Privacy, informacje o zagrożeniach

Twoje formularze podatkowe są sprzedawane w dark webie za 20 dolarów

autor: Malwarebytes Labs | 19 marca 2026 r.
Oszustwa podatkowe w dark webie

Okres rozliczeń podatkowych to również szczytowy okres kradzieży tożsamości. Przestępcy wykorzystują skradzione dane osobowe do składania fałszywych zeznań podatkowych i ubiegania się o zwrot podatku, zanim zrobi to prawdziwy podatnik. Oto, na czym polega to oszustwo i jak się przed nim chronić.

Czym jest oszustwo Identity w związku z kradzieżą Identity (SIRF)?

Oszustwo związane z kradzieżą Identity (SIRF) to rodzaj oszustwa podatkowego, w ramach którego przestępcy kradną dane osobowe innej osoby – takie jak numer ubezpieczenia społecznego i data urodzenia – i wykorzystują je do złożenia fałszywego zeznania podatkowego w imieniu tej osoby w celu uzyskania zwrotu podatku.

Oszuści zazwyczaj składają fałszywe zeznania podatkowe na początku sezonu podatkowego, zanim prawdziwy podatnik złoży swoje, dzięki czemu zwrot podatku trafia do nich zamiast do osoby uprawnionej.

Pieniądze są często przekazywane na konta bankowe, karty debetowe lub adresy kontrolowane przez przestępców. Ofiary zazwyczaj odkrywają oszustwo dopiero wtedy, gdy ich prawdziwe zeznanie podatkowe zostaje odrzucone lub gdy organ podatkowy, taki jak amerykański Urząd Skarbowy (IRS), informuje, że zwrot podatku został już wypłacony w ich imieniu.

Jak to w ogóle możliwe? 

Podczas gdy Amerykanie gorączkowo starają się dotrzymać corocznego terminu składania zeznań podatkowych, ukryty ekosystem w Dark Web na pełnych obrotach, zamieniając sezon podatkowy w lukratywny okres w roku dla międzynarodowych cyberprzestępców. Shahak Shalev, globalny szef działu badań nad oszustwami i sztuczną inteligencją w Malwarebytes, powiedział:

„Ludzie oczekują wiadomości dotyczących podatków, zwrotów i rozliczeń, co sprawia, że znacznie łatwiej jest uwierzyć w fałszywe e-maile phishingowe i fałszywe powiadomienia od IRS. Jednocześnie dane osobowe potrzebne do popełnienia oszustwa podatkowego są w dark webie zaskakująco tanie. Nic dziwnego, że oszuści traktują sezon podatkowy jako coroczną okazję”.

Za nagłym napływem fałszywych wniosków o zwrot podatku stoi doskonale zorganizowany łańcuch przestępczy, głęboko zakorzeniony w rosyjskojęzycznych forach podziemnych. Te wyspecjalizowane platformy odgrywają kluczową rolę w umożliwianiu oszustw podatkowych.  

Zamiast gromadzić dane od podstaw, oszuści mogą po prostu nabyć ogromne zbiory skradzionych danych osobowych (PII), zawierające gotowe do użycia formularze W-2 i 1040. W przypadku bardziej zaawansowanych operacji pośrednicy zapewniający dostęp wstępny (IAB) wystawiają na aukcje bezpośredni dostęp do sieci zhakowanych biur rachunkowych i księgowych.  

Oprócz samych danych i dostępu do nich ta podziemna gospodarka oferuje pełen zestaw narzędzi typu „fraud-as-a-service” — w tym usługi na żądanie w zakresie fałszowania dokumentów finansowych oraz specjalne centra szkoleniowe z instrukcjami krok po kroku. 

  • Osoba odpowiedzialna za ataki, poszukująca wspólników do oszustw związanych ze zwrotem podatku w USA (w oparciu o dane z oprogramowania księgowego)
  • Sprawca ataku sprzedaje dostęp do baz danych oprogramowania księgowego należących do firmy zajmującej się księgowością
  • Osoba stojąca za atakiem, poszukująca wspólników do oszustwa związanego ze zwrotem podatku w Stanach Zjednoczonych

Czarny rynek danych osobowych 

W samym centrum tego nielegalnego handlu znajduje się jedno z czołowych rosyjskojęzycznych forów podziemnych, które stanowi główny rynek, na którym oszuści kupują i sprzedają dane osobowe związane z podatkami. Komercjalizacja tych danych przebiega z oszałamiającą skutecznością, a platforma działa podobnie jak tradycyjny serwis e-commerce.  

Nasz zespół badawczy zebrał kilka interesujących przykładów tej działalności handlowej, które wskazują na wyraźną strukturę cenową uzależnioną od aktualności danych i grupy docelowej. W jednej z niedawno zaobserwowanych ofert cyberprzestępca wystawił na sprzedaż pakiet 100 kompletnych formularzy podatkowych za 2000 dolarów – co oznacza, że cena w pełni udokumentowanej skradzionej tożsamości wyniosła zaledwie 20 dolarów.  

