Golpistas conseguem forjar boletos na caixa de e-mails e já usam IA em fraudes

Os golpes financeiros envolvendo boletos têm ficado cada vez mais sofisticados. É o que mostra levantamento da consultoria especializada em segurança da informação Redbelt Security. As perdas podem chegar a cifras bilionárias.

Os criminosos têm usado áudios com mais de 90% de similaridade com as vozes de executivos para pressionar equipes financeiras a pagar esses documentos, em uma das modalidades de golpe. O formato que traz mais riscos é justamente um dos mais usados, o PDF, porque pode ser alterado depois de gerado.

Os golpistas conseguem até mesmo interceptar esse boleto diretamente na caixa de entrada da vítima e fazer as alterações em código de barras e números que vão levar o dinheiro para as contas erradas. Aí mora o perigo: não há como perceber visualmente que o boleto foi fraudado.

O estudo identificou 26 vetores usados pelos golpistas para as fraudes, mas a empresa ressalta que se as organzações ficarem atentas a cinco dos principais e adotarem medidas como a autenticação nas contas já é suficiente para coibir metade desses crimes.

Para o cidadão comum, a dica é usar o DDA (Débito Direto Autorizado), opção que aparece direto no aplicativo da sua conta no banco. E, é claro, checar o nome da instituição ou da pessoa que está recebendo o pagamento antes de finalizar a transação. Desconfie também de qualquer pressão por urgência. Leve o tempo necessário para checar os dados.

Veja abaixo a entrevista completa com Eduardo Lopes, CEO da Redbelt Security:

Já que o crime está cada vez mais sofisticado, como as empresas têm se preparado para enfrentá-lo? E o cidadão comum?

O cenário que o nosso mapeamento revela é que os controles mais eficazes contra fraude de boleto já existem, mas ainda são subutilizados. Dos 26 vetores usados em fraudes de boleto, cinco concentram a maior parte das operações e poderiam ser mitigados com controles que já existem no mercado. Autenticação forte nas contas críticas, protocolos de autenticação de e-mail configurados corretamente, controle sobre o que está exposto na nuvem... São medidas que custam pouco e que na nossa análise podem reduzir o volume de fraudes em até 50% antes de qualquer investimento mais pesado em tecnologia. Para o cidadão, o desafio é diferente. A sofisticação dos golpes chegou a um nível em que a atenção sozinha não protege mais. Vozes clonadas por IA já apresentam 93% de similaridade com vozes reais a partir de amostras de áudio de 30 segundos. Deepfakes de executivos são usados para pressionar equipes financeiras a pagar boletos falsos. Nesse cenário, o DDA, o Débito Direto Autorizado, pode ser um mecanismo eficaz para o cidadão comum. Porque elimina o boleto da equação e processa o pagamento diretamente entre as contas, sem documento que possa ser interceptado e adulterado no caminho.

Quais detalhes da prática criminosa mais preocupam? Por que o boleto em PDF é tão perigoso, e qual a alternativa?

O boleto em PDF é perigoso porque ele pode ser alterado depois de gerado e antes de chegar ao pagador. Criminosos conseguem interceptar o documento no caminho, seja por acesso ao e-mail corporativo, seja por ferramentas que modificam QR Codes e linhas digitáveis diretamente na caixa de entrada da vítima, e o pagador não tem como perceber visualmente que o documento foi adulterado. O banco de destino muda, o valor pode mudar, e o pagamento é processado normalmente. O que mais nos preocupa no mapeamento, porém, não é o vetor em si, mas o nível de organização por trás dele. Há uma cadeia estruturada, com divisão de funções entre quem obtém os dados, quem adultera os documentos e quem opera a evasão dos sistemas de detecção. Um dos métodos mais recorrentes é a invasão de contas de e-mail corporativo, conhecida como BEC. Com acesso à caixa de entrada de um fornecedor ou cliente, o criminoso monitora negociações reais, identifica o momento em que um boleto será emitido e substitui o documento por um falso antes que o pagador perceba. A fraude acontece dentro de uma conversa legítima, com histórico real, o que torna a detecção muito mais difícil. A alternativa mais eficaz ao boleto em PDF é, de novo, o DDA, que processa o débito diretamente entre as contas, sem documento que possa ser interceptado no caminho. Para empresas, portais de faturamento com autenticação e que não exponham dados sensíveis na URL também reduz as brechas que os criminosos exploram.

Quais as principais orientações que daria para o público geral?

Três coisas que qualquer pessoa ou empresa consegue fazer. Primeiro, nunca buscar segunda via de boleto pelo Google. Anúncios patrocinados falsos são um dos vetores mais usados, e o site que aparece no topo dos resultados pode não ter nada a ver com a empresa credora. O caminho seguro é acessar diretamente o site oficial da empresa ou ligar no número que está no contrato. Segundo, sempre conferir o CNPJ do beneficiário antes de confirmar o pagamento. Os aplicativos dos bancos mostram essa informação antes de processar a transação. Se o CNPJ não bater com o da empresa que emitiu o boleto, não pague.Terceiro, desconfiar de qualquer pressão por urgência. Seja por e-mail, ligação ou mensagem, urgência é a principal ferramenta da engenharia social. Criminosos criam pressa para fazer com que a vítima não verifique. Quanto mais urgente parecer, mais vale parar e checar.

Há uma estimativa do tamanho do impacto financeiro que essas fraudes representam para o Brasil hoje?

Isolar o impacto financeiro específico de fraudes com boleto é difícil porque boa parte das ocorrências não é reportada. O que temos de mais concreto são os dados gerais do setor bancário: segundo a Febraban, o prejuízo com fraudes financeiras chegou a R$ 10,1 bilhões em 2024, alta de 17% sobre o ano anterior. No primeiro semestre de 2025, o volume de tentativas de fraude cresceu 56% em relação ao mesmo período de 2024. E a tendência é de aceleração, não de estabilização.O que o nosso mapeamento mostra é que fraudes com boleto não devem ser analisadas de forma isolada. Elas alimentam uma cadeia criminosa mais ampla: os recursos obtidos por essa via financiam a infraestrutura usada em ataques mais sofisticados. O impacto real, portanto, vai além do valor do boleto adulterado.

Você diria que esse é um problema tão urgente quanto o do endividamento com apostas online? Como o Estado deve atuar?

São problemas de natureza diferente, e ambos urgentes. As apostas on-line têm um componente de vulnerabilidade comportamental que exige resposta regulatória e de saúde pública. A fraude digital tem um componente estrutural que exige resposta técnica, legislativa e de inteligência. No caso das fraudes digitais, o caminho passa pela integração. A Polícia Federal tem uma iniciativa relevante, que é a Plataforma Tentáculos, conectando bancos e fintechs para cruzar dados de fraudes. É um avanço concreto. A velocidade com que os criminosos se adaptam, porém, ainda supera a velocidade com que as instituições compartilham informação entre si. Criar incentivos para que empresas reportem fraudes de forma padronizada, com dados cruzáveis em tempo real, é o próximo passo.