top of page

R$ 1,9 milhão quase desapareceu em um clique a partir fraude em boleto corporativo

  • 9 de jun.
  • 4 min de leitura

SEGURANÇA CORPORATIVA · CASO REAL

 O que uma fraude silenciosa ensina sobre segurança corporativa.

Fabio Mazine

Head de Defensive

 

Uma empresa recebeu por e-mail as guias fiscais do trimestre: mesmo remetente, mesmo assunto, mesmo tom. No dia do vencimento, o responsável financeiro pagou normalmente mais de R$ 500 mil. E não foi para a Receita Federal.

 

Nenhum vírus. Nenhuma invasão. Nenhum alerta. A fraude entrou pela porta que estava aberta.


O ReBoleto não precisa invadir sua empresa. Ele só precisa que você não tenha as proteções básicas funcionando.


Infográfico em fundo escuro no estilo visual da Aizen com o título “Como o ataque aconteceu” e o subtítulo “Fluxo simplificado do caso de ReBoleto”. A imagem mostra seis etapas do ataque em sequência: 1) credenciais expostas, 2) acesso ao e-mail, 3) monitoramento silencioso, 4) troca do documento, 5) reenvio convincente e 6) pagamento fraudulento. Cada etapa é ilustrada com ícones brancos e conectada por setas. Na parte inferior, há uma faixa destacando as falhas exploradas: sem MFA, sem DKIM/DMARC, senhas fracas e sem dupla validação de pagamento.
Fluxo simplificado do ataque de ReBoleto: da exposição de credenciais ao pagamento fraudulento, destacando as principais falhas exploradas, como ausência de MFA, DKIM/DMARC, senhas fracas e falta de validação dupla.

 

Como aconteceu a fraude em boleto corporativo

 

O ReBoleto é uma ferramenta maliciosa vendida abertamente no Telegram por R$ 800 a R$ 1.200. Ela acessa contas de e-mail corporativas usando credenciais vazadas, monitora mensagens com DARFs e guias fiscais, substitui os PDFs por versões com código de barras fraudulento e reenvia o e-mail ao destinatário. Com o mesmo remetente. Com o mesmo assunto. E com a data adulterada para parecer natural.

 

R$ 800

 

Custo da ferramenta no Telegram

 

13 dias

 

Monitoramento silencioso antes do ataque

 

~R$ 2M

 

Total em risco neste incidente


A perícia identificou que o ataque estava em curso 13 dias antes de ser executado, esperando o fechamento fiscal do trimestre. O PIX? Sabotado deliberadamente para forçar o pagamento pelo código de barras fraudulento, eliminando o canal que exibiria o beneficiário. A data do e-mail foi manipulada em 22 horas para que a saudação 'Bom dia' parecesse coerente.

 

O que a análise forense revelou

 

Nenhuma das vulnerabilidades exploradas era sofisticada. Todas eram conhecidas. Todas eram corrigíveis. E nenhuma havia sido tratada.

 

 ✗

 Nenhuma conta de e-mail com MFA: credenciais eram a única barreira

 ✗

 DKIM e DMARC ausentes: impossível verificar a autenticidade de qualquer e-mail

 ✗

 Senha gerencial com o nome da empresa: vulnerável a força bruta

 ✗

 Equipamento do responsável financeiro com centenas de vulnerabilidades conhecidas, dezenas críticas

 Nenhuma política de pagamento: sem validação dupla, sem confirmação por telefone.

 ✗

 Credenciais do escritório de contabilidade expostas em feeds de infostealer (ladrões de informações).

 O escritório de contabilidade foi exonerado

 

Os documentos enviados pela contabilidade eram legítimos: o código 858 (DARF Receita Federal) estava correto. A fraude em boleto corporativo aconteceu depois. Mas sem DKIM (assinatura digital de e-mail) e DMARC (política de autenticação do domínio) configurados, nem a análise forense conseguiu provar a autoria dos e-mails de forma irrefutável sem acesso aos logs do servidor. A ausência dessas proteções prejudicou até a investigação.


