para a conta de outra pessoa, ao inv\u00e9s de servir para quitar a d\u00edvida.<\/p>\n

Nesse cen\u00e1rio, estar atento aos principais golpes cometidos com o uso de boletos falsos \u00e9 fundamental. \u00a0Os fraudadores apostam na desaten\u00e7\u00e3o das pessoas para aplicar golpes, mas se todos conferirmos as informa\u00e7\u00f5es da conta do emissor detalhadamente e prestarmos mais aten\u00e7\u00e3o na hora de realizar o pagamento, muitos casos seriam evitados.<\/p>\n

O objetivo deste artigo \u00e9 olhar pelo lado do fraudador e \u00a0responder as seguintes perguntas:<\/p>\n

Como os fraudadores obtiveram os dados?<\/strong><\/p>\n

Minha empresa possui alguma falha?<\/strong><\/p>\n

Como proteger meus clientes para que n\u00e3o paguem boletos falsos?<\/strong><\/p>\n

\n

1. O que distingue este golpe de uma campanha de Phishing convencional?<\/strong><\/h2>\n

Todas as informa\u00e7\u00f5es contidas no boleto s\u00e3o leg\u00edtimas, abrangendo elementos como o nome da empresa, endere\u00e7o, inscri\u00e7\u00e3o estadual, CNPJ, valores e produtos. Todos os dados presentes no boleto s\u00e3o precisos; no entanto, o c\u00f3digo de barras redireciona para um destinat\u00e1rio diferente.<\/p>\n

2. Como os fraudadores obtiveram esses dados?<\/strong><\/h2>\n

Dificilmente isso aconteceu por algum vazamento de dados dentro de sua empresa ou incidente semelhante.<\/p>\n

O que realmente aconteceu \u00e9 que tanto voc\u00ea quanto o respons\u00e1vel pela emiss\u00e3o est\u00e3o enfrentando um s\u00e9rio problema de seguran\u00e7a relacionado \u00e0 Chave de Acesso da Nota Fiscal.<\/p>\n

Os arquivos XML gerados nas Danfes cont\u00eam todos os dados da nota fiscal real, inclusive o endere\u00e7o de e-mail do destinat\u00e1rio, possibilitando assim a obten\u00e7\u00e3o de todos os dados da fatura de maneira v\u00e1lida.<\/p>\n

Durante uma investiga\u00e7\u00e3o recente, observamos que alguns atributos da chave de acesso s\u00e3o sequenciais, e a aplica\u00e7\u00e3o de consulta para validar a chave de acesso n\u00e3o possui uma regra de Rate Limit. Em outras palavras, \u00e9 poss\u00edvel realizar ataques de for\u00e7a bruta, gerando v\u00e1rias chaves de acesso v\u00e1lidas.<\/p>\n

De acordo com o sistema da fazenda, a resposta a consultas \u00e9 limitada, mas existem outros subsistemas de terceiros, como o\u00a0https:\/\/consultadanfe.com\/<\/a>. A partir de uma chave de acesso v\u00e1lida, \u00e9 poss\u00edvel extrair todos os dados contidos na DANFE.<\/p>\n

3. Como \u00e9 formada a Chave de Acesso de uma NF?<\/strong><\/h2>\n

A chave de acesso \u00e9 composta pelos seguintes campos:<\/p>\n

    \n
  1. C\u00f3digo da UF do emitente do Documento Fiscal;<\/strong><\/li>\n
  2. Ano e m\u00eas de emiss\u00e3o da NF-e;<\/strong><\/li>\n
  3. CNPJ do Emitente;<\/strong><\/li>\n
  4. Modelo do Documento Fiscal;<\/strong><\/li>\n
  5. S\u00e9rie do Documento Fiscal;<\/strong><\/li>\n
  6. N\u00famero do Documento Fiscal;<\/strong><\/li>\n
  7. Forma de emiss\u00e3o da NF-e;<\/strong><\/li>\n
  8. C\u00f3digo Num\u00e9rico;<\/strong><\/li>\n
  9. D\u00edgito Verificador.<\/strong><\/li>\n<\/ol>\n

    Somando isso ao fato de que o sistema n\u00e3o possui regra de rate limit, \u00e9 relativamente f\u00e1cil para um fraudador ou hacker gerar essa chave de acesso, consultar a DANFE e, assim, gerar um novo c\u00f3digo de barras para sobrepor o original, resultando na fraude.<\/p>\n

    4. Como se proteger?<\/strong><\/h2>\n
      \n
    1. Desenvolva e aplique uma Pol\u00edtica de Seguran\u00e7a e Privacidade de Dados e divulgue para todos os colaboradores e clientes.<\/li>\n
    2. Se seus clientes est\u00e3o recebendo boletos falsos. Invista em conscientiza\u00e7\u00e3o dos clientes, mostrando a eles os canais seguros de pagamento e os dados do benefici\u00e1rio\/cedente e demonstre tamb\u00e9m seus protocolos e medidas de seguran\u00e7a cibern\u00e9tica. Uma boa id\u00e9ia \u00e9 usar a\u00e7\u00f5es de marketing. Assim demonstrar\u00e1 um compromisso com a seguran\u00e7a dos seus clientes. \ud83d\ude09<\/li>\n
    3. Aplique controles de Seguran\u00e7a e Privacidade de Dados baseado nas melhores pr\u00e1ticas. Por exemplo: ISO 27001, 27701, LGPD, etc.<\/li>\n
    4. Invista em treinamento e conscientiza\u00e7\u00e3o para sua equipe para reconhecer tamb\u00e9m o recebimento de boletos falsos e outros tipos de conte\u00fado malicioso (Phishing). Se poss\u00edvel, fa\u00e7a um Teste de Phishing. Treine tamb\u00e9m seus usu\u00e1rios para analisar o remetente do e-mail e suas assinaturas. Se o corpo do e-mail indicar algum problema na emiss\u00e3o, entre em contato imediatamente com o remetente para esclarecimentos.<\/li>\n
    5. Configure em seu provedor de e-mail e DNS as op\u00e7\u00f5es SPF, DMARC e DKIM para evitar golpes que usem seu endere\u00e7o de e-mail com mensagens falsificadas sem assinatura.<\/li>\n
    6. Configure seu provedor de e-mail com AntiSpam. Existem diversas empresas que oferecem esses servi\u00e7os, algumas at\u00e9 de forma gratuita, assim como o O365 possui pol\u00edticas e o GSuite tamb\u00e9m.<\/li>\n
    7. Utilize solu\u00e7\u00e3o de antimalware em todos os endpoints da empresa. Habilite o m\u00f3dulo de Antisphishing.<\/li>\n
    8. Se voc\u00ea ou algum cliente fez o pagamento por engano a um golpista. Colete evid\u00eancias sobre o caso e procure ajuda policial registrando um boletim de ocorr\u00eancia. Al\u00e9m disso, siga as dicas acima para se proteger de futuras ocorr\u00eancias.<\/li>\n<\/ol>\n

      Portanto, se um cliente te acusar de vazamento de dados, devido ao golpe do boleto falso, responsabilizando-o por ter pago um boleto fraudulento, encaminhe este post.<\/p>\n

      Refer\u00eancias:<\/strong><\/p>\n