  • Osoba stanowiąca zagrożenie, która oferuje na sprzedaż amerykańskie formularze podatkowe i formularze W-2
  • Osoba stanowiąca zagrożenie, która oferuje na sprzedaż formularze 1040, dane osobowe oraz dane bankowe po obniżonych cenach 

Z drugiej strony starsze zbiory danych z roku podatkowego 2024 są sprzedawane ze znacznymi rabatami w celu wyprzedaży zapasów; wysoce wrażliwe dane dotyczące konkretnie zamożnych emerytów i rencistów z tego okresu są obecnie sprzedawane za mniej niż 4 dolary za jeden rekord. 

Dostęp do sprzedaży 

Ta oszałamiająca ilość danych podatkowych musi skądś pochodzić, a cyberprzestępcy znaleźli prawdziwą żyłę złota: amerykańskie firmy zajmujące się rozliczeniami podatkowymi i księgowością.  

Z punktu widzenia cyberprzestępcy znacznie skuteczniejsze jest włamanie się do wyspecjalizowanej firmy, która pełni rolę scentralizowanego magazynu tych poufnych danych, niż prowadzenie szeroko zakrojonej akcji mającej na celu nakłonienie poszczególnych obywateli do ujawnienia swoich danych osobowych. 

Sprawdź, czy Twoje dane osobowe zostały ujawnione.

Nasz zespół badawczy niedawno natrafił na doskonały przykład zastosowania tej strategii, odkrywając Dark Web dotyczące nielegalnego dostępu do sieci amerykańskiej firmy świadczącej usługi podatkowe. Ofiarą padła mała firma – typowy cel przestępców poszukujących łatwego dostępu do informacji, które można wykorzystać.

Wykorzystując te słabe punkty systemu, cyberprzestępca zdołał po cichu przeniknąć do wewnętrznej infrastruktury firmy i obecnie wystawia na aukcję bezpośredni dostęp do bazy danych zawierającej kompletne, wysoce poufne dane osobowe ponad 1600 klientów. 

Osoba odpowiedzialna za cyberatak wystawia na aukcję dostęp do bazy danych zawierającej dane osobowe ponad 1600 klientów
Osoba odpowiedzialna za cyberatak wystawia na aukcję dostęp do bazy danych zawierającej dane osobowe ponad 1600 klientów

Dodatkowe dane na sprzedaż 

Nawet gdy cyberprzestępcy napotykają przeszkody w trakcie przeprowadzania oszustwa – takie jak brakujący element danych osobowych lub bardzo szczegółowy dokument finansowy wymagany do weryfikacji – podziemna społeczność cyberprzestępcza oferuje kompleksowy zestaw usług na żądanie, które pozwalają płynnie rozwiązać te problemy.  

Nasz zespół badawczy prześledził działalność specjalistycznego czarnego rynku znanego pod nazwą „Cypher – Fullz and Docs”, który specjalizuje się w sprzedaży kompletnych, gotowych do użycia zestawów skradzionych danych tożsamości obywateli USA (w środowisku podziemnym powszechnie nazywanych „fullz”) już za 0,75 dolara za zestaw.  

  • Reklamowanie skradzionych danych w dark webie
  • Kolejna reklama „fullz” – kompletnych danych osobowych

Jednak samo posiadanie podstawowych danych nie zawsze wystarcza, aby ominąć wymagane kontrole.

Gdy do uzasadnienia fałszywego roszczenia potrzebne są dodatkowe dokumenty, cyberprzestępcy po prostu korzystają z usług wyspecjalizowanych firm zajmujących się fałszowaniem dokumentów, takich jak „Fakelab”. Za symboliczną opłatą wynoszącą od 20 do 40 dolarów Fakelab działa jako nielegalne studio projektowania cyfrowego, skrupulatnie fałszując wszelkie dokumenty podatkowe, których może potrzebować atakujący – od spersonalizowanych formularzy W-2 po realistyczne wyciągi bankowe – zapewniając, że oszustwo przebiegnie bez zakłóceń. 

  • Ogłoszenie dotyczące dokumentów, w tym formularzy medycznych i podatkowych
  • Cennik usług związanych z danymi

Poradniki i wskazówki 

Zwieńczeniem cyklu oszustwa podatkowego – i często najbardziej ryzykownym etapem dla sprawcy – jest wypłata środków. Aby pomyślnie sfinalizować oszustwo i wyciągnąć skradzione środki, oszuści potrzebują solidnej infrastruktury finansowej, zazwyczaj opierającej się na przejętych rachunkach bankowych służących jako „skrzynki odbiorcze” oraz dodatkowych narzędziach finansowych przeznaczonych do prania pieniędzy i zacierania śladów.  

