O pagamento da cota única do IPVA, com 15% de desconto, e a primeira cota do IPVA 2024 pode virar uma grande dor de cabeça. Isso porque, golpistas estão clonando o site oficial de pagamento da taxa e enganando os proprietários de veículos por meio de links falsos no Google.
A Secretaria Estadual da Fazenda (Sefaz) emitiu um alerta aos contribuintes sobre falsos links que direcionam para pagamentos de tributos. Além disso, o órgão informou não entra em contato por meio de aplicativos de mensagens para cobrança de impostos com números de PIX.
A Superintendente da Receita, Graça Ramos, faz o alerta, explicando que é importante o contribuinte duvidar de links suspeitos que apareçam na busca dos sites de pesquisa, a exemplo do Google, onde aparecem mensagens solicitando o pagamento.
“A melhor alternativa é entrar diretamente no site da Sefaz e não fazer essa busca de pagamento via Google porque ele pode direcionar para um endereço fraudulento, eventualmente, caso receba a cobrança”, enfatizou Graça Ramos.
A emissão do DAR (Documento de Arrecadação) é feita por meio da página da SEFAZ-PI (https://webas.sefaz.pi.gov.br/darweb/ ), DETRAN-PI (http://taxas.detran.pi.gov.br/licenciamento/index.jsf ) e GOV.PI.CIDADAO ( www.pidigital.pi.gov.br ).
COMO FUNCIONA A FRAUDE
Este blog foi atrás e encontrou um desses links que tentam fraudar o pagamento da taxa. O objetivo é entender como funciona o golpe e alertar as pessoas para que não tenham prejuízo com o pagamento incorreto do IPVA.
Este tipo de golpe chama-se phishing (pescaria). Ele é aplicado, no caso, por meio de uma site clonado com as mesmas características do site real, usando um domínio e um layout bem parecidos com o original. A intenção é de enganar pessoas desatentas com as análises padrão de um site oficial.
Na nossa análise, pegamos o link falso e fizemos o acesso de teste, usando todas as precauções necessárias.
Indicamos que vc não acesse por curiosidade.
Veja que as diferenças são sutis:
Certificado SSL
– Os dois sites usam certficados SSL. O que hoje não significa ser falso ou verdadeiro, apenas que a mensagem chega criptografada.
Endereço do site
– O site real usa o subdomínio (webas) antes do domínio real, o que indica que é de uma fonte legítima de sefaz.pi.gov.br
– O site falso usa um subdomínio com o nome detranpi para parecer verdadeiro, mas ele está sob o domínio licenciamento.one.
Esta observação é muito importante para desconfiar
Cores
Cores idênticas
Fontes:
Fontes parecidas mas apresentação dos campos de formulário é diferente. Isso passa desapercebido pelo usuário.
Captcha
O site real tem um recurso de barreira que pode dificultar o acesso. O site fake libera essa ação para facilitar o acesso.
Digitamos uma placa avulsa e números aleatórios do Renavam para obsrevar se teríamos acesso. Não houve problema. Isso implica dizer que um script gera dados e valores aleatórios.
Não há consulta em banco de dados. Qualquer número digitado consegue passar para esta tela.
Observe que os valores são baixos, para animar o usuário e empolgá-lo psicologicamente a pagar a taxa. Nessa hora da emoção de um super desconto, para muitos o cérebro tende a não raciocinar sobre a possibilidade de golpe
Escolhemos o ano, clicamos no botão de gerar o boleto e imediatamente veio um QRcode para pagamento via PIX. Até agora não sabemos onde vai cair.
O beneficiado na aplicação não é a SEFAZ. Pagamento vai para uma empresa de CNPJ recentemente criada. Aqui é um momento crucial para perceber que é golpe. Há quem pague, por isso é importante divulgar este tipo de informação.
VEJA COMO SE DEFENDER DOS GOLPES DE PHISHING
– Verifique o domínio estranho, tipo .one e outros. Geralmente são .com.br e gov.
– Veja se tem erros de português grosseiros
– Analise se layout é desajustado ou tosco
– Observe se há redirecionamento de página
– Verifique se o beneficiado ser pessoa física ou a empresa mesmo
– Desconfie de Janelas pop up em pagamento
– Veja se há proteção para o usuário tipo um captcha.
Mais Dicas
– Na dúvida, ligue para empresa e confirme o endereço do site
– Se o site for realmente falso, denuncie à polícia.
– Use antivírus em seu computador onde executa pagamentos online
– Não acesse contas de banco e outros app em wi-fi público
– Verifique nas cobranças que chegam por email quem é o remetente, se realmente é da empresa.
Fonte: Cidade Verde.Com