Golpe do boleto e do “fornecedor”: cibercrime silencioso que drena o caixa da empresa (e como blindar seu processo)

Tempo de leitura: 8 minutos

Em muitas empresas, a área financeira é uma “linha de produção”: chega cobrança, confere por alto, paga, arquiva. É exatamente essa previsibilidade que criminosos exploram no golpe do boleto e no golpe do fornecedor (quando alguém se passa por um parceiro real para trocar dados de pagamento).
O resultado costuma ser o pior tipo de incidente: alto impacto, baixa evidência imediata e recuperação difícil.

A seguir, um guia prático—com visão de segurança pública (dinâmica do crime) e cibersegurança (controle técnico e processual)—para prevenir, detectar e reagir.

---

1) O que é (e por que funciona tão bem)

🧾 Golpe do boleto

O criminoso faz você pagar um boleto “aparentemente legítimo”, mas com código de barras/linha digitável direcionando o dinheiro para outra conta (ou altera dados do beneficiário).

Variações comuns

• Boleto falso enviado por e-mail/WhatsApp como “2ª via”.
• PDF adulterado (troca da linha digitável mantendo seu logo).
• Site falso de emissão de boleto (clonado).
• Malware no computador que troca o código de barras no copiar/colar.
• Interceptação de e-mail e substituição do anexo na conversa (comprometimento de conta).

🏢 Golpe do fornecedor (B2B)

O criminoso se passa por um fornecedor real (ou “representante”) e solicita:

• troca de conta bancária/PIX
• pagamento urgente “para não suspender serviço”
• emissão de boleto “atualizado”
• quitação “com desconto” por canal alternativo

O que torna perigoso: muitas vezes há dados reais (nome de pessoas, valores, CNPJ do fornecedor, histórico de compras), obtidos por vazamentos, redes sociais, engenharia social ou invasão de e-mail.

---

2) Sinais de alerta (red flags) que devem travar o pagamento

🚩 No boleto/documento

• Beneficiário não confere com o fornecedor habitual (nome/razão social/CNPJ).
• “Pagável em qualquer banco” + beneficiário estranho ou genérico.
• Boleto “reemitido” com urgência e pressão por pagamento no mesmo dia.
• Layout amador, erros de português, domínio de e-mail suspeito.
• Linha digitável enviada em texto por WhatsApp sem documento oficial.
• Divergência entre dados do boleto e dados do pedido/nota/contrato.

🚩 No contato/canal

• Mudança repentina de e-mail/telefone do “financeiro”.
• Mensagens fora do padrão (“estou em reunião, só posso por WhatsApp”).
• Pedido para “não seguir o processo porque é exceção”.
• Solicitação de sigilo (“não copie mais ninguém”).

Regra operacional: pressão + exceção + canal novo = alto risco.

---

3) Onde as empresas mais falham (e como corrigir)

🧩 Falha 1: pagamento com uma única checagem

Correção: implemente segregação de funções e dupla aprovação:

• Quem recebe a cobrança não é quem aprova.
• Quem aprova não é quem cadastra/alterar dados bancários.
• Pagamentos acima de um limite exigem 2 aprovadores.

🧩 Falha 2: alteração de dados bancários sem validação fora do canal

Correção: “call-back” obrigatório:

• Toda alteração de conta/PIX do fornecedor só vale após confirmação por canal independente, já registrado (telefone do contrato/cadastro, não o do e-mail recebido).

🧩 Falha 3: fornecedores “soltos” (cadastro fraco)

Correção: processo de onboarding com documentação e trilha de auditoria:

• CNPJ, razão social, contrato, contatos oficiais, e-mails corporativos
• dados bancários validados e versão controlada
• registro de quem aprovou, quando e por quê

---

4) Protocolo de prevenção: controles que realmente reduzem fraude

🛡️ Camada 1 — Controles de processo (o que mais evita prejuízo)

1. Tríade de conferência antes de pagar
   • Pedido/contrato (origem)
   • Nota/serviço entregue (evidência)
   • Boleto/dados de pagamento (destino)
2. Política “mudança de dados”
   • toda mudança de conta entra em “quarentena” (ex.: só paga após 24–48h + confirmação)
3. Lista de fornecedores confiáveis (allowlist)
   • pagamentos apenas para dados previamente homologados
4. Padronização de canal
   • financeiro não aceita boleto por WhatsApp como canal primário (se usar, é apenas para avisos, nunca como fonte final)
5. Treinamento rápido e recorrente
   • 15 minutos/mês com exemplos reais (isso vale mais que um PDF de 40 páginas que ninguém lê)

🔐 Camada 2 — Controles técnicos (para diminuir invasão e adulteração)

• MFA no e-mail e no ERP/contabilidade/Internet Banking (principalmente para aprovadores).
• Proteções de e-mail: SPF/DKIM/DMARC (reduz spoofing).
• Antiphishing/antimalware e bloqueio de anexos perigosos.
• Atualizações de sistema e navegador (muito golpe explora falhas antigas).
• Bloqueio de macros por padrão (quando aplicável).
• Estação de pagamento “mais limpa”: um computador dedicado/mais restrito para operações bancárias reduz contaminação por malware.
• Monitoramento e alertas:
  • novos logins no e-mail
  • encaminhamentos automáticos criados (forwarding suspeito)
  • regras de caixa de entrada alteradas (clássico em invasão)

🧠 Camada 3 — “Higiene humana” (sim, o criminoso mira pessoas)

• Script de validação para equipe:
  • “Confirme o CNPJ do beneficiário”
  • “Confirme por call-back no número do cadastro”
  • “Se é urgente, então é urgente confirmar”
• Cultura: ninguém é punido por atrasar um pagamento suspeito. O prejuízo de pagar errado é muito maior.

