A fraude de boleto falso tem se tornado uma ameaça crescente no mercado, impactando seriamente as finanças de empresas e gerando preocupação entre contadores e equipes financeiras.

Neste blogpost, vou compartilhar insights sobre essa ameaça, explicar como ela ocorre e oferecer dicas práticas para se proteger.

‍

‍

O Que é a Fraude de Boleto Falso?

A fraude de boleto falso é um tipo de golpe onde todos os dados do boleto parecem legítimos, como nome da empresa, CNPJ, endereço e valores. No entanto, o código de barras é alterado para direcionar o pagamento a uma conta fraudulenta.

‍

Embora isso possa parecer similar a uma campanha de phishing, a fraude de boleto falso é mais sofisticada, pois todos os dados do boleto são reais e válidos.

‍

O único dado alterado é o código de barras, o que pode passar despercebido até mesmo pelos profissionais mais atentos.

‍

‍

Como os Fraudadores Conseguem os Dados?

Durante uma investigação, observei que alguns atributos da chave de acesso são sequenciais e enumeráveis.  

Com esses dados em mãos, um fraudador pode gerar uma chave de acesso, onde exibe todos os dados presente na DANFE como:

‍

• Nome do comprador

• Endereço

• E-mail

• Telefone

• Produto comprado

• Preço

• Marca

• Modelo

• Quantidade etc.  

‍

‍

Como é Formada a Chave de Acesso?

A Chave de Acesso da NF-e é composta pelos seguintes campos:

‍

• Código da UF do emitente do Documento Fiscal;

• Ano e Mês de emissão da NF-e;

• CNPJ do Emitente;

• Modelo do Documento Fiscal;

• Série do Documento Fiscal;

• Número do Documento Fiscal;

• Forma de emissão da NF-e;

• Código Numérico;

• Dígito Verificador.

‍

‍

Para proteger sua empresa é recomendável que siga os seguintes passos:  

‍

‍1. Verifique se a empresa está com suas configurações de segurança de email ativo (DMARC,DKIM,SPF).  

Certifique-se de que as configurações de segurança de e-mail da sua empresa, como DMARC, DKIM e SPF, estejam ativas e corretamente configuradas.  

‍

Essas configurações, definidas no domínio do seu site, garantem a legitimidade e integridade dos e-mails enviados e recebidos.  

‍

Se algum desses parâmetros não estiver configurado corretamente, sua empresa pode se tornar vulnerável a ataques de phishing ou falsificação de e-mail.  

‍

Isso significa que tanto os e-mails que você recebe quanto os que você envia podem ser manipulados por hackers para se passarem por sua empresa.  

‍

Você pode verificar se sua empresa está vulnerável a esses ataques gratuitamente através deste link: https://www.ipvoid.com/email-spoof-check/  

‍

‍

2. Use um serviço de AntiSpam no seu Provedor de Email:

Implemente políticas robustas de AntiSpam em seu provedor de e-mail.  

‍

Existem várias soluções disponíveis no mercado, incluindo opções gratuitas oferecidas por plataformas como O365 e GSuite.  

‍

Essas soluções ajudam a filtrar e bloquear e-mails suspeitos antes que eles cheguem à sua caixa de entrada.  

‍

‍

3. Invista em awareness:

Eduque sua equipe sobre os riscos cibernéticos atuais, de modo que eles possam identificar possíveis ataques ou fraudes.  

‍

Treinamentos regulares ajudam os funcionários a reconhecer sinais de alerta e a agir de maneira preventiva.

‍

‍

4. Conscientize seus clientes:  

Muitos clientes tendem a culpar as empresas por vazamento de dados, quando, na verdade, pode se tratar de anomalias tecnológicas, como vulnerabilidades na emissão de NF-e.  

‍

Por isso, é importante conscientizar seus clientes sobre essas questões.  

‍

Sinta-se à vontade para compartilhar este post ou entrar em contato conosco para obter mais informações e orientação.

‍

Artigo publicado originalmente por Ricardo Martins, Cofundador e CTO da Resolve Sec, membro do conselho da OWASP e 12º melhor pesquisador de segurança pela Open Bug Bounty.

‍