Golpe do boleto falso: como identificar, conferir e o que fazer se já pagou

Passo a passo — o que fazer

1. 1

   Não pague de imediato

   Se recebeu um boleto por e-mail, WhatsApp ou SMS, aguarde antes de pagar. Nunca use o código do boleto recebido por mensagem sem antes verificar sua autenticidade diretamente no site ou aplicativo da empresa que emitiu a cobrança.

2. 2

   Confira os três primeiros dígitos do código

   Os três primeiros dígitos do código de barras identificam o banco emissor do boleto. O código 237, por exemplo, corresponde ao Bradesco; 341, ao Itaú; 033, ao Santander. Se o banco indicado não for o mesmo do credor, o boleto foi adulterado.

3. 3

   Verifique o nome do beneficiário

   Antes de confirmar o pagamento no aplicativo ou internet banking, leia com atenção o nome do beneficiário e o CNPJ ou CPF que aparecem na tela de confirmação. Se os dados não corresponderem à empresa ou pessoa para quem você deveria pagar, cancele a operação.

4. 4

   Use o app do seu banco para ler o código

   Abra o aplicativo do seu banco e use a função de leitura de código de barras ou QR Code. O próprio app exibirá o beneficiário real do boleto antes de você confirmar. Isso evita que malwares alterem os dados na tela do computador.

5. 5

   Acesse o site original da empresa credora

   Se tiver dúvidas, entre diretamente no site da empresa que enviou o boleto — digitando o endereço manualmente no navegador, nunca clicando em link do e-mail — e busque a segunda via do documento. Compare todos os dados com o boleto recebido.

6. 6

   Se já pagou, registre boletim de ocorrência

   Registre um B.O. na delegacia mais próxima ou pela Delegacia Eletrônica do seu estado. Guarde o comprovante do pagamento, o boleto adulterado e qualquer comunicação recebida. Esses documentos são indispensáveis para contestar o pagamento.

7. 7

   Entre em contato com seu banco imediatamente

   Ligue para a central do seu banco ou vá a uma agência assim que identificar a fraude. Informe o número do B.O. e solicite o bloqueio e a contestação da transação. Quanto mais rápido você agir, maiores são as chances de reversão ou de rastreamento dos valores.

8. 8

   Notifique a FEBRABAN e os órgãos competentes

   Registre a ocorrência no canal de atendimento da FEBRABAN (0800 979 8350) e, se a fraude envolver dados pessoais, notifique também a ANPD (Autoridade Nacional de Proteção de Dados). Denúncias ajudam a mapear golpistas e a proteger outras vítimas.

O que é o golpe do boleto falso e como ele funciona

O golpe do boleto falso — também chamado de 'bolware' quando envolve malware — é uma das fraudes financeiras mais comuns no Brasil. O país emite mais de 4 bilhões de boletos bancários por ano, o que torna esse meio de pagamento um alvo prioritário para criminosos.

O mecanismo básico é simples: o fraudador obtém um boleto legítimo — seja por interceptação de e-mail, acesso indevido a sistemas da empresa credora ou engenharia social — e substitui o código de barras ou a linha digitável por outro que direciona o pagamento para uma conta laranja controlada por ele. O documento falsificado é então enviado à vítima no lugar do original.

Existe também a variante por malware: um programa malicioso instalado no computador da vítima detecta quando ela abre ou imprime um boleto e substitui automaticamente o código de barras em tempo real, sem que a pessoa perceba qualquer alteração visual no restante do documento. Por isso, pagar pelo aplicativo do banco — que lê o código diretamente da câmera — é mais seguro do que digitar manualmente uma linha que pode ter sido alterada na tela.

Golpe do boleto por e-mail e WhatsApp: como os criminosos abordam as vítimas

A abordagem mais frequente começa com uma mensagem eletrônica. O criminoso envia um e-mail ou mensagem de WhatsApp se passando por uma empresa conhecida — operadora de telefonia, banco, concessionária de energia elétrica, plataforma de e-commerce — e inclui um boleto falso em anexo ou um link para download.

A mensagem costuma criar urgência: 'Seu boleto vence hoje', 'Regularize sua situação para evitar corte de serviço', 'Última notificação antes do protesto'. Esse recurso emocional pressiona a vítima a agir rapidamente, sem verificar os dados com cuidado.

No caso do WhatsApp, golpistas frequentemente clonam o número de funcionários de empresas credoras ou criam perfis falsos com logotipos e nomes semelhantes ao da empresa real. Em grupos de moradores de condomínios, por exemplo, já foram registrados casos de boletos falsos de taxa condominial enviados por perfis que se passavam pela administradora.

A melhor defesa é nunca usar o boleto recebido por mensagem. Acesse diretamente o portal ou aplicativo da empresa credora, autentique-se com suas credenciais e gere uma segunda via oficial. Se a empresa não disponibiliza esse recurso, ligue para o número de atendimento que consta no site oficial — nunca para o número que aparece na mensagem suspeita.

Como conferir um boleto antes de pagar: passo a passo

A verificação de um boleto antes do pagamento leva menos de um minuto e pode evitar prejuízos significativos. Siga estas etapas:

Primeiro, observe os três primeiros dígitos do código de barras ou da linha digitável. Eles identificam o banco emissor do boleto. Os códigos mais comuns são: 001 (Banco do Brasil), 033 (Santander), 077 (Banco Inter), 104 (Caixa Econômica Federal), 237 (Bradesco), 341 (Itaú), 422 (Safra), 745 (Citibank). Se o banco indicado no código não corresponder ao banco do credor, o boleto foi adulterado.

