Existem alguns sites que, a partir da chave da NF-e, retornam o XML completo dos dados. Ex.: https://consultadanfe.com/ A chave é a junção do ano + mês + CNPJ + número NF-e + série + código numérico + DV.
Alguém mal intencionado consegue ir testando chaves de acesso (subindo o número da nota e gerando o DV aleatoriamente) até conseguir pegar o XML.
De posse do XML, ele extrai automaticamente os dados do destinatário, CNPJ, e-mail e duplicatas (boletos). No dia do vencimento da duplicata, de madrugada, é disparado um e-mail para o destinatário com um boleto fraudado e um texto dizendo para ele desconsiderar o boleto (original) e pagar o boleto em anexo (fraudado).
Para evitar esse tipo de fraude, não se deve enviar e-mail do destinatário (não é obrigatório).
https://g1.globo.com/rs/rio-grande-do-sul/noticia/golpe-dos-boletos-clonados-causa-prejuizo-a-empresas-e-consumidores-no-rs.ghtml
https://www.linkedin.com/pulse/voc%C3%AA-conhece-o-novo-golpe-do-boleto-falso-ricardo-martins/?originalSubdomain=pt
Osvaldo Lima