Bom dia,
Apesar do post ser antigo, a fraude continua até hoje.
Um ponto importante é que o XML contém o e-mail do cliente.
Se excluir o e-mail quando emitir a nota pelo seu sistema de faturamento, o estelionatário não saberá para onde enviar a nota e o boleto falsos. - Já ajuda a contornar o problema.
Mas a responsabilidade de qualquer prejuízo dessas fraudes deveria ser atribuída ao Sefaz, que claramente possui uma vulnerabilidade no seu sistema de recebimento e gerenciamento de XMLs.