Golpe do “CPF irregular” avança no Brasil durante o Imposto de Renda e usa site falso da Receita para roubar vítimas!

Com o período de declaração do Imposto de Renda 2026 em andamento — iniciado em 23 de março e com prazo até 29 de maio — cresce a atuação de criminosos que se aproveitam da preocupação dos brasileiros com pendências fiscais. Pesquisadores da ESET, empresa líder em detecção proativa de ameaças, identificaram um site falso que simula páginas oficiais da Receita Federal para enganar usuários e induzi-los a realizar pagamentos indevidos.

A fraude começa com mensagens enviadas por e-mail, SMS, WhatsApp ou redes sociais, alertando sobre um suposto “CPF irregular” ou “pendência com a Receita”. Ao clicar no link, o usuário é direcionado para uma página que imita o “Portal Oficial de Serviços ao Cidadão da Receita Federal”, com aparência e linguagem institucional para transmitir credibilidade.

Ao inserir o CPF para uma suposta consulta gratuita, o usuário recebe uma mensagem alarmante informando que o documento está em situação de “alto risco fiscal”, com a indicação de um prazo curto — muitas vezes no mesmo dia — para regularização. Em seguida, o site exibe informações pessoais reais, como nome completo e filiação, possivelmente obtidas a partir de vazamentos de dados, aumentando a sensação de legitimidade.
 

Botão para consultar a situação cadastral do CPF
 

Mensagem informa o suposto status do CPF da vítima
 

Na etapa seguinte, a página apresenta consequências graves que a vítima poderia estar sujeita caso o pagamento não seja feito imediatamente, como bloqueio de contas bancárias, restrições de crédito e impedimentos para transações via PIX. Um falso relatório detalhado com valores, juros e multas reforça a narrativa de dívida ativa.
 

Supostas restrições
 

Ao final, o usuário é direcionado para um pagamento via PIX com a promessa de regularizar o CPF — mas o valor vai diretamente para os golpistas.
 

Desconto e botão de “regularizar”
 

Para Thales Santos, especialista em segurança da informação da ESET Brasil, o golpe combina elementos sofisticados de engenharia social com o uso estratégico de dados reais para aumentar sua taxa de sucesso. “Os criminosos estão explorando um momento de alta sensibilidade para os brasileiros, que é o período de declaração do Imposto de Renda. Ao combinar mensagens urgentes com dados pessoais legítimos, eles criam um cenário extremamente convincente, levando a vítima a agir por impulso. Esse tipo de ataque mostra como a engenharia social evoluiu e se tornou mais personalizada e perigosa”, afirma o especialista.
 

Botão para gerar o QR Code de pagamento via pix
 

“Quando o usuário acredita que pode sofrer penalidades imediatas, como bloqueio de contas ou multas, ele tende a não questionar a veracidade da mensagem. Esse senso de urgência é justamente o que os golpistas exploram para acelerar a tomada de decisão e evitar qualquer verificação”, explica Thales.

A ESET alerta que golpes desse tipo tendem a se intensificar em períodos de alta demanda, como o calendário do Imposto de Renda, quando há maior volume de buscas por serviços relacionados ao CPF e à situação fiscal.

Como se proteger

Para evitar cair nesse tipo de golpe, a ESET recomenda:

• Acessar serviços da Receita Federal apenas por canais oficiais;
• Desconfiar de links recebidos por mensagens;
• Não realizar pagamentos sem verificar a origem;
• Utilizar soluções de segurança que bloqueiem sites maliciosos;
• Ativar autenticação multifator sempre que possível.

A empresa reforça que, ao receber comunicações suspeitas, o usuário não interaja com os links e, sempre que possível, reporte a tentativa de fraude aos órgãos competentes.