O pagamento da cota única do IPVA, com 15% de desconto, e a primeira cota do IPVA 2024 pode virar uma grande dor de cabeça. Isso porque, golpistas estão clonando o site oficial de pagamento da taxa e enganando os proprietários de veículos por meio de links falsos no Google.
A Secretaria Estadual da Fazenda (Sefaz) emitiu um alerta aos contribuintes sobre falsos links que direcionam para pagamentos de tributos. Além disso, o órgão informou não entra em contato por meio de aplicativos de mensagens para cobrança de impostos com números de PIX.
A Superintendente da Receita, Graça Ramos, faz o alerta, explicando que é importante o contribuinte duvidar de links suspeitos que apareçam na busca dos sites de pesquisa, a exemplo do Google, onde aparecem mensagens solicitando o pagamento.
"A melhor alternativa é entrar diretamente no site da Sefaz e não fazer essa busca de pagamento via Google porque ele pode direcionar para um endereço fraudulento, eventualmente, caso receba a cobrança", enfatizou Graça Ramos.
A emissão do DAR (Documento de Arrecadação) é feita por meio da página da SEFAZ-PI (https://webas.sefaz.pi.gov.br/darweb/ ), DETRAN-PI (http://taxas.detran.pi.gov.br/licenciamento/index.jsf ) e GOV.PI.CIDADAO ( www.pidigital.pi.gov.br ).
COMO FUNCIONA A FRAUDE
Este blog foi atrás e encontrou um desses links que tentam fraudar o pagamento da taxa. O objetivo é entender como funciona o golpe e alertar as pessoas para que não tenham prejuízo com o pagamento incorreto do IPVA.
Este tipo de golpe chama-se phishing (pescaria). Ele é aplicado, no caso, por meio de uma site clonado com as mesmas características do site real, usando um domínio e um layout bem parecidos com o original. A intenção é de enganar pessoas desatentas com as análises padrão de um site oficial.
Na nossa análise, pegamos o link falso e fizemos o acesso de teste, usando todas as precauções necessárias.
Indicamos que vc não acesse por curiosidade.
"Site fake: https://detranpi.licenciamento.one/"
Veja que as diferenças são sutis:
Certificado SSL
- Os dois sites usam certficados SSL. O que hoje não significa ser falso ou verdadeiro, apenas que a mensagem chega criptografada.
Endereço do site
- O site real usa o subdomínio (webas) antes do domínio real, o que indica que é de uma fonte legítima de sefaz.pi.gov.br
- O site falso usa um subdomínio com o nome detranpi para parecer verdadeiro, mas ele está sob o domínio licenciamento.one.
Esta observação é muito importante para desconfiar
Cores
Cores idênticas
Fontes:
Fontes parecidas mas apresentação dos campos de formulário é diferente. Isso passa desapercebido pelo usuário.
Captcha
O site real tem um recurso de barreira que pode dificultar o acesso. O site fake libera essa ação para facilitar o acesso.
TESTE REAL
Digitamos uma placa avulsa e números aleatórios do Renavam para obsrevar se teríamos acesso. Não houve problema. Isso implica dizer que um script gera dados e valores aleatórios.
Não há consulta em banco de dados. Qualquer número digitado consegue passar para esta tela.
Observe que os valores são baixos, para animar o usuário e empolgá-lo psicologicamente a pagar a taxa. Nessa hora da emoção de um super desconto, para muitos o cérebro tende a não raciocinar sobre a possibilidade de golpe
TELA PARA GERAR PAGAMENTO
Escolhemos o ano, clicamos no botão de gerar o boleto e imediatamente veio um QRcode para pagamento via PIX. Até agora não sabemos onde vai cair.
BENEFICIADO - FIQUE ATENTO
O beneficiado na aplicação não é a SEFAZ. Pagamento vai para uma empresa de CNPJ recentemente criada. Aqui é um momento crucial para perceber que é golpe. Há quem pague, por isso é importante divulgar este tipo de informação.
VEJA COMO SE DEFENDER DOS GOLPES DE PHISHING
- Verifique o domínio estranho, tipo .one e outros. Geralmente são .com.br e gov.
- Veja se tem erros de português grosseiros
- Analise se layout é desajustado ou tosco
- Observe se há redirecionamento de página
- Verifique se o beneficiado ser pessoa física ou a empresa mesmo
- Desconfie de Janelas pop up em pagamento
- Veja se há proteção para o usuário tipo um captcha.
Mais Dicas
- Na dúvida, ligue para empresa e confirme o endereço do site
- Se o site for realmente falso, denuncie à polícia.
- Use antivírus em seu computador onde executa pagamentos online
- Não acesse contas de banco e outros app em wi-fi público
- Verifique nas cobranças que chegam por email quem é o remetente, se realmente é da empresa.