26 vetores usados em fraudes de boleto no Brasil

Relatório da Redbelt Security identifica 26 vetores usados em fraudes de boleto no Brasil

Relatório detalha os principais métodos usados em campanhas que visam contornar sistemas antifraude e explorar vulnerabilidades em ambientes corporativos

Fraudes com boletos no Brasil deixaram de operar como golpes isolados e passaram a funcionar como uma cadeia criminosa estruturada, sustentada por vazamento de dados, adulteração de documentos, engenharia social e inteligência artificial. Um relatório publicado pela Redbelt Security, consultoria especializada em cibersegurança, mapeou 26 vetores usados por criminosos para interceptar fluxos financeiros e gerar boletos falsos, além de identificar que cinco desses métodos concentram a maior parte das operações e poderiam ser mitigados com controles já disponíveis no mercado.

O estudo, chamado “O código da fraude” e produzido pelo laboratório de inteligência avançada INGENI, detalha como cada vetor funciona na prática, como as fraudes costumam ser percebidas pelas vítimas e quais mecanismos podem ser adotados para reduzir a exposição das empresas. Segundo a análise, ataques envolvendo boletos evoluíram para um ecossistema organizado, no qual diferentes técnicas se complementam para viabilizar fraudes em escala.

Para estruturar o mapeamento, a Redbelt Security dividiu os 26 vetores em quatro camadas de atuação. A primeira, de vazamento e exfiltração, reúne 10 vetores relacionados à obtenção de dados privilegiados, incluindo boletos reais, notas fiscais eletrônicas, credenciais de acesso e informações provenientes de serviços de proteção ao crédito, como Serasa e SPC. A segunda camada, de adulteração de canal e documento, também com 10 vetores, concentra técnicas usadas para modificar boletos, URLs, QR Codes e linhas digitáveis antes que o documento chegue ao pagador.

Já a terceira camada reúne quatro vetores ligados à engenharia social avançada e ao uso de inteligência artificial, incluindo deepfake de voz e ataques de prompt injection, usados para manipular chatbots e sistemas de IA a gerar conteúdo fraudulento. A quarta camada, de contrainteligência e antidefesa, contempla dois vetores voltados à evasão de detecção e ao envenenamento de modelos antifraude.

O relatório mostra que a sofisticação dessas operações aparece tanto na diversidade das técnicas quanto no nível de adaptação dos criminosos. Entre os exemplos documentados estão o uso de proxies residenciais, conexões que simulam acessos vindos de residências comuns para mascarar a origem dos ataques e contornar alertas de segurança que identificariam tráfego vindo de data centers. Segundo dados da Microsoft, o uso desse tipo de proxy cresceu 200% entre 2023 e 2025.

A análise também detalha ferramentas como o Reboleto, identificado pela Kaspersky, que permite alterar QR Codes e códigos de barras diretamente na caixa de e-mail da vítima, além do Evilginx, utilizado em ataques de interceptação em tempo real capazes de contornar autenticação multifator (MFA) por meio da captura de cookies de sessão, arquivos responsáveis por manter o login ativo após a autenticação.

O uso de inteligência artificial adiciona outra camada de complexidade às fraudes. De acordo com o relatório, vozes clonadas por IA já apresentam similaridade de pelo menos 93% com vozes reais, e amostras de áudio de apenas 30 segundos são mais que suficientes para gerar resultados convenientes. Criminosos utilizam esse recurso para, por exemplo, se passar por executivos e pressionar equipes financeiras a realizar pagamentos urgentes de boletos falsos.

O estudo também chama atenção para riscos direcionados aos próprios sistemas de defesa. Uma das técnicas documentadas é o envenenamento de dados, na qual criminosos conseguem inserir informações falsas na base usada para treinar sistemas antifraude. O método consiste em marcar operações fraudulentas como se fossem legítimas no conjunto de dados de treinamento. Quando o sistema é atualizado com essa base contaminada, ele aprende a ignorar padrões de fraude que antes identificaria normalmente. Um estudo da Universidade Estadual de Campinas (Unicamp), demonstrou que a contaminação de apenas 10% dos dados de treinamento foi suficiente para derrubar a taxa de detecção de um modelo antifraude de 70,95% para 54,73%. Na prática, isso significa que criminosos podem sabotar silenciosamente as ferramentas que deveriam identificá-los, fazendo com que fraudes reais passem despercebidas pelo sistema.

Apesar da variedade de vetores identificados, a Redbelt Security aponta cinco deles como responsáveis por sustentar financeiramente grande parte da infraestrutura criminosa usada em ataques mais sofisticados: infostealers distribuídos por software pirata para capturar senhas e dados bancários; invasão de e-mails corporativos, conhecida como BEC (Business Email Compromise); exploração de falhas IDOR em portais de faturamento, que permitem acessar boletos de outros clientes alterando números na URL; exposição de backups em serviços de nuvem não autorizados pela TI, prática associada ao chamado Shadow IT; e fraudes de segunda via realizadas por meio de anúncios falsos em mecanismos de busca, técnica conhecida como malvertising e SEO poisoning.

Segundo o relatório, esses cinco vetores combinam alto volume com baixa sofisticação e, quando mitigados em conjunto, podem reduzir o número de fraudes em aproximadamente 70% a 80% em médio prazo.

Framework propõe resposta em três etapas:

Para orientar empresas na redução da exposição a esse tipo de ataque, a empresa propõe um framework dividido em três fases.

A primeira etapa, chamada de “stop the bleeding”, prioriza controles voltados aos vetores mais recorrentes, incluindo autenticação multifator por hardware, configuração completa de protocolos de autenticação de e-mail como DMARC, SPF e DKIM, adoção de Débito Direto Autorizado (DDA), treinamento básico de usuários e garantia de que backups não permaneçam públicos por padrão. Segundo o relatório, essa fase pode representar uma redução de até 50% nas fraudes relacionadas a boletos.

A segunda etapa incorpora mecanismos de detecção e monitoramento, incluindo ferramentas de proteção para estações de trabalho críticas, análise de logs relacionados a dados de cobrança e uso de canary tokens, iscas digitais capazes de gerar alertas quando acessadas por invasores.

O terceiro estágio prevê ações de caça ativa a comprometimentos, auditoria de integrações, exercícios de simulação de ataque e monitoramento contínuo de inteligência de ameaças. O relatório também segmenta as recomendações de acordo com o porte das empresas, estabelecendo prioridades diferentes para micro e pequenas empresas, médias organizações e grandes corporações.

“A fraude de boleto no Brasil opera como uma verdadeira indústria. Não são golpes de sorte. Mas o erro mais comum que vemos nas empresas é tentar resolver tudo ao mesmo tempo e não resolver nada. Por isso o relatório propõe começar pelos cinco vetores que financiam o restante da cadeia criminosa. Autenticação forte nas contas críticas, protocolos de e-mail configurados corretamente, eliminação de boletos por PDF quando possível e controle sobre o que está exposto na nuvem. São medidas que já existem, custam pouco para empresas menores e que, segundo a nossa análise, podem cortar pela metade o volume de fraudes antes de qualquer investimento mais pesado em tecnologia”, afirma Eduardo Lopes, CEO da Redbelt Security.

Clique e fale com representante oficial Netwrix Endpoint Protector