Imposto de renda: empresa identifica mais de 60 sites falsos criados por golpistas
Golpistas se aproveitam do período de declarações do Imposto de Renda e, em março, criaram ao menos 61 sites fraudulentos para aplicarem golpes em constribuintes via e-mail, segundo a empresa de segurança cibernética Kaspersky. Os endereços virtuais geralmente alegam uma suposta pendência vinculada ao IRPF (Imposto de Renda Pessoa Física) e simulam débitos com descontos de até 100% sobre juros e multas.
Liberação do FGTS: saiba quem terá direito e o que ainda está em discussão
Voo atrasou ou foi cancelado? Saiba quais são seus direitos
Fingindo ser uma notificação da Receita Federal, esses sites pressionam os cidadãos a realizarem pagamento único de dívidas inexistentes, por meio de Pix QRcode ou boleto comercial. Os golpistas aproveitam o período de declarações para aplicar os chamados ataques phishing, golpes que simulam bancos e órgãos governamentais, visando roubar as credenciais do gov.br, dados pessoais e realizar fraudes financeiras.
Nas cobranças, que chegam na caixa de entrada do e-mail, os golpistas afirmam que a “Secretaria Especial da Receita Federal encontrou uma pendência no IRPF”. Eles utilizam palavras-chaves como "IRPF", "online", "regularização", "contador", "modelo de declaração", "chave de acesso", "Receita Federal", "gov" e elementos de "checkout" e "receita digital" para confundir os contribuintes.
— Mesmo pessoas que já declararam o IR podem ser vítimas. O golpe não tem perfil, os criminosos atiram para todos os lados e depois selecionam as pessoas que têm mais potencial. Para os selecionados, os golpistas capricham mais, eles inserem seu nome e CPF na mensagem da suposta cobrança. Os valores dessas cobranças não têm um padrão, podem variar conforme o querer do criminoso — explica o líder de segurança da equipe global de pesquisa e análise para a América Latina e Europa da Kaspersky, Fabio Assolini.
Com a mensagem, a vítima recebe, anexo ao e-mail, um boleto comercial e chave pix para realizar o pagamento da suposta dívida em um prazo de 2 dias, com a promessa de que não passará pelo processo de malha fina e seu CPF ou CNPJ não serão incluídos na Dívida Ativa da União. Os valores arrecadados com os golpes são, então, desviados para contas de laranjas.
Como ocorre o golpe
O golpe começa quando os criminosos registram o domínio do site falso, usando palavras específicas referentes ao Imposto de Renda. Assolini pontua que a empresa de segurança age nessa fase, identificando e realizando o bloqueio desses domínios.
O próximo passo do golpe é publicar, nesses sites, cópias do site original do IR. Junto a isso, os golpistas enviam, via e-mail, uma “página de pendências”, com um código pix e, em alguns casos mais elaborados, um boleto comercial.
— Normalmente, os valores dessas supostas pendências não são altos, o que faz as pessoas ficarem mais abertas a realizarem o pagamento. A chave pix enviada vai com um nome aleatório, e o valor pago pelo contribuinte é transferido para uma conta de laranjas, que possuem CNPJ com nomes estranhos. Os criminosos rapidamente convertem esses valores em criptomoedas, o que torna a recuperação do dinheiro quase impossível — destaca Assolini.
Outra forma mais elaborada do golpe ocorre quando os criminosos criam essas páginas falsas e, juntamente, um login falso do Gov.br. Quando o contribuinte acessa o site com seu login, o golpista consegue acessar sua conta do Gov.br.
— Esse outro tipo de golpe não tem retorno financeiro imediato, mas o criminoso conseguirá acessar a sua conta, seus dados do IR e pode ter uma previsão do quanto você ganhará de restituição. Nesses casos, eles conseguem tanto fazer uma fraude com você, quanto usar seus dados para realizar outros tipos de fraudes, como pedir cartões de crédito e abrir empresas. Essa segunda forma de golpe é ainda mais perigosa porque, na conta Gov.br, estão disponíveis dados pessoais, documentos, serviços públicos, endereços e até dados bancários — explica o líder de segurança.
Como saber se possui pendências na Receita Federal
Se a pessoa realmente tiver alguma pendência na Receita Federal, é possível verificar no site oficial ou no aplicativo da Receita.
— A pendência existente é notificada e fica disponível no campo “mensagens”, do aplicativo da Receita Federal ou site. Lá, é possível verificar qual é a pendência e consultar todos os detalhes — orienta Assolini.
Ao consultar, nos canais oficiais, uma pendência, o cidadão gera o Documento de Arrecadação de Receitas Federais (DARF) para pagar tributos federais, como impostos, taxas e contribuições. O próprio canal da Receita gera o valor que o contribuinte deverá pagar.
Canais oficiais para realizar a declaração de forma correta
Para realizar a declaração com segurança, utilize os canais oficiais. As declarações do IR podem ser realizadas até o dia 29 de maio.
Programa IRPF: O programa para computador pode ser baixado gratuitamente no site oficial da Receita Federal.
Meu Imposto de Renda (Online): A declaração do imposto sobre a renda das pessoas físicas também pode ser preenchida de forma online, no site da Receita Federal.
Aplicativo Meu Imposto de Renda (Mobile): O aplicativo oficial da Receita Federal está disponível para download gratuito nas lojas App Store (iOS) e Google Play Store (Android).
(*Estagiária sob supervisão de Danielle Nogueira)
Veja como se proteger dos golpes
A principal recomendação é desconfiar de e-mails e SMS suspeitos, verificar o remetente e o conteúdo das mensagens. A Receita Federal não envia e-mails ou SMS com links para download de programas ou solicitação de dados pessoais. Além disso, outras práticas e cuidados podem ajudar a não cair em golpes:
Acesse o site da Receita Federal diretamente, digite o link no seu navegador, em vez de clicar em links suspeitos.
Não compartilhe seus dados pessoais, como número do CPF, senha ou dados bancários, em sites ou aplicativos não oficiais.
Desconfie de ofertas e promoções. A Receita Federal não oferece prêmios ou descontos para quem declara o Imposto de Renda. Desconfie de mensagens que prometem vantagens financeiras em troca de seus dados.
Mantenha seu antivírus atualizado, use um software de segurança confiável e mantenha-o sempre atualizado para proteger seu dispositivo contra vírus e outros tipos de malware.
Caso tenha dúvidas se a mensagem recebida é verídica ou se receber uma mensagem suspeita, consulte o site da Receita Federal.
— A melhor forma de se proteger contra os golpes é ativar a dupla autenticação e elevar sua conta Gov.br ao Nível Ouro, isso fornece uma maior segurança para o usuário. Quando for feito um acesso na sua conta, será necessário informar um código que aparecerá no app. O contribuinte também deve desconfiar de qualquer mensagem da Receita Federal que não seja dos canais oficiais (Site e App). Em 90% dos casos, esses golpes chegam via e-mail ou whatsapp. A orientação é que a pessoa não clique nesses links. Além de ter um antivírus instalado no computador para identificar sites duvidosos — recomenda Assolini.