Nie jest zaskoczeniem, że Dark Web zapewnia nie tylko narzędzia, ale także szczegółowe wskazówki niezbędne do przeprowadzenia tego kluczowego etapu. Nasz zespół badawczy zidentyfikował specjalistyczny serwis w podziemnej sieci znany jako „Flava”, który pełni rolę scentralizowanego centrum szkoleniowego. Platforma ta zawiera mnóstwo wyczerpujących, szczegółowych instrukcji krok po kroku, opisujących dokładnie, jak zorganizować te złożone schematy wypłaty środków skierowane do obywateli i mieszkańców Stanów Zjednoczonych. 

Rosyjskojęzyczna platforma poświęcona technikom oszustw finansowych.
Rosyjskojęzyczna platforma poświęcona technikom oszustw finansowych.

Jak zachować bezpieczeństwo

Oszustwa Identity w wyniku kradzieży Identity przypominają nam, że kradzież tożsamości nie prowadzi wyłącznie do nieuprawnionych zakupów. Może ona mieć wpływ na tak podstawową sprawę, jak rozliczenie podatkowe.

Cyberprzestępcy korzystają z podziemnych platform handlowych, na których sprzedaje się skradzione dane osobowe, nielegalny dostęp do systemów firmowych oraz narzędzia służące do popełniania oszustw. Ułatwia to przestępcom szybkie i masowe składanie fałszywych zeznań podatkowych.

Dla podatników najlepszym zabezpieczeniem jest ograniczenie ilości danych osobowych dostępnych dla przestępców, wczesne złożenie zeznania podatkowego oraz zwracanie uwagi na wszelkie sygnały ostrzegawcze wskazujące, że ktoś może próbować wykorzystać ich tożsamość.

Oszustwa podatkowe często polegają na tym, że przestępcy muszą najpierw zdobyć dostęp do Twoich danych osobowych. Im mniej danych posiadają, tym trudniej jest im podszyć się pod Ciebie. Oto kilka wskazówek, które pomogą Ci zmniejszyć ryzyko:

  • Złóż zeznanie podatkowe jak najwcześniej. Wczesne złożenie prawidłowego zeznania podatkowego znacznie utrudnia przestępcom złożenie zeznania w Twoim imieniu.
  • Chroń swój numer ubezpieczenia społecznego. Nie podawaj go nikomu, chyba że jest to absolutnie konieczne.
  • Uważaj na wiadomości e-mailowe i SMS-y typu phishing. Oszuści często podszywają się pod IRS, banki lub urzędy skarbowe, aby nakłonić ludzi do ujawnienia danych osobowych.
  • Używaj silnych, niepowtarzalnych haseł. Jeśli przestępcy uzyskają dostęp do Twojej poczty elektronicznej lub kont finansowych, mogą zebrać informacje potrzebne do podszywania się pod Ciebie.
  • Sprawdzaj swoje konta i raporty kredytowe. Nieoczekiwane zawiadomienia podatkowe, odrzucone zeznania podatkowe lub nieznane operacje finansowe mogą być sygnałami ostrzegawczymi wskazującymi na kradzież tożsamości.
  • Warto rozważyć skorzystanie z kodu PIN Identity (IP PIN) wydawanego przez IRS. Kod IP PIN stanowi dodatkowy etap weryfikacji podczas składania zeznania podatkowego, co pomaga zapobiegać sytuacjom, w których przestępcy składają zeznania w Twoim imieniu.

Uwaga: Te zrzuty ekranu z dark web zostały z grubsza przetłumaczone z języka rosyjskiego. 

Co cyberprzestępcy wiedzą o Tobie?

Skorzystaj z bezpłatnego skanowania śladu cyfrowego Malwarebytes, aby sprawdzić, czy Twoje dane osobowe zostały ujawnione w Internecie.

O autorze

Malwarebytes Labs

Malwarebytes Labs

NAJNOWSZE ARTYKUŁY

Mobilny
DarkSword iOS

Nad nieaktualizowanymi iPhone'ami wisi miecz DarkSword

Marzec 19, 2026

Naukowcy wykryli szereg ataków na szczeblu stanowym, w których wykorzystano łańcuch luk w zabezpieczeniach o nazwie DarkSword w celu zainfekowania iPhone'ów bez zainstalowanych poprawek.

Ochrona prywatności
Oszustwa podatkowe w dark webie

Twoje formularze podatkowe są sprzedawane w dark webie za 20 dolarów

Marzec 19, 2026

Okres rozliczeń podatkowych to również szczytowy okres dla kradzieży tożsamości. Malwarebytes zauważyli, że przestępcy handlują skradzionymi danymi podatkowymi na forach w dark webie.

AI
Ukryte

Naukowcy odkryli sposób na ukrycie złośliwych poleceń poprzez manipulację wyświetlaniem czcionek

Marzec 18, 2026

Naukowcy odkryli sposób, w jaki można sprawić, by asystenci AI przeoczyli niebezpieczne instrukcje dla użytkowników zamieszczone na stronie internetowej.

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa