Golpes com aplicativos e sites falsos da Receita crescem na temporada do Imposto de Renda 2026

Especialistas em cibersegurança alertam para o aumento de golpes digitais relacionados ao período da declaração do Imposto de Renda 2026. Criminosos usam o tema para tentar obter dados pessoais e induzir o contribuinte a fazer pagamentos indevidos.

A Redbelt Security, empresa de segurança da informação, identificou um aplicativo falso que simulava o aplicativo da Receita Federal. O app registrou mais de 16 mil downloads antes de ser retirado de uma loja não oficial, e pode ter feito milhares de vítimas.

O prazo para declarar o Imposto de Renda vai até 29 de maio. Quem é obrigado a prestar contas e atrasa o envio paga multa mínima de R$ 165,74, que pode chegar a 20% do imposto devido no ano. Há ainda outras consequências, como ficar com o CPF pendente, caso não entregue a declaração.

Eduardo Lopes, CEO da Redbelt, explica que aplicativos desenvolvidos por cibercriminosos recriam a o app da Receita, com falsos serviços como preenchimento da declaração, consulta de débitos e acesso a recibos. Segundo ele, o usuário acredita estar em um ambiente legítimo e acaba fornecendo seus dados referentes ao Portal Gov.br, sem perceber a irregularidade.

Com isso, os golpistas roubam informações sensíveis do contribuinte. Além do CPF, são coletadas senhas salvas no celular ou tablet, cookies de sessão bancária, credenciais corporativas e documentos armazenados.

"No caso de RATs [vírus de acesso remoto], o criminoso passa a ter o controle do aparelho, conseguindo acessar arquivos, registrar o que é digitado e visualizar a tela em tempo real", afirma o especialista.

Durante o monitoramento, a empresa identificou cerca de dez aplicativos maliciosos ligados ao IR 2026. As amostras analisadas usam nomes de órgãos oficiais, linguagem técnica e canais de suporte para aumentar a credibilidade. Os aplicativos circularam em lojas não oficiais, fora do Google Play Store (Android) e da App Store (iOS), que adotam processos de verificação mais rigorosos.

Pesquisadores da Eset Brasil, empresa global de segurança cibernética, identificaram outro tipo de fraude semelhante. O golpe começa com o envio de links por email, SMS ou WhatsApp, com alertas de "CPF irregular" ou "pendências com a Receita", todos falsos.

Ao acessar o site, a vítima informa o CPF em uma suposta consulta gratuita. Em seguida, a página exibe um aviso de alto risco fiscal e estabelece um prazo curto para regularização da falsa pendência. Os golpistas exibem dados reais do usuário e apresentam um relatório falso com valores, juros e multas, simulando uma dívida ativa.

Thales Santos, especialista em segurança da informação na Eset Brasil, afirma que o golpe combina engenharia social com uso de dados vazados. "Esse tipo de fraude digital é mais complexa porque os sites são criados e derrubados com frequência, o que dificulta o mapeamento dos golpistas", diz.

"A infraestrutura usada é desconhecida, mas é possível que os dados das vítimas tenham sido vazados anteriormente em alguma brecha de segurança, como o que ocorreu em 2020", afirma.

O especialista alerta que a urgência reduz a verificação das informações. Os golpistas aproveitam o momento de pressão para acelerar decisões e oferecem descontos que reduzem a suposta dívida. Diante da possível penalidade, muitos usuários priorizam a ação rápida em vez de checar a origem da mensagem.

O contribuinte que vai declarar o Imposto de Renda pelo aplicativo da Receita deve ficar muito atento e só baixar o app da loja oficial. Também é possível entregar o IR utilizando o PGD (Programa Gerador da Declaração), cujo download é feito diretamente no site da Receita.

Também é possível declarar online, no portal e-CAC (Centro de Atendimento Virtual), em Meu Imposto de Renda.

SAIBA COMO SE PROTEGER DE GOLPES

Para evitar prejuízos financeiros e proteger dados pessoais, a Receita Federal reforça que não envia links para a regularização de pendências e indica as seguintes práticas:

1. Desconfie de mensagens com tom de urgência ou ameaça de bloqueio de serviços financeiros
2. Não clique em links recebidos por SMS ou aplicativos de mensagens que não sejam de fontes oficiais
3. Acesse os serviços diretamente; digite o endereço do site da Receita no seu navegador em vez de clicar em links suspeitos que recebeu por email, SMS ou WhatsApp
4. Verifique sempre o endereço eletrônico antes de acessar qualquer página relacionada a serviços públicos
5. Não compartilhe seus dados pessoais em nenhuma ocasião
6. Nunca forneça informações bancárias, fiscais ou senhas em sites não verificados

Em caso de dúvida, consulte a Receita Federal e busque atendimento diretamente nos canais oficiais