SÃO PAULO, SP - O contribuinte está apreensivo com a proximidade do fim do prazo para envio do Imposto de Renda 2024 e, de repente, chega um email informando que ele precisa baixar um programa para enviar os dados à Receita Federal e evitar ser multado ou até preso.
Essa é uma das iscas que golpistas podem usar para aproveitar a reta final da entrega do IR e instalar programas maliciosos para roubar senhas, dados pessoais ou usar o dispositivo para realizar invasões a outros locais.
O uso de emails, mensagens de SMS ou no WhatsApp e até ligações telefônicas são armas que os criminosos utilizam para alcançar os seus objetivos.
O prazo de envio acaba nesta sexta-feira (31/5), às 23h59, e quem atrasar terá de pagar uma multa mínima de R$ 165,74, que pode chegar a 20% do imposto devido.
Um dos métodos mais conhecidos para o golpe é um email com um logotipo parecido da Receita Federal, informando que a pessoa precisa clicar em um determinado link ou instalar um programa anexo para resolver uma pendência com o fisco.
O golpe da malha fina foi um dos alertas enviados pelo órgão desde 15 de março, quando começou o prazo de entrega do IR.
No email, os golpistas costumam recorrer a títulos com as frases "urgente", "corrija agora" ou "malha fina" para despertar a atenção da vítima. Em seguida, o email solicita que a pessoa clique em um link, instale algum programa ou baixe um documento para a suposta correção do problema.
Na tentativa de dar maior veracidade, os criminosos usam o logotipo da Receita Federal, a sigla IRPF (alusivo à Imposto de Renda da Pessoa Física), chamam o destinatário de "contribuinte", que é o termo comumente usado pela instituição em suas comunicações, e citam a legislação federal e o Código Civil para enganar quem recebe o email.
"Eles usam métodos simples como um email falso e para que a pessoa acredite, não precisa ser tudo verdadeiro. Basta você acreditar em uma parte. Por isso, usam o logotipo, citam alguma lei, algum termo específico para que a pessoa possa cair. É o phishing, um dos métodos mais aplicados pelos golpistas", afirma Paulo Trindade, gerente de inteligência de ameaças cibernéticas da ISH Tecnologia.
- Correios adotam sigilo para esconder prejuízo milionário
- Senado adia votação sobre taxa para compras internacionais de até US$ 50
A partir do "phishing" (técnica para "pescar" o contribuinte), o golpista pode instalar um malware (software malicioso projetado para danificar sistemas, roubar dados e causar lentidão no computador ou celular) ou até "sequestrar" o dispositivo e só liberar o uso após o pagamento de resgate, que é chamado de ransomware.
Após o ataque, o usuário pode estar exposto a qualquer tipo de situação como lentidão, uso da máquina para responder a comandos do invasor, utilização dos dados pessoais para criar contas digitais falsas para pedir empréstimos ou até invasão da conta bancária e retirada de toda a quantia.
"Se a pessoa cai no phishing, ela pode permitir qualquer um desses ataques, vai depender da finalidade que o agente malicioso queira fazer", afirma Trindade.
A Receita informa que não envia comunicações por email e avisos por aplicativos de mensagens (como WhatsApp ou Telegram) ou SMS pelo celular para solicitar a correção de erros em declarações. O órgão também não manda links ou pede a instalação de programas.
"Nunca é pedida alguma informação como CPF, senha, conta bancária. As comunicações oficiais da Receita Federal orientam o contribuinte a entrar na página oficial da instituição, se autenticar e consultar suas pendências", diz o fisco.
De acordo com o órgão, a comunicação normalmente é feita por meio de carta e, por isso, solicita ao contribuinte que atualize o endereço.
Aplicativo falso
Outra tática usada pelos criminosos nesta campanha do IR 2024 foi simular que era a loja de aplicativo oficial, chamado de Meu Imposto de Renda. Os golpistas utilizam as mesmas lojas de aplicativos da Receita (PlayStore e App Store) e com logotipos parecidos com o da instituição.
Porém, é preciso que o usuário fique atento com o desenvolvedor antes de baixar o programa. O desenvolvedor do app Meu Imposto de Renda e do aplicativo da Receita se chama Serviços e Informações do Brasil, que é o responsável pelas plataformas do governo federal.
Os aplicativos oficiais podem ser baixados na PlayStore (para Android), e na App Store (para iOS). É preciso também ter a conta ouro ou prata no portal Gov.br para preencher a declaração usando o app.
Já a declaração online pode ser feita por meio do portal e-CAC (Centro de Atendimento Virtual), clicando neste link (https://mir.receita.fazenda.gov.br/portalmir/pagina-inicial).
Como se proteger?
Trindade afirma que o usuário deve se prevenir com a atualização constante de um programa antivírus e do sistema operacional do dispositivo (seja computador, tablet ou celular) e evitar compartilhar o aparelho que será usado para a declaração do Imposto de Renda com crianças.
"Quando você tem um dispositivo usado por crianças, eles costumam instalar tudo. Isso não é o ideal. A criança está em um jogo, pode instalar um aplicativo que tem um malware, que pode controlar aquele dispositivo e elas não sabem. O recomendado é não compartilhar o dispositivo que você usa para declarar o Imposto de Renda, fazer operações bancárias e acessar outros dados sigilosos", afirma Trindade.
Outra dica é evitar usar os sites de busca para baixar programas ou acessar informações, pois os golpistas criam sites maliciosos parecidos com os oficiais, inclusive com o endereço da URL parecido. A recomendação é que o usuário sempre digite a URL no navegador e evite clicar nos disponibilizados em mecanismos de busca.
- Congresso aprova crédito extra de R$ 4,7 bilhões para governo e ministérios
- Receita de MG sobe R$ 5 bilhões, mas servidores seguem sem aumento real
"Evite também usar dispositivo de amigos para esse fim [declaração do IR], pois você não sabe se esse dispositivo está contaminado sem que o dono saiba", diz.
"Outra recomendação é evitar o uso de redes wifi em locais públicos e de grande circulação de pessoas, como shoppings. Os agentes maliciosos podem simular um wifi e ter acesso à sua comunicação e seus dados. A dica é desconfiar sempre", resume o especialista em cibersegurança.