Caímos em um golpe de boleto, BEC ou Pix fraudulento: o que fazer agora
O que fazer agora
Aja nos primeiros minutos, porque a chance de recuperar o dinheiro cai conforme o valor é movimentado da conta de destino. Ligue agora para a central de fraude do seu banco, declare que foi vítima de fraude e peça o bloqueio cautelar do valor e da conta de destino; se foi Pix, registre o MED (Mecanismo Especial de Devolução) sinalizando a transação como fraudulenta. Em paralelo, pare qualquer pagamento pendente, preserve os e-mails originais com cabeçalhos completos (não apague nem responda nada), registre Boletim de Ocorrência e acione a Resposta a Incidentes 24/7 da Decripte pelo /contato para investigar se houve invasão de e-mail (BEC) e fechar o vetor antes da próxima cobrança falsa.
SOC 24x7 e SLA de contenção de até 1 hora. A Decripte é especialista em resposta a incidentes para fintechs, crypto, apps, e-commerces e empresas de todos os tamanhos.
Sinais de alerta
- ›Boleto ou dados bancários de um fornecedor conhecido mudaram de uma hora para outra, com pedido de 'urgência' no pagamento.
- ›E-mail de cobrança com domínio levemente diferente do original (uma letra trocada, .com no lugar de .com.br) ou respondendo a uma thread legítima antiga.
- ›Pedido de troca de conta de recebimento, banco diferente do habitual ou conta em nome de pessoa física para pagamento de empresa.
- ›Regras de encaminhamento ou caixas de e-mail que você não criou, mensagens marcadas como lidas que você não abriu, ou e-mails sumindo da caixa de entrada.
- ›Fornecedor ou cliente avisando que recebeu uma cobrança estranha 'sua' que você não enviou.
- ›Login no e-mail a partir de localidade ou dispositivo desconhecido, ou pedido de redefinição de senha que você não solicitou.
- ›Pix ou transferência aprovada para um destinatário novo logo após um e-mail pedindo sigilo ou pressa.
Primeiros passos — o que fazer agora
- 1
Ligue para o banco agora e peça bloqueio
Contate a central de fraude do seu banco imediatamente e informe que foi vítima de fraude. Peça o bloqueio cautelar do valor e da conta de destino. Quanto antes, maior a chance de o dinheiro ainda estar parado e ser retido. Anote protocolo, nome do atendente e horário.
- 2
Se foi Pix, registre o MED
Peça ao seu banco o registro do MED (Mecanismo Especial de Devolução), sinalizando a transação como fraude. O banco do recebedor tem até 72 horas para analisar e pode bloquear o saldo; havendo confirmação e saldo, a devolução ocorre nos prazos do Banco Central. Você tem até 80 dias para registrar, mas faça no mesmo dia: o dinheiro some rápido.
- 3
Pare todos os pagamentos pendentes
Suspenda imediatamente qualquer outro boleto, Pix ou transferência agendada ligado ao mesmo fornecedor, e-mail ou cadeia de e-mails. Em fraudes BEC é comum haver mais de uma cobrança falsa na fila.
- 4
Preserve as evidências sem apagar nada
Não delete nem responda os e-mails suspeitos. Salve as mensagens originais com os cabeçalhos completos (.eml ou .msg), prints, comprovantes e os dados bancários usados. Esses cabeçalhos revelam a origem real do golpe.
- 5
Registre o Boletim de Ocorrência
Faça o BO na delegacia eletrônica do seu estado descrevendo a fraude, os valores, datas e contas envolvidas. O BO costuma ser exigido pelo banco na contestação e é base de eventual ação cível e criminal.
- 6
Verifique se o e-mail foi invadido (BEC)
Troque imediatamente a senha do e-mail usado nas tratativas, ative MFA e revise regras de encaminhamento e caixas ocultas. Boletos e dados bancários adulterados quase sempre vêm de uma conta de e-mail comprometida (Account Takeover).
- 7
Alerte fornecedores e clientes
Avise por um canal alternativo (telefone, não e-mail) o fornecedor real e os clientes que possam receber cobranças falsas em seu nome. Isso interrompe a propagação do golpe na sua cadeia comercial.
- 8
Acione a Resposta a Incidentes 24/7 da Decripte
Chame a equipe da Decripte pelo /contato. Com SOC 24x7 e SLA de contenção de até 1 hora, investigamos a origem da invasão, identificamos o que o atacante acessou, fechamos o vetor de comprometimento e orientamos a contestação bancária para maximizar a recuperação.
O que NÃO fazer
- ✕Não apague nem responda os e-mails do golpe: você destrói a evidência (cabeçalhos) que prova a origem da fraude e identifica a conta comprometida.
- ✕Não aceite novos dados bancários nem pague o boleto 'corrigido' que o suposto fornecedor enviar por e-mail: confirme sempre por telefone, num número que você já conhecia antes do incidente.
- ✕Não espere o horário comercial para avisar o banco: o saldo na conta de destino some em horas, e a retenção depende de o dinheiro ainda estar lá.
- ✕Não assuma que foi só 'um boleto errado': trate como possível invasão de e-mail e investigue, senão a próxima fatura falsa chega na semana seguinte.
- ✕Não confie em ligações de quem se diz 'do banco' pedindo dados, senhas ou novos Pix para 'estornar': banco não reverte fraude pedindo nova transferência.
- ✕Não pule o BO nem deixe de avaliar a notificação à ANPD se houve acesso a dados pessoais de terceiros: o prazo de 3 dias úteis corre a partir da ciência de que o incidente afetou dados pessoais.
Os primeiros 60 minutos: contenção financeira
O fator que mais determina se você recupera o dinheiro é o tempo. Em golpes de boleto, BEC e Pix, o atacante move o valor rapidamente para contas-laranja e o saca ou redistribui. Por isso a primeira ligação tem que ser para a central de fraude do banco, deixando claro que se trata de fraude e solicitando o bloqueio cautelar do valor e da conta de destino. Anote protocolo, nome do atendente e horário de cada contato, porque essa cronologia sustenta a contestação.
Quando o pagamento foi por Pix, o caminho específico é o MED (Mecanismo Especial de Devolução), criado pelo Banco Central exatamente para casos de fraude e falha operacional. Ao registrar o MED e sinalizar a transação como fraudulenta, o banco do recebedor tem até 72 horas para analisar e pode bloquear o saldo; confirmada a fraude e havendo saldo disponível, a devolução ocorre nos prazos definidos pelo Banco Central. Embora o registro do MED possa ser feito em até 80 dias, o que decide o resultado é a velocidade: dinheiro já sacado não volta. Para boleto, a contestação corre pelo banco emissor e pela compensação; transferências TED seguem o rito de devolução do banco. Em todos os casos, o Boletim de Ocorrência fortalece o pedido de retenção.
Por que isso quase sempre é BEC: o e-mail comprometido
BEC (Business Email Compromise, ou comprometimento de e-mail corporativo) é a fraude em que o criminoso obtém acesso a uma conta de e-mail legítima, observa as conversas por dias ou semanas e então se insere numa negociação real para desviar o pagamento. É por isso que o boleto falso parece tão verdadeiro: ele chega na mesma thread, com o mesmo tom e nos mesmos prazos do fornecedor de verdade. A diferença está nos detalhes, como dados bancários novos e um senso de urgência fabricado.
O comprometimento pode estar do seu lado ou do lado do fornecedor. Por isso, além de arcar com a fraude, você precisa descobrir qual caixa de e-mail foi invadida, o que mais o atacante leu ou exfiltrou e se ele criou regras de encaminhamento para continuar espionando. Tratar apenas o boleto, sem fechar o vetor, deixa a porta aberta para a próxima fatura falsa. A análise dos cabeçalhos dos e-mails, dos logs de acesso e das regras da caixa é o que revela a real origem e a extensão do incidente.
Cada minuto conta. Comece o diagnóstico gratuito agora e veja o que já vazou.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Preservação de evidências e investigação forense
Antes de tentar 'limpar' qualquer coisa, preserve o cenário. Exporte os e-mails envolvidos no formato original (.eml ou .msg) para manter os cabeçalhos intactos, salve comprovantes de pagamento, os dados bancários fraudulentos e prints das telas. Os cabeçalhos contêm a rota real da mensagem e os endereços de servidor que ajudam a distinguir um e-mail genuíno comprometido de um spoofing externo. Apagar ou responder destrói essa trilha.
A investigação da Decripte parte daí: analisamos cabeçalhos, registros de autenticação SPF/DKIM/DMARC, logs de login do provedor de e-mail (Microsoft 365 ou Google Workspace), regras de caixa e tokens de sessão para reconstruir como e quando o acesso ocorreu. Com isso identificamos o ponto de entrada (phishing, senha vazada, ausência de MFA), determinamos o que o atacante acessou e produzimos um relatório que serve tanto para a contestação bancária quanto para a defesa jurídica e a notificação a terceiros, se necessário.
Erradicação: fechar o vetor para não repetir
Recuperar (ou tentar recuperar) o dinheiro resolve metade do problema; a outra metade é garantir que não aconteça de novo na próxima semana. A erradicação envolve redefinir as senhas das contas afetadas, revogar todas as sessões ativas e tokens, ativar MFA resistente a phishing, remover regras de encaminhamento e delegações maliciosas e revisar quais aplicativos têm acesso à caixa. Se houve vazamento de credenciais, é preciso identificar onde mais elas foram reutilizadas.
