Uma campanha ativa de phishing que circula pelo WhatsApp tem como alvo as credenciais de acesso ao Gov.br. O esquema foi identificado pela INGENI, divisão de inteligência da consultoria brasileira Redbelt Security, e explora a proximidade do prazo de entrega da declaração do Imposto de Renda 2025/2026 para pressionar as vítimas.

A fraude se disfarça de comunicação oficial do Governo Federal, usando nome, foto de perfil e identidade visual copiados. A mensagem alerta sobre uma suposta “pendência grave” no IRPF e ameaça o bloqueio total do CPF em até 24 horas — além de citar restrições ao uso do Pix, acesso a contas bancárias e inclusão em cadastros como Serasa, SPC e BACEN.

Como o golpe funciona?

Ao clicar no link enviado pela mensagem, a vítima é redirecionada a um site falso — como o domínio declare-brasil.site/gov/ — que imita visualmente os portais oficiais do governo. A página replica um formulário de login e solicita as credenciais do Gov.br. Em seguida, exibe uma simulação falsa de guia de pagamento de imposto.

Com os dados em mãos, os criminosos conseguem acesso a uma série de serviços federais vinculados à conta: declarações de IR, informações do INSS, carteira de trabalho digital e dados previdenciários, entre outros.

Como identificar a fraude?

A Redbelt Security aponta sinais claros que denunciam o golpe. O principal é o endereço do site: domínios legítimos do governo utilizam exclusivamente o sufixo gov.br, como receita.fazenda.gov.br. Qualquer variação fora desse padrão é suspeita.

Outro indicativo é o próprio canal de contato: a Receita Federal não utiliza o WhatsApp para cobrar ou comunicar pendências de IR. A linguagem da mensagem também destoa de comunicações oficiais — com emojis, letras em caixa alta e tom de urgência exagerado.

Além disso, a informação de que o CPF seria “bloqueado totalmente” é tecnicamente falsa e serve apenas para provocar pânico e impedir uma análise racional da situação.

Leia mais:

• Golpe do CPF cancelado no WhatsApp: saiba como se proteger
• Faz Pix pelo WhatsApp? 3 configurações obrigatórias para blindar seu celular de golpes
• Conheça 4 funções do WhatsApp que te protegem contra golpes no app

O que fazer se você recebeu a mensagem?

A INGENI orienta que, ao receber mensagens desse tipo, o usuário nunca clique nos links e sempre acesse os portais do governo digitando o endereço diretamente no navegador. Ativar a verificação em duas etapas na conta Gov.br é uma camada extra de proteção recomendada.

Quem já inseriu as credenciais deve alterar a senha imediatamente no portal oficial www.gov.br e contatar a Central de Atendimento do Governo pelo número 138. Também é recomendado registrar um boletim de ocorrência na delegacia virtual do estado e denunciar a conta suspeita diretamente pelo WhatsApp.

A divisão INGENI alerta que esse tipo de campanha tende a se intensificar durante o período de declaração do IR, quando o aumento das interações com temas fiscais amplia a exposição da população a fraudes digitais.

O post Golpe no WhatsApp mira credenciais do Gov.br na temporada do IR apareceu primeiro em Olhar Digital.

Resumo

• Relatório de serviços de inteligência da Holanda detalha campanha de espionagem digital, que foca em usuários do WhatsApp e Signal.

• Segundo o documento, operação usa engenharia social para invadir contas nos mensageiros e mira autoridades, militares e jornalistas.

• Os investigadores atribuem a campanha a agentes ligados ao governo russo.

Autoridades de inteligência da Holanda divulgaram nessa segunda-feira (09/03) detalhes de uma campanha global de ataques digitais contra usuários do WhatsApp e do Signal, mensageiro popular no país. Segundo o relatório, a operação teria como foco autoridades governamentais, integrantes das forças armadas e jornalistas.

A investigação foi conduzida pelo Serviço de Inteligência e Segurança da Defesa da Holanda (MIVD) e o Serviço Geral de Inteligência e Segurança (AIVD). As agências afirmam que os ataques fazem parte de uma campanha de grande escala atribuída a agentes ligados ao governo russo.

