Os golpes cibernéticos relacionados ao imposto de renda evoluíram de forma significativa nos últimos anos, tornando-se mais sofisticados e difíceis de detectar. Os criminosos aproveitam a época da declaração para explorar técnicas de engenharia social e enganar as pessoas, que podem estar mais desatentas ou preocupadas com prazos e obrigações. Só em 2023 a Receita Federal identificou mais de 100 mil tentativas de golpes deste tipo.
“Em outras palavras, os hackers utilizam ambientes amplamente conhecidos, mas que ainda geram muitas vítimas no público em geral, como phishings (e-mails falsos) que se assemelham aos da Receita Federal enviados para as vítimas a fim de induzi-las a clicar em links maliciosos ou fornecer dados pessoais e bancários”, explica Marcos Almeida, de Red Team e Threat Intelligence da Redbelt Security.
De acordo com o especialista, outros recursos criminosos comuns são ligações telefônicas feitas por supostos funcionários do órgão, que solicitam pagamentos de débitos inexistentes ou informações confidenciais, e sites falsos para coletar dados pessoais e bancários da população. “Como hoje as declarações são entregues digitalmente, outras práticas regulares dos golpistas são instalar malwares nos computadores dos declarantes e criar aplicativos falsos da Receita Federal para roubar dados pessoais e bancários das vítimas”.
Este alerta é especialmente relevante agora, pois o site da Receita Federal acaba de disponibilizar, no último dia 12 de março, o programa para Declaração de Imposto de Renda 2024 (Declaração de Ajuste Anual Ano-base-2023) para download. Agora, os contribuintes têm de 15 de março até 31 de maio para entregar a declaração e o período merece toda atenção, já que golpistas se aproveitam da importância e urgência do tema para aplicar diversos golpes e executar diferentes crimes cibernéticos.
Os especialistas da Redbelt Security prepararam um guia detalhado sobre as técnicas e táticas mais comuns adotadas por agentes maliciosos neste período do ano, que merecem a atenção dos brasileiros. “O objetivo é oferecer informações de qualidade para proteger usuários e empresas de fraudes digitais e ataques cibernéticos, além de sugerir ações em caso de incidentes”, explica Almeida.
A regras detalhadas sobre quem deve fazer a Declaração de Ajuste Anual e de Imposto de Renda podem ser consultadas no site da Receita Federal, mas, de forma resumida, quem recebeu rendimentos tributáveis acima de R$ 30.639,90 ao longo do ano de 2023 precisa efetuá-la. O governo brasileiro espera receber mais de 43 milhões de declarações e a única forma de entrega é por meio do programa IR2024, ou seja, de forma digital.
É importante fazer o download do programa de maneira correta e segura, diretamente no site da Receita, evitando links terceiros, e utilizando dispositivos particulares (computadores ou celulares). A Receita Federal não envia o link para download por meio de mensagens e e-mails. Para baixar o programa, é preciso acessar o website oficial da Receita Federal.
Vetores comuns de ataque
Simulação de contato da Receita Federal – e-mails fraudulentos com o logotipo da Receita Federal utilizam-se de engenharia social e comunicam supostos erros na declaração e/ou pendências de dados e pagamentos. Nesse caso, links maliciosos são enviados para induzir o contribuinte a fornecer dados pessoais ou baixar arquivos infectados com malware.
Informes de Rendimentos Inverídicos – e-mails e mensagens falsas utilizam nomes de grandes instituições financeiras para enganar usuários sobre documentos necessários para a declaração de imposto de renda. Os golpistas induzem as vítimas a fornecerem dados e baixar arquivos infectados.
Falso Reembolso de Imposto – golpistas oferecem reembolsos indevidos do imposto de renda para atrair as vítimas. Para “receber” o dinheiro, o contribuinte precisa fornecer dados bancários ou clicar em links fraudulentos que podem resultar em roubo de dados e downloads de programas maliciosos.
Golpe do “Falso Débito” – criminosos se identificam como funcionários da Receita Federal e, de forma indevida, informam sobre supostos débitos em aberto. Induzida no discurso e pensando que evitará uma suposta cobrança de multa, a vítima é pressionada a realizar pagamentos imediatos via PIX ou transferência bancária.
Ofertas Falsas de Restituição – publicações em redes sociais e sites feitos por meio de engenharia social prometem restituições do imposto de renda mediante ao fornecimento de dados e envios de documentos (que serão utilizados para golpes e crimes futuros) e, até mesmo, pagamento de taxas para, supostamente, antecipar o pagamento da restituição.
Principais cuidados
É essencial desconfiar de e-mails de origem desconhecida e evitar clicar em links suspeitos ou fornecer informações pessoais. No caso de empresas e e-mails corporativos, a atenção deve ser ainda maior:
Faça o download do programa de declaração no site oficial da Receita Federal digitando o endereço no campo de navegação. Evite links terceiros de redirecionamento.
Desconfie de contatos não solicitados, pois a Receita Federal nunca solicita dados pessoais ou bancários por e-mail, telefone ou WhatsApp.
Verifique a autenticidade das informações – para isto, acesse o site oficial da Receita Federal para confirmar a veracidade de comunicados, situação de processamento e/ou supostas pendências na declaração.
Cuidado com links e arquivos em e-mails ou mensagens suspeitos.
Utilize canais oficiais – acesse o portal e-CAC para consultar pendências e obter informações sobre o imposto de renda.
Mantenha seus softwares atualizados, pois isto os protege contra malwares e ataques cibernéticos.
Comunique golpes e fraudes – denuncie tentativas de golpe à Receita Federal (Link) e às autoridades competentes.
Quando se trata de empresas e funcionários, a conscientização e educação cibernética continuam fundamentais para evitar que sejam vítimas de fraudes digitais e, consequentemente, haja exposição de dados, informações e credenciais para que hackers consigam acesso ao ambiente corporativo.
“Mas, além disso, existem ferramentas e práticas de segurança que colaboram para a proteção, como habilitar a Autenticação Multifator (MFA) e o logon único (SSO) para site de terceiros e certificar-se de que apenas os dispositivos corporativos tenham autorização para acessar informações da empresa para reduzir o risco de abuso de credenciais; além de manter todos os sistemas e software atualizados para corrigir vulnerabilidades”, ressalta o especialista da Redbelt Security.
Almeida destaca ainda que é importante ter uma abordagem em camadas para segurança, incluindo firewalls, antivírus e sistemas de detecção de intrusões, reforçar as políticas de segurança de e-mail para filtrar e bloquear e-mails maliciosos, phishing e spam; além de implementar autenticação de e-mail SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance) para evitar spoofing e garantir a autenticidade dos e-mails recebidos. “Sempre que possível faça uma varredura de e-mail e proxies da Web para remover ameaças antes que elas cheguem”, completa.