---

5) Como conferir um boleto na prática (sem virar perito)

Use uma checagem objetiva, sempre igual:

✅ Checklist rápido

• Beneficiário: nome e CNPJ batem com o fornecedor?
• Valor e vencimento: batem com pedido/nota?
• Origem do envio: veio do e-mail/domínio habitual do fornecedor?
• Mudança recente: alguém pediu “atualização” de dados bancários?
• Canal de confirmação: você confirmou por um canal independente?

Dica de campo: criminoso adora “2ª via”. Trate “2ª via” como item de risco elevado.

---

6) Exemplos práticos (cenários reais do dia a dia)

Caso A — “2ª via com urgência”

Você recebe: “Márcio, boleto atualizado, paga hoje para não suspender.”
Resposta segura: 1) não paga no impulso
2) valida se houve solicitação interna de reemissão
3) call-back para o telefone do contrato/cadastro
4) confere beneficiário/CNPJ no boleto
5) se divergente, marca como tentativa de fraude e preserva evidências

Caso B — E-mail do fornecedor “mudou o domínio”

De: financeiro@forneced0r.com (com zero no lugar de “o”).
Resposta segura: bloquear, reportar, confirmar no canal oficial e revisar DMARC/SPF, além de treinar equipe para “domínio parecido”.

Caso C — Malware troca o código colado

O financeiro copia a linha digitável e cola no internet banking; o boleto “paga”, mas o destino era outro.
Resposta segura:

• evitar pagar só com “copiar/colar” (quando possível, usar leitura segura do arquivo/origem confiável)
• manter estação de pagamento protegida
• EDR/antimalware atualizado
• reconciliação diária (detectar no mesmo dia é ouro)

---

7) Detecção e resposta: o que fazer se você suspeita ou já pagou

🚨 Se você suspeita antes de pagar

• Pare o processo.
• Confirme com o fornecedor por canal independente.
• Preserve evidências (e-mail completo com cabeçalhos, anexos, prints, logs).
• Verifique se houve invasão de e-mail (regras de encaminhamento, logins recentes).

🧯 Se você já pagou (janela crítica: imediatamente)

1. Acione seu banco/gerente/canal antifraude na hora e registre protocolo.
   • peça tentativa de bloqueio/recall do pagamento e contato com banco recebedor
2. Registre B.O. com o máximo de dados (conta destino, comprovantes, e-mails/WhatsApp).
3. Notifique o fornecedor verdadeiro (para evitar repetição e investigar comprometimento de canal).
4. Faça varredura de comprometimento
   • troca de senhas + MFA
   • revisão de usuários do ERP/banco
   • checagem de máquina (malware)
5. Ajuste processo (pós-incidente sem ajuste = convite para o bis)

Tom de realidade: recuperar 100% nem sempre é possível, mas agir em minutos/horas aumenta muito a chance de bloqueio.

---

8) Política pronta (enxuta) para colocar na empresa amanhã

📌 “Regra dos 4 passos” (padrão)

1) Conferir beneficiário/CNPJ
2) Conferir origem (domínio/canal)
3) Confirmar mudança de dados por call-back
4) Dupla aprovação acima do limite X

📌 “Mudou dados bancários? Só com validação”

• qualquer mudança: abrir chamado, anexar solicitação formal, confirmar por telefone oficial, aprovar por 2 pessoas, e só então liberar.

---

Links úteis (Brasil) sobre boleto, fraudes e segurança digital

• FEBRABAN — orientações e informações sobre o ecossistema bancário (inclui alertas de golpes)
  FEBRABAN — https://www.febraban.org.br/
• Banco Central do Brasil — autoridade monetária, educação e alertas sobre segurança no sistema financeiro
  Banco Central do Brasil — https://www.bcb.gov.br/
• CERT.br (NIC.br) — cartilhas e orientações práticas sobre golpes, phishing, malware e incidentes
  CERT.br — https://www.cert.br/
• SaferNet Brasil — orientação e apoio sobre crimes e fraudes online (inclui engenharia social)
  SaferNet Brasil — https://www.safernet.org.br/
• Polícia Federal — canal institucional e informações sobre repressão a crimes cibernéticos
  Polícia Federal — https://www.gov.br/pf/
• Consumidor.gov.br — útil quando há disputa com empresa envolvida (registro e acompanhamento)
  Consumidor.gov.br — https://www.consumidor.gov.br/

---

Nota de responsabilidade

Este conteúdo é educativo e não substitui orientação jurídica, bancária ou investigação técnica especializada. Em incidentes com potencial de fraude financeira, tempo é fator de sobrevivência: acione o banco imediatamente, registre protocolos e preserve evidências.