Durante o período de declaração do Imposto de Renda 2026, pesquisadores da ESET, líder em detecção proativa de ameaças, identificaram um site falso que simula o portal oficial da Receita Federal. A fraude aproveita a preocupação dos brasileiros com pendências fiscais para induzir pagamentos indevidos, utilizando mensagens alarmistas enviadas por e-mail, SMS, WhatsApp e redes sociais.
Ao clicar no link malicioso, o usuário é direcionado a uma página com visual e linguagem institucionais idênticos aos do governo. Ao inserir o CPF para consulta, a vítima recebe o alerta de que o documento está em “alto risco fiscal”, com prazo curtíssimo para regularização. O site exibe dados reais, como nome e filiação, provavelmente obtidos em vazamentos anteriores, o que aumenta a sensação de legitimidade.
A página detalha consequências graves para quem não pagar imediatamente, incluindo o bloqueio de contas bancárias, restrições de crédito e impedimentos em transações via PIX. Para reforçar a narrativa, os criminosos apresentam um falso relatório com valores de juros e multas acumuladas e, ao final, a vítima é levada a realizar um pagamento via PIX que é destinado diretamente aos golpistas.
Para Thales Santos, especialista da ESET Brasil, o golpe combina engenharia social sofisticada com o uso estratégico de dados reais. “Ao combinar mensagens urgentes com dados pessoais legítimos, eles criam um cenário extremamente convincente, levando a vítima a agir por impulso. Esse tipo de ataque mostra como a engenharia social se tornou mais personalizada e perigosa”, afirma o especialista.
Thales explica que o senso de urgência é a principal ferramenta dos criminosos para acelerar a tomada de decisão e evitar verificações. “Quando o usuário acredita que pode sofrer penalidades imediatas, tende a não questionar a veracidade da mensagem”, ressalta. A ESET alerta que essas ações tendem a se intensificar até o encerramento do prazo do Imposto de Renda, em 29 de maio.
Para se proteger, a ESET recomenda acessar os serviços da Receita apenas por canais oficiais e desconfiar de links recebidos por mensagens, é fundamental não realizar pagamentos sem verificar a origem e utilizar soluções de segurança que bloqueiem sites maliciosos. Caso receba comunicações suspeitas, a orientação é não interagir com os links e reportar a tentativa de fraude aos órgãos competentes.