No nível do processo, a fraude BEC se previne com uma regra simples e inegociável: toda mudança de dados bancários ou pagamento acima de um limite exige dupla validação por canal alternativo. Ou seja, confirma-se a conta por telefone, num número já conhecido, nunca pelo número que veio no e-mail. A Decripte ajuda a desenhar esse fluxo de aprovação e a endurecer a configuração de e-mail (DMARC em modo de rejeição, alertas de regras suspeitas), de modo que o próximo e-mail fraudulento não chegue ou seja barrado antes do pagamento.
Precisa conter o incidente agora? Comece de graça e ative a resposta 24x7.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Obrigações legais e comunicação
Se a fraude envolveu acesso indevido ou vazamento de dados pessoais de clientes, funcionários ou terceiros, há obrigações sob a LGPD. A Resolução CD/ANPD nº 15/2024 estabelece que a comunicação do incidente à ANPD deve ocorrer em até 3 dias úteis contados do conhecimento, pelo controlador, de que o incidente afetou dados pessoais; os titulares afetados também devem ser comunicados no mesmo prazo. Agentes de tratamento de pequeno porte têm o prazo contado em dobro, e, quando não há informações completas, é possível fazer uma comunicação preliminar e complementá-la depois. Documentar quando você tomou ciência é essencial, porque é desse marco que o prazo passa a correr.
Mesmo quando não há dever de notificação, a comunicação interna e externa precisa ser coordenada. Avise por canal seguro os fornecedores e clientes que possam ser alvo de cobranças falsas em seu nome, oriente a equipe financeira a não pagar nada sem revalidação e registre tudo. Essa transparência controlada protege a sua reputação e interrompe a cadeia do golpe, que costuma reaproveitar o acesso para atingir seus parceiros comerciais.
Como a Decripte atua e o que fazer depois
A Decripte é especialista em resposta a incidentes, com SOC operando 24x7 e SLA de contenção de até 1 hora. Ao acionar a Resposta a Incidentes 24/7 pelo /contato, você passa a contar com uma equipe especializada em BEC e fraude financeira: contemos o incidente, investigamos a origem, fechamos o vetor de comprometimento, apoiamos a contestação junto ao banco e entregamos as lições aprendidas para fortalecer seus processos. Atendemos empresas de todos os portes, de fintechs e exchanges a e-commerces e startups.
Depois de estancar a crise, o passo natural é a prevenção contínua. O plano gratuito de Gestão de Ameaças (Decripte Intelligence Center) monitora vazamento de credenciais, exposição na dark web e reputação do seu domínio sem cartão de crédito e sem exigir equipe técnica, disponível em https://decripte.io/free. Como muitos golpes BEC começam com uma senha vazada, descobrir essa exposição cedo evita o próximo incidente. Para quem precisa de cobertura completa, há os planos pagos de SOC 24x7, Pentest, Gestão de Vulnerabilidades e Conformidade (LGPD/ISO 27001).
Obrigações legais (Brasil)
Em caso de acesso indevido ou vazamento de dados pessoais, a comunicação à ANPD e aos titulares afetados deve ocorrer em até 3 dias úteis a partir da ciência, pelo controlador, de que o incidente afetou dados pessoais (Resolução CD/ANPD nº 15/2024); o prazo é contado em dobro para agentes de pequeno porte. Para fraude via Pix, registre o MED junto ao banco o quanto antes (o banco do recebedor tem até 72 horas para análise) e faça o Boletim de Ocorrência, em geral exigido para a contestação bancária e para eventual ação cível e criminal. Conteúdo informativo, não constitui aconselhamento jurídico.
Termos importantes
- BEC (Business Email Compromise)
- Fraude em que o criminoso obtém acesso a uma conta de e-mail legítima, acompanha as negociações reais e se insere na conversa para desviar pagamentos, normalmente trocando os dados bancários de um boleto ou Pix.
- MED (Mecanismo Especial de Devolução)
- Procedimento do Banco Central que permite ao banco do recebedor analisar e, em caso de fraude ou falha operacional, bloquear e devolver valores de um Pix; o banco do recebedor tem até 72 horas para a análise após a sinalização da transação como fraudulenta.
- Account Takeover (ATO)
- Tomada de controle de uma conta legítima (e-mail, banco, sistema) pelo atacante após obter as credenciais, geralmente via phishing ou senha vazada, frequentemente a origem de uma fraude BEC.
