IR 2026: golpe do CPF irregular usa site falso e cobra Pix; saiba identificar

A fraude começa com uma mensagem recebida por e-mail, SMS, WhatsApp ou redes sociais alertando sobre um suposto "CPF irregular" ou pendência com a Receita Federal. O link incluído na mensagem leva a uma página que copia o visual e a linguagem do portal oficial da Receita, com logo e identidade institucional reproduzidos para parecer legítimo. Ao inserir o CPF para uma suposta consulta gratuita, o usuário recebe um falso alerta de "alto risco fiscal" com prazo curto para regularização, muitas vezes o mesmo dia.

Para aumentar a sensação de legitimidade, o site exibe informações reais da vítima, como nome completo e filiação, provavelmente obtidas em vazamentos de dados anteriores. Em seguida, a página lista consequências graves caso o pagamento não seja feito: bloqueio de conta bancária, restrição de crédito e impedimento para transações via Pix. Um falso relatório com valores, juros e multas reforça a narrativa de dívida ativa. Por fim, o usuário é direcionado a um pagamento via Pix que vai diretamente para os criminosos.

O esquema combina dados pessoais reais, visual idêntico ao dos portais governamentais e coloca pressão no usuário para resolver a suposta pendência, três elementos que, juntos, reduzem o senso crítico da vítima e induzem uma decisão por impulso. O período de entrega da declaração do Imposto de Renda potencializa tudo isso, já que contribuintes preocupados com a declaração tendem a reagir com mais ansiedade ao ver o próprio nome associado a uma suposta dívida fiscal.

Para Thales Santos, especialista em segurança da informação da ESET Brasil, o golpe reflete uma evolução da engenharia social.

O especialista explica que a urgência é o principal mecanismo explorado pelos criminosos. "Quando o usuário acredita que pode sofrer penalidades imediatas, como bloqueio de contas ou multas, ele tende a não questionar a veracidade da mensagem. Esse senso de urgência é justamente o que os golpistas exploram para acelerar a tomada de decisão e evitar qualquer verificação", diz Thales.

Somente em março, a empresa de cibersegurança Kaspersky identificou 61 domínios maliciosos dedicados a fraudes que utilizam o tema do Imposto de Renda como isca. Os criminosos têm intensificado ataques de phishing, técnica que consiste em falsificar páginas e mensagens para roubar dados, mirando tanto o roubo de credenciais do gov.br quanto fraudes financeiras diretas.

Para dificultar a identificação pelos usuários, os golpistas criam variações de domínios com palavras-chave como "IRPF", "regularização", "modelo de declaração" e "chave de acesso". Termos como "Receita Federal" ou "gov" são incorporados de diferentes formas, visando confundir contribuintes, ampliar o número de acessos a sites maliciosos e, por fim, roubar credenciais do gov.br e dados pessoais.

A Kaspersky também identificou uma campanha paralela baseada em uma suposta "pendência no IR" comunicada por e-mail, que simula uma notificação oficial da Receita Federal. O discurso afirma que foi encontrada uma única pendência vinculada ao IRPF e oferece um desconto de 100% sobre juros e multas, mas na prática pressiona a vítima a realizar um pagamento via Pix ou boleto em até dois dias úteis. O objetivo é induzir transferências para contas de terceiros destinadas à lavagem de dinheiro.

A Receita Federal já anunciou publicamente que não envia links por e-mail, SMS ou WhatsApp. Também não cobra pagamentos via Pix fora dos canais oficiais, não ameaça bloqueio imediato de contas e não estipula prazos de horas para regularização de pendências, elementos comuns em páginas falsas. A instituição alerta que as situações fiscais reais do contribuinte só aparecem no sistema oficial, acessado diretamente pelo usuário.

Caso o usuário queira verificar a situação do CPF ou do IR, deve acessar exclusivamente os canais oficiais: o programa IRPF para computador, disponível no site da Receita Federal; o serviço online "Meu Imposto de Renda", acessado com certificado digital ou código de acesso; e o aplicativo oficial "Meu Imposto de Renda", disponível gratuitamente na App Store e na Google Play Store. É preciso estar atento a aplicativos falsos que imitam o app oficial também circulam nas lojas.

A ESET e a Kaspersky listam as principais medidas de proteção para o período de declaração:

A prioridade é agir rápido. O primeiro passo é interromper qualquer contato com o remetente e não responder, não clicar em mais links e não abrir arquivos anexos. Em seguida, é preciso ligar para o banco e informar o ocorrido, solicitando medidas de proteção como bloqueio de cartão ou suspensão do acesso ao aplicativo.

Caso o usuário queira reforçar a segurança digital, deve trocar as senhas de serviços bancários e, principalmente, da conta gov.br, ativando a autenticação em duas etapas. Também é recomendável registrar um boletim de ocorrência, seja na delegacia presencialmente ou pelas plataformas online disponíveis nos estados. Além disso, a vítima deve reportar a fraude à Receita Federal pelos canais oficiais de atendimento.