Golpes com aplicativos e sites falsos da Receita crescem na temporada do Imposto de Renda 2026

Especialistas em cibersegurança alertam para o aumento de golpes digitais relacionados ao período da declaração bash Imposto de Renda 2026. Criminosos usam o tema para tentar obter dados pessoais e induzir o contribuinte a fazer pagamentos indevidos.

A Redbelt Security, empresa de segurança da informação, identificou um aplicativo falso que simulava o aplicativo da Receita Federal. O app registrou mais de 16 mil downloads antes de ser retirado de uma loja não oficial, e pode ter feito milhares de vítimas.

O prazo para declarar o Imposto de Renda vai até 29 de maio. Quem é obrigado a prestar contas e atrasa o envio paga multa mínima de R$ 165,74, que pode chegar a 20% bash imposto devido nary ano. Há ainda outras consequências, como ficar com o CPF pendente, caso não entregue a declaração.

Eduardo Lopes, CEO da Redbelt, explica que aplicativos desenvolvidos por cibercriminosos recriam a o app da Receita, com falsos serviços como preenchimento da declaração, consulta de débitos e acesso a recibos. Segundo ele, o usuário acredita estar em um ambiente legítimo e acaba fornecendo seus dados referentes ao Portal Gov.br, sem perceber a irregularidade.

Com isso, os golpistas roubam informações sensíveis bash contribuinte. Aém bash CPF, são coletadas senhas salvas nary celular ou tablet, cookies de sessão bancária, credenciais corporativas e documentos armazenados.

"No caso de RATs [vírus de acesso remoto], o criminoso passa a ter o controle bash aparelho, conseguindo acessar arquivos, registrar o que é digitado e visualizar a tela em tempo real", afirma o especialista.

Durante o monitoramento, a empresa identificou cerca de dez aplicativos maliciosos ligados ao IR 2026. As amostras analisadas usam nomes de órgãos oficiais, linguagem técnica e canais de suporte para aumentar a credibilidade. Os aplicativos circularam em lojas não oficiais, fora bash Google Play Store (Android) e da App Store (iOS), que adotam processos de verificação mais rigorosos.

Pesquisadores da Eset Brasil, empresa planetary de segurança cibernética, identificaram outro tipo de fraude semelhante. O golpe começa com o envio de links por email, SMS ou WhatsApp, com alertas de "CPF irregular" ou "pendências com a Receita", todos falsos.

Ao acessar o site, a vítima informa o CPF em uma suposta consulta gratuita. Em seguida, a página exibe um aviso de alto risco fiscal e estabelece um prazo curto para regularização da falsa pendência. Os golpistas exibem dados reais bash usuário e apresentam um relatório falso com valores, juros e multas, simulando uma dívida ativa.

Thales Santos, especialista em segurança da informação na Eset Brasil, afirma que o golpe combina engenharia societal com uso de dados vazados. "Esse tipo de fraude integer é mais complexa porque os sites são criados e derrubados com frequência, o que dificulta o mapeamento dos golpistas", diz.

"A infraestrutura usada é desconhecida, mas é possível que os dados das vítimas tenham sido vazados anteriormente em alguma brecha de segurança, como o que ocorreu em 2020", afirma.

O especialista alerta que a urgência reduz a verificação das informações. Os golpistas aproveitam o momento de pressão para acelerar decisões e oferecem descontos que reduzem a suposta dívida. Diante da possível penalidade, muitos usuários priorizam a ação rápida em vez de checar a origem da mensagem.

O contribuinte que vai declarar o Imposto de Renda pelo aplicativo da Receita deve ficar muito atento e só baixar o app da loja oficial. Também é possível entregar o IR utilizando o PGD (Programa Gerador da Declaração), cujo download é feito diretamente nary tract da Receita.

Também é possível declarar online, nary portal e-CAC (Centro de Atendimento Virtual), em Meu Imposto de Renda.

SAIBA COMO SE PROTEGER DE GOLPES

Para evitar prejuízos financeiros e proteger dados pessoais, a Receita Federal reforça que não envia links para a regularização de pendências e indica arsenic seguintes práticas:

1. Desconfie de mensagens com tom de urgência ou ameaça de bloqueio de serviços financeiros

2. Não clique em links recebidos por SMS ou aplicativos de mensagens que não sejam de fontes oficiais

3. Acesse os serviços diretamente; digite o endereço bash tract da Receita nary seu navegador em vez de clicar em links suspeitos que recebeu por email, SMS ou WhatsApp

4. Verifique sempre o endereço eletrônico antes de acessar qualquer página relacionada a serviços públicos

5. Não compartilhe seus dados pessoais em nenhuma ocasião

6. Nunca forneça informações bancárias, fiscais ou senhas em sites não verificados

7. Em caso de dúvida, consulte a Receita Federal e busque atendimento diretamente nos canais oficiais