- Cabeçalho de e-mail (header)
- Metadados técnicos da mensagem que registram a rota, os servidores de origem e os resultados de autenticação SPF/DKIM/DMARC; são a principal evidência forense para distinguir um e-mail genuíno comprometido de um falsificado.
- DMARC
- Padrão de autenticação de e-mail que, combinado a SPF e DKIM, permite rejeitar mensagens que falsificam o seu domínio; em modo de rejeição, bloqueia boa parte do spoofing usado em golpes.
- Dupla validação por canal alternativo
- Controle de processo que exige confirmar mudanças de dados bancários ou pagamentos por um segundo canal independente (telefone num número já conhecido), nunca pelo mesmo e-mail da solicitação.
Perguntas frequentes
Paguei um boleto falso agora há pouco, ainda dá tempo de recuperar o dinheiro?
Talvez, e o tempo é decisivo. Ligue imediatamente para a central de fraude do seu banco, informe que foi vítima de fraude e peça bloqueio cautelar do valor e da conta de destino. Se o dinheiro ainda estiver parado na conta do golpista, há chance real de retenção e devolução. Registre o Boletim de Ocorrência em seguida para sustentar a contestação.
Como funciona o MED do Pix e até quando posso acionar?
O MED (Mecanismo Especial de Devolução) é o procedimento do Banco Central para devolver valores em casos de fraude ou falha. Você sinaliza a transação como fraudulenta junto ao seu banco e o banco do recebedor tem até 72 horas para analisar, podendo bloquear o saldo; confirmada a fraude e havendo saldo, devolve o valor. O registro pode ser feito em até 80 dias, mas faça no mesmo dia, porque o dinheiro pode ser sacado antes da análise.
O boleto chegou pelo e-mail do meu fornecedor de sempre, como pode ser golpe?
Esse é o padrão clássico do BEC. O criminoso invade a conta de e-mail (do fornecedor ou a sua), acompanha as conversas reais e se insere na thread legítima com dados bancários trocados. Por isso parece autêntico. A pista é a mudança de conta de recebimento e a urgência. Sempre confirme dados bancários novos por telefone, num número que você já conhecia.
Preciso avisar a ANPD se caímos nesse golpe?
Depende. Se o incidente envolveu acesso indevido ou vazamento de dados pessoais de clientes, funcionários ou terceiros, sim. A Resolução CD/ANPD nº 15/2024 determina a comunicação à ANPD e aos titulares afetados em até 3 dias úteis a partir da ciência de que o incidente afetou dados pessoais (prazo em dobro para agentes de pequeno porte). Documente a data em que você tomou conhecimento, pois é dela que o prazo começa a contar.
Devo apagar os e-mails do golpe para 'limpar' a caixa?
Não. Apagar ou responder destrói os cabeçalhos e a trilha que provam a origem da fraude e identificam a conta comprometida. Exporte as mensagens no formato original (.eml ou .msg), salve comprovantes e prints, e preserve tudo. Essa evidência é essencial para a investigação, a contestação bancária e eventual ação legal.
Como descubro se o e-mail da empresa foi invadido?
Verifique os logs de login do provedor (Microsoft 365 ou Google Workspace) em busca de acessos de locais ou dispositivos desconhecidos, procure regras de encaminhamento ou delegações que você não criou e cheque pedidos de redefinição de senha não solicitados. Troque a senha, revogue sessões e ative MFA. A Decripte faz essa análise forense para confirmar o ponto de entrada e a extensão do acesso.
O que faço para isso não acontecer de novo?
Implemente dupla validação obrigatória por canal alternativo para qualquer mudança de dados bancários ou pagamento acima de um limite, sempre confirmando por telefone num número já conhecido. Ative MFA resistente a phishing em todos os e-mails, configure DMARC em modo de rejeição e monitore vazamento de credenciais. O plano gratuito de Gestão de Ameaças da Decripte (https://decripte.io/free) ajuda a detectar exposição antes do próximo ataque.
Quando devo chamar a Decripte em vez de resolver internamente?
Chame assim que houver suspeita de e-mail comprometido ou perda financeira relevante, porque o vetor precisa ser fechado para não gerar novas fraudes. A Resposta a Incidentes 24/7 da Decripte, com SOC 24x7 e SLA de contenção de até 1 hora, contém o incidente, investiga a origem, apoia a contestação bancária e entrega o plano de remediação. Acione pelo /contato.
Incidente em andamento?
Comece agora pelo diagnóstico gratuito — e ative SOC 24/7 e resposta a incidentes nos planos pagos.
Veja em minutos o que já vazou da sua empresa. Quando precisar, a Decripte assume a contenção, a investigação forense e a recuperação do ambiente com SLA de contenção de 1 hora.