De acordo com o documento, os invasores não dependem principalmente de malware para comprometer contas. Em vez disso, utilizam técnicas de engenharia social e phishing para enganar as vítimas e obter acesso às contas nos aplicativos de mensagens.

Hackers se passam por equipe de suporte

No caso do Signal, os hackers entram em contato diretamente com a vítima alegando atividades suspeitas, vazamento de dados ou tentativa de acesso indevido à conta.

Se a pessoa acredita na mensagem, os criminosos solicitam o código de verificação enviado por SMS e o PIN do usuário. Esses dados permitem registrar um novo dispositivo vinculado à conta da vítima e assumir o controle do perfil.

Depois disso, os hackers podem se passar pelo usuário e acessar contatos armazenados no aplicativo. A vítima geralmente é desconectada da conta, mas consegue recuperar o acesso registrando novamente o número.

O relatório dos serviços de inteligência alerta que essa situação pode gerar uma falsa sensação de normalidade. “Como o Signal armazena o histórico de bate-papo localmente no telefone, a vítima pode recuperar o acesso a esse histórico após o novo registro. Como resultado, a vítima pode presumir que nada está errado. Os serviços holandeses querem enfatizar que essa suposição pode estar incorreta”, diz o documento.

O que muda no caso do WhatsApp?

Os investigadores também apontaram ataques direcionados ao recurso “dispositivos conectados” do WhatsApp, que permite acessar a conta em computadores ou tablets.

Nesse cenário, as vítimas são induzidas a clicar em links maliciosos ou escanear QR Codes que, na prática, conectam o dispositivo do invasor à conta. Em vez de adicionar alguém a um grupo ou abrir um conteúdo legítimo, o processo acaba autorizando o acesso remoto ao aplicativo.

Diferentemente do que ocorre em alguns casos no Signal, o usuário pode não perceber imediatamente a invasão, já que a conta continua ativa no celular original.

Ao TechCrunch, o porta-voz da Meta Zade Alsawah afirma que a recomendação do WhatsApp é que usuários nunca compartilhem o código de verificação de seis dígitos e fiquem atentos a mensagens suspeitas.

As agências holandesas afirmam que métodos semelhantes já foram observados em campanhas ligadas à guerra na Ucrânia, indicando que o uso de engenharia social continua sendo uma das principais ferramentas em operações de espionagem digital.

Hackers miram contas de WhatsApp e Signal em ataque global

Resumo

• Hackers ligados à Rússia exploraram uma falha Office poucas horas após a correção da Microsoft.
• O ataque comprometeu órgãos diplomáticos, marítimos e de defesa em nove países.
• Segundo a empresa de segurança Trellix, a campanha durou 72 horas e utilizou 29 iscas diferentes, principalmente na Europa Oriental.

Pesquisadores de segurança identificaram uma campanha de espionagem cibernética que teria sido conduzida por hackers ligados ao governo da Rússia. A ofensiva explorou rapidamente uma falha crítica no Microsoft Office e começou menos de 48 horas após a Microsoft liberar uma atualização emergencial para corrigir o problema.

O ataque permitiu o comprometimento de dispositivos usados por organizações diplomáticas, marítimas e de defesa em mais de meia dúzia de países. Segundo a Trellix, empresa de cibersegurança, a velocidade da exploração reduziu drasticamente o tempo disponível para que equipes de TI aplicassem os patches e protegessem sistemas sensíveis.

Falha corrigida virou arma em menos de dois dias

A vulnerabilidade, catalogada como CVE-2026-21509, foi explorada pelo grupo rastreado sob nomes como APT28, Fancy Bear, Sednit, Forest Blizzard e Sofacy. Após analisar a correção liberada pela Microsoft, os invasores conseguiram desenvolver um exploit avançado capaz de instalar dois backdoors inéditos.

De acordo com a Trellix, toda a operação foi planejada para evitar detecção por soluções tradicionais de proteção de endpoints. Os códigos maliciosos eram criptografados, executados apenas na memória e não deixavam artefatos relevantes em disco. Além disso, os primeiros contatos com as vítimas partiram de contas governamentais previamente comprometidas, o que aumentou a taxa de sucesso das mensagens de phishing.

