IR 2026: golpe do CPF irregular usa site falso e cobra Pix; saiba identificar
Criminosos estão usando sites falsos que imitam o portal da Receita Federal para aplicar golpes em contribuintes durante o prazo de declaração do Imposto de Renda 2026, aberto até 29 de maio. O esquema, identificado pela empresa de cibersegurança ESET, usa o CPF da vítima para simular uma situação de "alto risco fiscal" e cobrar uma taxa falsa via Pix para uma regularização que não existe. Só em março, a Kaspersky mapeou outros 61 domínios maliciosos criados com o tema do IR como isca. Este guia do TechTudo explica como a fraude funciona e como se proteger.
Título de eleitor 2026: saiba regularizar online antes de o prazo acabar
Site falso imita página da Receita Federal para dar golpe usando declaração do Imposto de Renda
Letícia Rosa/TechTudo
🔎 Imposto de Renda 2026: como baixar o programa, datas e novas regras
📲 Comparador de celulares do TechTudo: como usar a ferramenta e economizar
📝Comprar celular em leilão é seguro? Descubra no Fórum do TechTudo
Índice
Como funciona o golpe do “CPF irregular”
Por que o golpe é tão convincente
Quantos golpes já foram identificados
Como saber se é golpe ou não
Como evitar cair no golpe
O que fazer se você foi vítima
1. Como funciona o golpe do “CPF irregular”
A fraude começa com uma mensagem recebida por e-mail, SMS, WhatsApp ou redes sociais alertando sobre um suposto "CPF irregular" ou pendência com a Receita Federal. O link incluído na mensagem leva a uma página que copia o visual e a linguagem do portal oficial da Receita, com logo e identidade institucional reproduzidos para parecer legítimo. Ao inserir o CPF para uma suposta consulta gratuita, o usuário recebe um falso alerta de "alto risco fiscal" com prazo curto para regularização, muitas vezes o mesmo dia.
Para aumentar a sensação de legitimidade, o site exibe informações reais da vítima, como nome completo e filiação, provavelmente obtidas em vazamentos de dados anteriores. Em seguida, a página lista consequências graves caso o pagamento não seja feito: bloqueio de conta bancária, restrição de crédito e impedimento para transações via Pix. Um falso relatório com valores, juros e multas reforça a narrativa de dívida ativa. Por fim, o usuário é direcionado a um pagamento via Pix que vai diretamente para os criminosos.
Site falso da Receita Federal diz que usuário possui pendências e cobra Pix para regularizar
Divulgação/ESET
Qual é o app para declarar o Imposto de Renda 2026? Veja como fazer download
2. Por que o golpe é convincente
O esquema combina dados pessoais reais, visual idêntico ao dos portais governamentais e coloca pressão no usuário para resolver a suposta pendência, três elementos que, juntos, reduzem o senso crítico da vítima e induzem uma decisão por impulso. O período de entrega da declaração do Imposto de Renda potencializa tudo isso, já que contribuintes preocupados com a declaração tendem a reagir com mais ansiedade ao ver o próprio nome associado a uma suposta dívida fiscal.
Site falso da Receita Federal atrai vítima com promessa de consultar CPF
Divulgação/ESET
Para Thales Santos, especialista em segurança da informação da ESET Brasil, o golpe reflete uma evolução da engenharia social.
"Os criminosos estão explorando um momento de alta sensibilidade para os brasileiros, que é o período de declaração do Imposto de Renda. Ao combinar mensagens urgentes com dados pessoais legítimos, eles criam um cenário extremamente convincente, levando a vítima a agir por impulso. Esse tipo de ataque mostra como a engenharia social evoluiu e se tornou mais personalizada e perigosa", afirma.
O especialista explica que a urgência é o principal mecanismo explorado pelos criminosos. "Quando o usuário acredita que pode sofrer penalidades imediatas, como bloqueio de contas ou multas, ele tende a não questionar a veracidade da mensagem. Esse senso de urgência é justamente o que os golpistas exploram para acelerar a tomada de decisão e evitar qualquer verificação", diz Thales.
