Golpe 1: “Boleto-voador”

Golpe do boleto-voador. Entenda como o PDF é adulterado, veja sinais de alerta, valide beneficiário e linha digitável e aprenda o que fazer se já pagou.

GOLPES

L. F. Pereira

5/8/20243 min read

Como identificar, evitar e agir se você cair

O “boleto-voador” acontece quando golpistas interceptam a comunicação entre empresa e cliente, trocam o PDF do boleto e enviam a versão adulterada por e-mail antes que o original chegue. A vítima confere valor e vencimento, tudo parece certo, porém o dinheiro vai para a conta do criminoso.

Como o golpe funciona

  1. O criminoso obtém informações básicas sobre a compra. Pode ser por vazamento de dados, invasão de e-mail ou engenharia social.

  2. Ele cria um PDF de boleto muito parecido com o verdadeiro. Mantém valor, vencimento e descrição.

  3. O e-mail falso chega primeiro. Às vezes usa domínio parecido com o da empresa ou responde na mesma conversa.

  4. A vítima paga e só descobre depois, quando o fornecedor informa que não recebeu.

Sinais de alerta no boleto e no e-mail

  • Beneficiário diferente do fornecedor. Nome e CNPJ não batem com a empresa que deveria receber.

  • Linha digitável com banco estranho. O código do banco nos três primeiros dígitos não confere com o usado pelo fornecedor.

  • E-mail do remetente sutilmente diferente. Exemplo: “@exemplo.co” em lugar de “@exemplo.com”.

  • Tom de urgência e anexos repetidos. Mensagens pedindo pagamento imediato, anexos enviados “novamente” sem que você tenha solicitado.

  • PDF alterado. QR Code e linha digitável levam para outra instituição; o logo está borrado; metadados do arquivo mostram autor desconhecido.

Como conferir um boleto com segurança

  1. Confira o beneficiário. Nome e CNPJ devem ser idênticos ao fornecedor. Pesquise o CNPJ no site da Receita Federal.

  2. Valide a linha digitável. Veja o banco emissor pelos três primeiros dígitos. Se o seu fornecedor usa Banco X e o boleto aponta Banco Y, pare e confirme.

  3. Use o app do seu banco. Escaneie o QR Code ou cole a linha digitável. Antes de confirmar, o app mostra beneficiário e CNPJ. Só pague se estiver exatamente correto.

  4. Compare com o pedido. Valor, vencimento e número da fatura devem coincidir com o que foi combinado.

  5. Ative o DDA. O Débito Direto Autorizado lista boletos emitidos em seu CPF ou CNPJ. Se não aparece lá, desconfie.

  6. Confirme em canal oficial. Fale com o fornecedor pelo telefone do site oficial ou pelo WhatsApp salvo anteriormente. Não use contatos que vieram no e-mail suspeito.

Boas práticas para empresas

  • E-mail autenticado. Configure SPF, DKIM e DMARC para reduzir falsificação de domínio.

  • Portal do cliente. Ofereça segunda via apenas em área logada e avise que não altera banco recebedor sem aviso formal.

  • Avisos padrão. Deixe claro em faturas: nome do beneficiário, CNPJ, bancos utilizados e canais oficiais.

  • Dupla checagem em valores altos. Antes do pagamento, o financeiro deve validar beneficiário por telefone salvo.

  • Treinamento de equipe. Ensine a reconhecer variações de domínio e PDFs suspeitos.

Se você já pagou um “boleto-voador”

  1. Fale com o seu banco imediatamente. Peça análise de fraude e tentativa de bloqueio do valor. Tempo é crítico.

  2. Avise o fornecedor. Explique que foi vítima de golpe; envie comprovantes.

  3. Registre boletim de ocorrência. Guarde e-mails, PDFs, comprovantes e cabeçalhos.

  4. Notifique a instituição recebedora. Peça bloqueio cautelar e rastreamento do destino.

  5. Monitore seu e-mail. Troque senhas, ative autenticação em dois fatores e faça varredura de malware.

Checklist rápido

  • Beneficiário e CNPJ conferem.

  • Banco emissor correto.

  • Linha digitável validada no app.

  • DDA ativo e boleto visível lá.

  • Confirmação por canal oficial antes de pagar.

Perguntas comuns

Posso confiar no QR Code do PDF
Confie apenas depois que o app do seu banco mostrar o beneficiário correto; o QR Code em si pode ter sido trocado.

O valor e o vencimento batem. Está tudo certo
Não. Golpistas mantêm esses campos iguais para enganar. O que importa é quem recebe.

Recebi “segunda via” por e-mail sem pedir. Pago
Confirme com o fornecedor por telefone salvo na sua agenda. Desconsidere contatos do próprio e-mail.

Esta é a primeira postagem da série “100 golpes modernos”. Na próxima, vamos abordar variações de golpe com PIX, incluindo links de pagamento falsos e QR Codes clonados.

Contato
Políticas

contato@owlkey.com.br

+55 21 96019-3698

© 2025. All rights reserved.

Política de Privacidade

Termos e Condições

Aviso legal e limitações

Política de Cookies

LGPD e direitos do titular