“O uso da CVE-2026-21509 demonstra a rapidez com que agentes alinhados a estados podem explorar novas vulnerabilidades, reduzindo a janela de tempo para que os defensores corrijam sistemas críticos”, escrevem os pesquisadores.

Segundo eles, “a cadeia de infecção modular da campanha — do phishing inicial ao backdoor em memória e aos implantes secundários — foi cuidadosamente projetada para explorar canais confiáveis e técnicas sem arquivos, para se esconder à vista de todos”.

A campanha de spear phishing durou cerca de 72 horas, começou em 28 de janeiro e utilizou ao menos 29 iscas diferentes, enviadas a organizações em nove países, principalmente da Europa Oriental. Oito deles foram divulgados: Polônia, Eslovênia, Turquia, Grécia, Emirados Árabes Unidos, Ucrânia, Romênia e Bolívia.

Como funcionavam os malwares instalados?

O ataque resultou na instalação dos backdoors BeardShell e NotDoor. O BeardShell permitia reconhecimento completo do sistema, persistência por meio da injeção de código em processos do Windows e movimentação lateral dentro das redes comprometidas.

Já o NotDoor operava como uma macro VBA — um tipo de script de automação de tarefas comum, mas que foi usado aqui como um comando malicioso oculto –, instalada após o desarme das proteções de macro do Outlook.

Uma vez ativo, o NotDoor monitorava pastas de e-mail e feeds RSS, reunindo mensagens em arquivos .msg enviados para contas controladas pelos invasores em serviços de nuvem. Para driblar controles de segurança, o malware alterava propriedades internas dos e-mails e apagava vestígios do encaminhamento automático.

A Trellix atribuiu a campanha ao grupo APT28 com “alta confiança”, avaliação reforçada pela Equipe de Resposta a Emergências Cibernéticas da Ucrânia (CERT-UA), que classifica o mesmo como UAC-0001. “A APT28 tem um longo histórico de espionagem cibernética e operações de influência”, afirmou a empresa.

Hackers russos usam falha crítica do Office para espionar usuários

Resumo

• Criminosos criam sites falsos que imitam o Detran e prometem descontos no IPVA em cinco estados brasileiros.
• Golpistas usam tráfego pago para destacar links fraudulentos em buscas por “pagamento IPVA” ou “desconto IPVA”.
• Fraude é detectada por domínios falsos e pagamentos via Pix para contas de laranjas.

Uma campanha de fraude digital está utilizando páginas que copiam fielmente os portais oficiais do governo para roubar o pagamento do IPVA (Imposto sobre a Propriedade de Veículos Automotores).

O golpe tem como alvo motoristas de cinco estados: Rio de Janeiro, Minas Gerais, Rio Grande do Sul, Mato Grosso do Sul e Santa Catarina. Os criminosos tentam atrair as vítimas por meio de anúncios patrocinados em sites de busca, prometendo descontos que não existem na tabela oficial.

Um levantamento da empresa de cibersegurança Kaspersky identificou ao menos 13 sites fraudulentos neste mês. Os criminosos estariam investindo no chamado tráfego pago para que os links apareçam no topo dos resultados do Google quando o usuário pesquisa por termos como “pagamento IPVA” ou “desconto IPVA”.

Site falso exibe dados do veículo

O esquema de phishing é bem feito do ponto de vista técnico, segundo a empresa. Ao acessar o endereço malicioso, o usuário deve inserir o número do Renavam ou a placa do veículo, e o sistema dos golpistas retorna as características reais do automóvel, como modelo, ano de fabricação e cor. Os dados, segundo a apuração, são cruzados com bancos de dados vazados ou públicos.

Essa validação de dados serve para dar credibilidade à fraude. Convencido de que está no ambiente do Detran ou da Secretaria da Fazenda (Sefaz), o motorista é direcionado para uma tela de pagamento que oferece um “abatimento especial” no valor do imposto.

A única forma de quitar a dívida nessas páginas é via Pix, geralmente por meio de um QR Code. De acordo com a Kaspersky, esse tipo de transferência instantânea permite que o dinheiro caia em contas de laranjas em bancos digitais e seja rapidamente pulverizado, tornando o rastreamento e o estorno extremamente difíceis para as autoridades e instituições financeiras.

