Pesquisadores da ESET identificaram, em abril de 2026, um site fraudulento que imita o portal oficial da Receita Federal para extorquir contribuintes brasileiros via Pix. O esquema, disseminado por e-mail, SMS, WhatsApp e redes sociais, explora o período de declaração do Imposto de Renda 2026, aberto desde 23 de março com prazo até 29 de maio, e utiliza dados pessoais reais de vazamentos anteriores para convencer as vítimas de que possuem pendências fiscais urgentes.
Uma nova e sofisticada campanha de golpe do CPF irregular está em curso no Brasil. Pesquisadores da ESET identificaram, em abril de 2026, um site fraudulento que replica visualmente o portal da Receita Federal com alta fidelidade. O objetivo é simples e devastador: convencer contribuintes de que possuem dívidas fiscais urgentes e induzi-los a realizar pagamentos indevidos via Pix.
Como o Golpe Funciona na Prática
Tudo começa com uma mensagem. O alvo recebe um disparo por e-mail, SMS, WhatsApp ou redes sociais alertando sobre um suposto CPF irregular ou pendência com o Fisco. O link contido na mensagem leva a um domínio suspeito, identificado com extensões como .mom, completamente distinto do domínio oficial .gov.br.
Ao inserir o número do CPF na página falsa, o usuário se depara com um aviso de alto risco fiscal. O prazo para regularização é deliberadamente curto, em muitos casos, o próprio dia do acesso. Essa pressão temporal é calculada para suprimir o pensamento crítico e forçar uma decisão impulsiva.
O detalhe que torna o golpe do CPF irregular particularmente perigoso é a exibição de dados reais da vítima, nome completo e filiação aparecem na tela. Essas informações, provavelmente obtidas de vazamentos massivos de bases de dados brasileiras, conferem ao golpe uma credibilidade difícil de questionar no calor do momento.
A página então apresenta um falso relatório detalhando valores de dívida, juros e multas simuladas. Em uma das variantes documentadas, o valor cobrado é de R$ 124,60, com prazo inferior a 48 horas para quitação. Ao final, o usuário é direcionado ao pagamento via Pix, e o dinheiro vai diretamente para os criminosos.
Por Que o Período do IR Amplifica o Risco
O calendário fiscal de 2026 oferece aos golpistas uma janela de oportunidade excepcional. A Receita Federal abriu a declaração do Imposto de Renda em 23 de março, com encerramento previsto para 29 de maio. Nesse intervalo, milhões de brasileiros estão atentos a qualquer comunicação relacionada ao Fisco.
Os números dimensionam o alcance potencial da ameaça, em 2024, 45 milhões de contribuintes regularizaram suas obrigações com o Fisco. Para o ciclo 2025/2026, a expectativa é de 46,2 milhões de declarações enviadas. Esse universo é exatamente o que os criminosos exploram, pessoas que esperam comunicações da Receita Federal e estão predispostas a levá-las a sério.
Para líderes de TI e segurança em grandes organizações, o risco não se limita ao indivíduo. Colaboradores que acessam esses sites a partir de dispositivos corporativos ou redes da empresa podem expor credenciais, introduzir malware ou comprometer políticas internas de segurança da informação.
Engenharia Social Combinada com Dados Vazados: Uma Evolução Preocupante
O que diferencia esta campanha de ataques anteriores é a combinação estratégica de engenharia social com inteligência de dados. Usar o nome completo e a filiação da vítima não é acidente, é resultado de cruzamento de bases de dados obtidas em vazamentos anteriores, um recurso cada vez mais acessível no ecossistema criminoso.
Essa tática, conhecida como golpe do CPF irregular com spoofing de identidade institucional, eleva consideravelmente a taxa de sucesso do ataque. A clonagem visual de portais oficiais, aliada a domínios registrados com extensões incomuns para desviar filtros de segurança, evidencia uma operação profissionalizada e bem financiada.
Para os times de segurança corporativa, isso representa um sinal de alerta direto: as ferramentas tradicionais de detecção de phishing, baseadas em padrões de texto ou reputação de domínio, podem não ser suficientes quando o conteúdo da fraude é personalizado com dados reais e o visual é indistinguível do original.
O Que a Receita Federal e Especialistas Recomendam
A Receita Federal emitiu alertas oficiais reforçando que não envia cobranças por e-mail, SMS ou WhatsApp e que todas as pendências legítimas podem ser verificadas exclusivamente pelo portal gov.br. Qualquer comunicação fora desse canal deve ser tratada com desconfiança imediata.
Os pesquisadores da ESET recomendam verificar sempre o domínio do site antes de inserir qualquer dado pessoal. O endereço oficial da Receita Federal termina obrigatoriamente em .gov.br. Domínios com extensões alternativas, independentemente de quão legítima seja a aparência da página, devem ser descartados.
Do ponto de vista corporativo, as melhores práticas incluem: treinamento contínuo de conscientização em segurança para todos os colaboradores, implementação de autenticação multifator em sistemas críticos, monitoramento ativo de acessos a domínios suspeitos na rede corporativa, e políticas claras sobre como lidar com comunicações fiscais recebidas em dispositivos de trabalho.
A pressão sobre equipes de TI e CISOs é crescente. Campanhas como esta demonstram que o elo mais fraco da cadeia de segurança continua sendo o fator humano, e que os atacantes estão investindo para explorar exatamente essa vulnerabilidade com dados reais, visuais convincentes e urgência fabricada.
Identificar, reportar e bloquear o golpe do CPF irregular antes que ele alcance os usuários finais da organização deixou de ser uma recomendação e passou a ser uma responsabilidade estratégica de qualquer liderança de segurança digital no Brasil em 2026.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!