3. Quantos golpes já foram identificados
Somente em março, a empresa de cibersegurança Kaspersky identificou 61 domínios maliciosos dedicados a fraudes que utilizam o tema do Imposto de Renda como isca. Os criminosos têm intensificado ataques de phishing, técnica que consiste em falsificar páginas e mensagens para roubar dados, mirando tanto o roubo de credenciais do gov.br quanto fraudes financeiras diretas.
Para dificultar a identificação pelos usuários, os golpistas criam variações de domínios com palavras-chave como "IRPF", "regularização", "modelo de declaração" e "chave de acesso". Termos como "Receita Federal" ou "gov" são incorporados de diferentes formas, visando confundir contribuintes, ampliar o número de acessos a sites maliciosos e, por fim, roubar credenciais do gov.br e dados pessoais.
A Kaspersky também identificou uma campanha paralela baseada em uma suposta "pendência no IR" comunicada por e-mail, que simula uma notificação oficial da Receita Federal. O discurso afirma que foi encontrada uma única pendência vinculada ao IRPF e oferece um desconto de 100% sobre juros e multas, mas na prática pressiona a vítima a realizar um pagamento via Pix ou boleto em até dois dias úteis. O objetivo é induzir transferências para contas de terceiros destinadas à lavagem de dinheiro.
Página fraudulenta se passa pela Receita Federal para cobrar pagamento falso via Pix
Divulgação/ESET
4. Como saber se é golpe ou não
A Receita Federal já anunciou publicamente que não envia links por e-mail, SMS ou WhatsApp. Também não cobra pagamentos via Pix fora dos canais oficiais, não ameaça bloqueio imediato de contas e não estipula prazos de horas para regularização de pendências, elementos comuns em páginas falsas. A instituição alerta que as situações fiscais reais do contribuinte só aparecem no sistema oficial, acessado diretamente pelo usuário.
Caso o usuário queira verificar a situação do CPF ou do IR, deve acessar exclusivamente os canais oficiais: o programa IRPF para computador, disponível no site da Receita Federal; o serviço online "Meu Imposto de Renda", acessado com certificado digital ou código de acesso; e o aplicativo oficial "Meu Imposto de Renda", disponível gratuitamente na App Store e na Google Play Store. É preciso estar atento a aplicativos falsos que imitam o app oficial também circulam nas lojas.
5. Como evitar cair no golpe
A ESET e a Kaspersky listam as principais medidas de proteção para o período de declaração:
Acesse o site da Receita Federal diretamente: digite o endereço no navegador em vez de clicar em links recebidos por mensagem. O endereço oficial é gov.br/receitafederal/pt-br
Não compartilhe dados pessoais: nunca forneça CPF, senha ou dados bancários em sites ou aplicativos não oficiais;
Desconfie de ofertas e descontos: a Receita Federal não oferece prêmios, descontos ou isenções em troca de pagamentos imediatos. Mensagens com esse teor são fraude;
Ative a autenticação em dois fatores: o portal gov.br oferece dupla autenticação. Ative essa função e eleve a conta ao Nível Ouro para reforçar a segurança de acesso;
Mantenha o antivírus atualizado: soluções de segurança confiáveis identificam e bloqueiam sites maliciosos antes que o usuário insira qualquer dado;
Em caso de dúvida, consulte a Receita Federal: entre em contato pelos canais oficiais de atendimento antes de tomar qualquer ação solicitada por mensagem.
6. O que fazer se você foi vítima
A prioridade é agir rápido. O primeiro passo é interromper qualquer contato com o remetente e não responder, não clicar em mais links e não abrir arquivos anexos. Em seguida, é preciso ligar para o banco e informar o ocorrido, solicitando medidas de proteção como bloqueio de cartão ou suspensão do acesso ao aplicativo.
Caso o usuário queira reforçar a segurança digital, deve trocar as senhas de serviços bancários e, principalmente, da conta gov.br, ativando a autenticação em duas etapas. Também é recomendável registrar um boletim de ocorrência, seja na delegacia presencialmente ou pelas plataformas online disponíveis nos estados. Além disso, a vítima deve reportar a fraude à Receita Federal pelos canais oficiais de atendimento.
Com informações da Kaspersky
TROQUEI o SPOTIFY pelo YOUTUBE PREMIUM! Vale a pena? Veja o comparativo!