Como identificar a fraude?

Os especialistas apontam que a principal vulnerabilidade explorada é a desatenção com o endereço do site. Os domínios falsos costumam misturar termos oficiais com palavras genéricas, como “pagamento-ipva-detran-rj.com” em vez do oficial “.rj.gov.br”.

Para evitar prejuízos, recomenda-se sempre:

• Certificar-se de que o site termina em gov.br e desconfiar de qualquer site com terminações comerciais (.com, .net) para serviços públicos.
• Verificar quem receberá o dinheiro. O pagamento de tributos estaduais sempre tem como destinatário o Governo do Estado ou a Secretaria da Fazenda, nunca uma pessoa física ou empresa desconhecida (LTDA).
• Não clicar em links recebidos por SMS ou e-mail. Digite o endereço do órgão oficial diretamente no navegador.

Vale lembrar que a inação de empresas como Meta e Google em relação aos golpes financeiros está na mira de alguns países. Na União Europeia, por exemplo, redes sociais passarão a responder por fraudes caso não tomem providências contra um golpe já denunciado.

Novo golpe do IPVA: sites falsos imitam o Detran com fidelidade e prometem descontos

Resumo

• Google processou um grupo que pode ter criado 200 mil páginas de phishing em 20 dias, além de vender kits prontos para golpes.
• O processo acusa o grupo de violação de marca e crime organizado, usando páginas falsas de instituições como os Correios dos EUA e o próprio Google.
• A big tech quer que o tribunal declare o esquema ilegal para remover o grupo de outras plataformas.

O Google entrou com uma ação judicial contra um grupo acusado de oferecer kits de phishing como serviço — um modelo que facilitava a criação de sites falsos para aplicar golpes virtuais.

A empresa alega que os réus, identificados apenas como integrantes de uma organização chamada Lighthouse, desenvolveram uma estrutura voltada a ajudar criminosos digitais a executar campanhas em larga escala, vendendo “kits prontos” para os golpes.

Segundo o processo, a rede vendia licenças mensais e modelos de páginas que imitavam sites de instituições financeiras, órgãos públicos e empresas conhecidas, como o serviço postal dos Estados Unidos (USPS). Em apenas 20 dias, o grupo teria criado cerca de 200 mil páginas fraudulentas, atraindo mais de um milhão de vítimas em potencial.

Como funcionava o esquema?

De acordo com a denúncia, os golpistas utilizavam as ferramentas do Lighthouse para enviar mensagens de texto falsas informando supostos problemas em entregas ou cobranças.

Os links levavam a páginas idênticas às de empresas legítimas, pedindo que o usuário inserisse dados pessoais e bancários. Mesmo quem desistia antes de enviar as informações tinha seus dados capturados, pois o sistema registrava as teclas digitadas.

Além de imitar o USPS, o grupo também teria reproduzido sites de pedágios eletrônicos e bancos, incluindo páginas com o logotipo do próprio Google. A empresa afirma que essa prática configura violação de marca registrada e fraude, além de prejudicar a confiança dos usuários em seus serviços.

O que o Google quer com a ação?

Na Justiça, o Google acusa o grupo de violar a Lei de Organizações Corruptas e Influenciadas pelo Crime Organizado (RICO Act) dos Estados Unidos, além de praticar fraude e uso indevido de marca. A companhia espera que o tribunal declare o esquema ilegal, o que permitiria a remoção da Lighthouse de outras plataformas e ajudaria autoridades a identificar os envolvidos, que estariam na China.

Ao The Verge, a conselheira-geral do Google, Halimah DeLaine Prado, disse que “cabe às empresas fazer o que puderem, onde puderem”, e que é “útil usarmos nossos recursos para ajudar a combater o crime cibernético que afeta nossos usuários”.

O Google também defende projetos de lei federais que fortalecem o combate a golpes digitais. No ano passado, a empresa melhorou a proteção em tempo real contra phishing no navegador Chrome.

Google vai à Justiça contra grupo que vendia “phishing como serviço”