O que salvou o dinheiro e o que foi sorte

 

O banco identificou e devolveu o valor integral.

 

Um grande banco detectou a movimentação como suspeita, bloqueou os valores e realizou a devolução integral dos mais de R$ 500 mil. Esse é um desfecho excepcionalmente raro. Em outros bancos, com outros instrumentos de liquidação, o dinheiro pode ser convertido em PIX e desaparecer em segundos para contas intermediárias. Não conte com a sorte do banco para proteger seu caixa.


O segundo pagamento, IRPJ de mais de R$ 1,4 milhão, foi evitado porque o responsável percebeu que o código começava com '341' (grande banco — boleto comum) em vez de '858' (DARF — guia oficial da Receita Federal). Uma percepção humana evitou uma perda adicional de R$ 1,4 milhão. Não havia sistema automático para isso.

 

O custo real de não investir em segurança

 

 

R$ 0

 

MFA (autenticação multifator) que teria bloqueado o acesso.

 

R$ 0

 

DKIM + DMARC (protocolos de autenticação de e-mail) que garantiriam autenticidade.

 

 

127x

 

Fator de risco vs. custo de prevenção.

A soma de todas as correções necessárias neste caso não ultrapassa poucos milhares de reais por ano para uma empresa de médio porte. O ataque colocou em risco quase R$ 2 milhões. Um fator de 127 vezes o investimento que teria prevenido o incidente.

 

 O que faltava

Custo

 Se não corrigido 

 MFA em e-mails corporativos

 R$ 0

 Acesso livre com senha roubada, vetor primário da fraude.

 DKIM e DMARC

 R$ 0

Impossível verificar autenticidade de e-mails recebidos e enviados.

 Senha forte no painel admin

 R$ 0

 Acesso por força bruta ou credential stuffing (inserção de credenciais).

 Política de pagamento

 Horas de processo

 Pagamentos fraudulentos sem nenhum controle.

 Treinamento de segurança

 ~R$ 500–2.000/ano

 Colaboradores incapazes de identificar documentos adulterados.


Quer estimar quanto um ataque cibernético pode te custar? A Aizen te ajuda, basta clicar no link abaixo: 👉 Simulador de Custo de Incidente

O que fazer hoje, com custo zero

 

 •       Habilitar MFA em todos os e-mails corporativos elimina o principal vetor de entrada.

 

•       Configurar DKIM e DMARC no provedor de e-mail (registros DNS que levam horas para implementar).

 

•       Criar política de validação dupla para pagamentos acima de valores relevantes, uma ligação de 2 minutos pode salvar R$ 500 mil.

 

•       Verificar o código do banco antes de pagar:

858 = DARF Receita Federal | 341 = boleto banco | qualquer divergência = não pagar

 

•       Trocar senhas fracas imediatamente, especialmente nos painéis de provedores de e-mail.

 

Segurança não é sobre o que você tem quando tudo dá certo. É sobre o que te salva quando alguém já está dentro e você ainda não sabe.


A sorte não é uma estratégia

 

Neste caso, a empresa sobreviveu. O banco devolveu. A contabilidade foi exonerada. Mas a margem entre 'sobrevivemos' e 'perdemos tudo' foi uma percepção humana e uma decisão de banco. Não houve sistema. Não houve controle. Houve sorte.

 

O ReBoleto está disponível por menos de R$ 1.000 no Telegram. O criminoso não precisa de habilidade técnica. Ele só precisa encontrar uma empresa sem MFA, sem DMARC, sem política de pagamento e com equipamentos desatualizados.

 

A pergunta que importa

 

Se esse ataque acontecesse na sua empresa amanhã, com o e-mail certo, o assunto certo, o PDF certo, e R$ 500 mil em jogo, qual seria o resultado?

 Caso real anonimizado; análise forense digital. Objetivo educacional.



Caso você queira saber como anda a maturidade da sua empresa, faça o nosso checklist de Maturidade Cibernética focado em ISO 27001, clicando no link abaixo:


 

Comentários

bottom of page