Segundo, na tela de confirmação do pagamento — seja no internet banking ou no aplicativo do banco — leia com atenção o nome completo do beneficiário e seu CNPJ ou CPF. Compare com os dados da empresa para quem você deveria pagar. Qualquer divergência é sinal de fraude.

Terceiro, verifique o valor. Boletos adulterados às vezes apresentam valores ligeiramente diferentes — arredondamentos ou acréscimos — que podem passar despercebidos em pagamentos de alto valor.

Para maior segurança, use sempre o aplicativo do seu banco para fazer a leitura óptica do código de barras com a câmera do celular. O app processa o código e exibe os dados do beneficiário antes de qualquer ação de sua parte, eliminando o risco de malware que altera a linha digitável exibida na tela.

Golpe do boleto em empresas: fraude do falso fornecedor e BEC financeiro

Pessoas físicas são alvo frequente, mas empresas sofrem versões ainda mais elaboradas do golpe. A fraude do falso fornecedor — ou BEC financeiro, sigla em inglês para Business Email Compromise — é uma das modalidades de maior impacto financeiro no Brasil corporativo.

No esquema BEC, o criminoso compromete a caixa de e-mail de um fornecedor legítimo da empresa-alvo — geralmente por meio de phishing ou uso de credenciais vazadas — e monitora as comunicações por semanas. Quando identifica que uma nota fiscal está prestes a ser paga, envia um e-mail da conta verdadeira do fornecedor informando uma 'mudança de banco' e anexa um boleto com os dados bancários dos fraudadores.

O departamento financeiro, acostumado a receber e-mails daquele remetente, processa o pagamento sem suspeitar. Os valores costumam ser elevados — transações B2B frequentemente envolvem dezenas ou centenas de milhares de reais — e a recuperação é difícil porque o dinheiro é rapidamente movimentado para contas em cascata.

Para mitigar esse risco, empresas devem adotar procedimentos de dupla validação para qualquer alteração de dados bancários de fornecedores: a mudança deve ser confirmada por ligação telefônica para o número cadastrado previamente — nunca para o número informado no próprio e-mail — e aprovada por ao menos dois responsáveis. Autenticação multifator nas caixas de e-mail corporativas também reduz significativamente o risco de comprometimento.

A Decripte, especializada em cibersegurança para empresas de 1 a mais de 100 mil colaboradores, atua na prevenção e resposta a incidentes como o BEC financeiro. Se sua empresa já sofreu ou suspeita ter sofrido esse tipo de fraude, acesse os planos da Decripte ou inicie pelo plano gratuito de Gestão de Ameaças para mapear os riscos do seu ambiente.

O que fazer depois de pagar um boleto falso

Descobrir que pagou um boleto falso é um momento de estresse, mas agir rapidamente aumenta as chances de minimizar o prejuízo. Siga a sequência correta:

Imediatamente após perceber a fraude, entre em contato com o seu banco pelo canal de atendimento oficial — o número que consta no verso do cartão ou no site oficial, nunca em links de mensagens. Informe que realizou um pagamento fraudulento e solicite o bloqueio e a contestação. O banco pode acionar o mecanismo de devolução especial de transferências fraudulentas previsto nas normas do Banco Central, o chamado MED (Mecanismo Especial de Devolução), que permite solicitar a devolução de recursos em até 80 dias após a transação.

Registre um boletim de ocorrência na delegacia física mais próxima ou pela Delegacia Eletrônica do seu estado (disponível na maioria dos estados brasileiros). Relate todos os detalhes: como recebeu o boleto, quando pagou, valor, dados do beneficiário fraudulento e qualquer comunicação que tenha trocado com os golpistas.

Notifique a FEBRABAN (Federação Brasileira de Bancos) pelo número 0800 979 8350. A entidade coordena ações de combate a fraudes no sistema financeiro e pode orientar sobre os próximos passos específicos para o seu caso.

Se a fraude envolveu o acesso a dados pessoais seus — como CPF, senha ou documentos —, notifique também a ANPD (Autoridade Nacional de Proteção de Dados), que investiga incidentes de segurança com dados de cidadãos brasileiros.

Por fim, verifique seus dispositivos com um antivírus atualizado para descartar a presença de malware. Se encontrar software malicioso, não use o mesmo dispositivo para acessar serviços financeiros antes de fazer uma limpeza completa ou reinstalar o sistema operacional.

Termos importantes

Boleto bancário

Documento de cobrança padronizado pelo sistema financeiro brasileiro, regulamentado pelo Banco Central, que permite o pagamento de valores em qualquer banco, lotérica ou internet banking. Identificado por um código de barras numérico cuja estrutura indica o banco emissor, o beneficiário e o valor.

Bolware

Tipo de malware (software malicioso) desenvolvido especificamente para alterar códigos de barras de boletos bancários no momento em que o usuário os visualiza no computador. O bolware substitui automaticamente o código legítimo por um código que redireciona o pagamento para contas dos criminosos, sem que o usuário perceba qualquer alteração visual no documento.

BEC — Business Email Compromise

Fraude em que criminosos comprometem ou falsificam contas de e-mail corporativas para enganar funcionários de empresas, especialmente do setor financeiro, a realizarem transferências ou pagamentos de boletos para contas fraudulentas. É uma das modalidades de golpe com maior impacto financeiro para organizações no Brasil e no mundo.

MED — Mecanismo Especial de Devolução

Mecanismo regulamentado pelo Banco Central do Brasil que permite a devolução de valores transferidos por meio de fraudes ou erros operacionais no sistema de pagamentos instantâneos (Pix) e, em alguns casos, em boletos. O prazo para solicitação é de até 80 dias após a transação, e a efetividade depende da disponibilidade do saldo na conta de destino.

Perguntas frequentes