Especialistas em cibersegurança estão alertando a população sobre o aumento significativo de golpes digitais relacionados ao período de declaração do Imposto de Renda 2026. Criminosos estão utilizando o tema para obter dados pessoais e induzir contribuintes a realizar pagamentos indevidos, aproveitando-se da urgência e da falta de informação de muitos cidadãos.
Aplicativo falso da Receita Federal
A Redbelt Security, empresa especializada em segurança da informação, identificou um aplicativo fraudulento que simulava o aplicativo oficial da Receita Federal. O app falso registrou mais de 16 mil downloads antes de ser removido de uma loja não oficial, e pode ter feito milhares de vítimas. O prazo para declarar o Imposto de Renda vai até 29 de maio. Quem é obrigado a prestar contas e atrasa o envio paga multa mínima de R$ 165,74, que pode chegar a 20% do imposto devido no ano. Há ainda outras consequências, como ficar com o CPF pendente caso não entregue a declaração.
Eduardo Lopes, CEO da Redbelt, explica que os aplicativos criados por cibercriminosos recriam o ambiente do app da Receita, oferecendo falsos serviços como preenchimento da declaração, consulta de débitos e acesso a recibos. O usuário, acreditando estar em um ambiente legítimo, acaba fornecendo seus dados do Portal Gov.br sem perceber a fraude. Com isso, os golpistas roubam informações sensíveis do contribuinte, incluindo CPF, senhas salvas no celular ou tablet, cookies de sessão bancária, credenciais corporativas e documentos armazenados.
“No caso de RATs, vírus de acesso remoto, o criminoso passa a ter o controle do aparelho, conseguindo acessar arquivos, registrar o que é digitado e visualizar a tela em tempo real”, afirma o especialista.
Aplicações maliciosas e engenharia social
Durante o monitoramento, a Redbelt Security identificou cerca de dez aplicativos maliciosos ligados ao IR 2026. As amostras analisadas utilizam nomes de órgãos oficiais, linguagem técnica e canais de suporte para aumentar a credibilidade. Esses aplicativos circularam em lojas não oficiais, fora do Google Play Store e da App Store, que possuem processos de verificação mais rigorosos.
Pesquisadores da Eset Brasil identificaram outro tipo de fraude semelhante. O golpe começa com o envio de links por e-mail, SMS ou WhatsApp, com alertas falsos de “CPF irregular” ou “pendências com a Receita”. Ao acessar o site, a vítima informa o CPF em uma suposta consulta gratuita. Em seguida, a página exibe um aviso de alto risco fiscal e estabelece um prazo curto para regularização da falsa pendência.
Os golpistas exibem dados reais do usuário e apresentam um relatório falso com valores, juros e multas, simulando uma dívida ativa. Thales Santos, especialista em segurança da informação na Eset Brasil, afirma que o golpe combina engenharia social com uso de dados vazados. “Esse tipo de fraude digital é mais complexa porque os sites são criados e derrubados com frequência, o que dificulta o mapeamento dos golpistas”, diz. “A infraestrutura usada é desconhecida, mas é possível que os dados das vítimas tenham sido vazados anteriormente em alguma brecha de segurança, como o que ocorreu em 2020”, afirma.
O especialista alerta que o senso de urgência reduz a verificação das informações. Os golpistas aproveitam o momento de pressão para acelerar decisões e oferecem descontos que reduzem a suposta dívida. Diante da possível penalidade, muitos usuários priorizam agir rápido em vez de checar a origem da mensagem.
Como declarar o Imposto de Renda com segurança
O contribuinte que vai declarar o Imposto de Renda pelo aplicativo da Receita deve ficar atento e baixar o app apenas nas lojas oficiais. Também é possível enviar a declaração utilizando o PGD, Programa Gerador da Declaração, disponível no site da Receita. Outra opção é declarar online pelo portal e-CAC, em “Meu Imposto de Renda”.
Saiba como se proteger de golpes
Para evitar prejuízos financeiros e proteger dados pessoais, a Receita Federal reforça que não envia links para regularização de pendências e orienta:
- Desconfie de mensagens com tom de urgência ou ameaça de bloqueio de serviços financeiros
- Não clique em links recebidos por SMS ou aplicativos de mensagens de fontes desconhecidas
- Acesse os serviços digitando o endereço oficial da Receita no navegador
- Verifique sempre o endereço eletrônico antes de acessar páginas de serviços públicos
- Não compartilhe seus dados pessoais
- Nunca forneça informações bancárias, fiscais ou senhas em sites não verificados
- Em caso de dúvida, busque atendimento nos canais oficiais da Receita Federal
