Com o prazo para entregar a declaração do Imposto de Renda (IR) 2026 correndo, um alerta surge: golpistas já miram contribuintes com sites falsos para roubar dados e dinheiro das vítimas. Um estudo da Kaspersky identificou só no mês de março 61 sites fraudulentos que utilizam o IR como isca para golpes.

O foco são ataques de phishing, uma técnica de engenharia social usada por cibercriminosos para roubar informações confidenciais (senhas, cartões de crédito, dados pessoais) fingindo ser uma entidade confiável.

Eles miram tanto o roubo de credenciais do gov.br quanto fraudes financeiras diretas, como uma nova campanha maliciosa que simula pendências na Receita Federal para extorquir pagamentos urgentes via Pix ou boleto.

“É fundamental que os contribuintes estejam vigilantes, utilizem apenas canais oficiais e apliquem medidas de segurança robustas para proteger suas informações financeiras e evitar cair em armadilhas digitais", ressalta Fabio Assolini, Lead Security Researcher da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina e Europa.

Como os golpes funcionam?

Os golpes funcionam assim: eles criam domínios fraudulentos com termos como “IRPF”, “regularização”, “contador” e até referências à Receita Federal do Brasil, além de elementos que simulam páginas oficiais, para confundir os usuários e induzi-los a inserir dados pessoais e credenciais — que acabam sendo roubados.

Além disso, há uma campanha em andamento baseada no envio de e-mails falsos que informam uma suposta pendência no Imposto de Renda. A mensagem simula uma notificação oficial, promete desconto de 100% em juros e multas e pressiona a vítima a pagar rapidamente via Pix ou boleto.

O objetivo é levar o contribuinte a transferir dinheiro para contas de “laranjas”, usando senso de urgência e a promessa de evitar problemas como malha fina ou inscrição na dívida ativa.

Prática realizada há anos

Nos últimos anos, a Kaspersky tem monitorado como criminosos digitais aproveitam o período do Imposto de Renda para criar campanhas fraudulentas, utilizando temas como restituição, pendências ou liberação de valores como isca.

Somente em 2023, por exemplo, foi identificado o envio massivo de mais de 10 mil e-mails maliciosos com o tema, em apenas seis dias, na reta final do prazo de entrega.

A Kaspersky alerta que a perda de acesso ao gov.br, que centraliza dados sensíveis, representa um grande prejuízo.

Confie só nas plataformas oficiais

Para declarar o Imposto de Renda com segurança, utilize apenas os seguintes canais:

Para evitar prejuízos e declarar com segurança, a Kaspersky reforça boas práticas essenciais: