Privacy, Inteligência sobre ameaças

Seus formulários fiscais são vendidos por US$ 20 na dark web

por Malwarebytes Labs | 19 de março de 2026
Golpes fiscais na dark web

A época da declaração de imposto de renda é também a época de maior incidência de roubo de identidade. Os criminosos usam dados pessoais roubados para apresentar declarações falsas e solicitar restituições antes que o contribuinte legítimo o faça. Veja a seguir como funciona essa fraude e como se proteger.

O que é a fraude Identity por roubo Identity (SIRF)?

A fraude Identity por roubo Identity (SIRF) é um tipo de fraude fiscal em que os criminosos roubam informações pessoais de alguém — como o número do INSS e a data de nascimento — e as utilizam para apresentar uma declaração de imposto falsa em nome dessa pessoa, com o objetivo de obter uma restituição de imposto.

Os fraudadores costumam enviar a declaração falsa no início da temporada de impostos, antes que o contribuinte legítimo a apresente, de modo que o reembolso seja concedido a eles em vez de à pessoa legítima.

O dinheiro costuma ser transferido para contas bancárias, cartões de débito ou endereços controlados pelos criminosos. As vítimas geralmente só descobrem a fraude quando sua declaração de imposto de renda verdadeira é rejeitada ou quando a autoridade fiscal, como a Receita Federal dos Estados Unidos (IRS), informa que um reembolso já foi emitido em seu nome.

Como isso é possível? 

Enquanto os americanos se apressam para cumprir o prazo anual de entrega da declaração de imposto de renda, um ecossistema oculto na Dark Web em plena atividade, transformando a época da declaração de imposto em um período lucrativo do ano para os cibercriminosos internacionais. Shahak Shalev, diretor global de pesquisa sobre fraudes e IA da Malwarebytes, afirmou:

“As pessoas estão à espera de mensagens sobre impostos, restituições e declarações, o que torna os e-mails de phishing e os alertas falsos da Receita Federal muito mais fáceis de acreditar. Ao mesmo tempo, os dados pessoais necessários para cometer fraudes fiscais são surpreendentemente baratos na dark web. Não é de se admirar que os golpistas encarem a época de declaração de impostos como uma oportunidade anual.”

Por trás do súbito aumento de pedidos fraudulentos de reembolso está uma cadeia de abastecimento criminosa altamente organizada, profundamente enraizada em fóruns clandestinos em língua russa. Essas plataformas especializadas atuam como os principais facilitadores da fraude fiscal.  

Em vez de coletar dados do zero, os fraudadores podem simplesmente adquirir enormes conjuntos de dados com Informações de Identificação Pessoal (PII) roubadas, incluindo formulários W-2 e 1040 prontos para uso. Para operações mais sofisticadas, os Corretores de Acesso Inicial (IABs) leiloam acesso direto à rede de contadores públicos certificados (CPAs) e escritórios de contabilidade comprometidos.  

Além dos dados brutos e do acesso, essa economia subterrânea oferece um conjunto completo de ferramentas de “fraude como serviço” — incluindo serviços sob demanda para falsificar documentos financeiros de apoio e plataformas de instrução dedicadas com tutoriais passo a passo. 

  • Um agente mal-intencionado em busca de parceiros para uma fraude relacionada à restituição de impostos nos EUA (com base em dados de um software de contabilidade)
  • O autor da ameaça está vendendo acesso a uma empresa de contabilidade com bancos de dados de softwares contábeis
  • Um agente mal-intencionado em busca de parceiros para uma fraude envolvendo restituições de impostos nos EUA

O mercado negro de dados pessoais 

No epicentro desse comércio ilícito está um dos principais fóruns clandestinos em língua russa, que funciona como o principal mercado para que fraudadores comprem e vendam informações de identificação pessoal (PII) relacionadas a impostos. A comercialização desses dados é impressionante em sua eficiência, funcionando de maneira muito semelhante a uma plataforma tradicional de comércio eletrônico.  

Nossa equipe de pesquisa coletou várias amostras reveladoras dessa atividade comercial, destacando uma clara estrutura de preços baseada na atualidade dos dados e no público-alvo. Em uma oferta observada recentemente, um agente mal-intencionado anunciou um pacote com 100 formulários fiscais completos por US$ 2.000 — o que significa que o preço de uma identidade roubada totalmente documentada era de apenas US$ 20.  

  • Um agente mal-intencionado que está oferecendo formulários fiscais dos EUA e formulários W-2 à venda
  • Um agente mal-intencionado que está oferecendo à venda formulários 1040 com desconto, informações de identificação pessoal (PII) e dados bancários 

Por outro lado, bancos de dados mais antigos, referentes ao ano fiscal de 2024, estão com grandes descontos para esvaziar o estoque; registros altamente confidenciais pertencentes especificamente a aposentados e pensionistas abastados daquele período estão sendo negociados atualmente por menos de US$ 4 por identidade. 

À venda 

Esse volume impressionante de dados fiscais deve ter uma origem, e os agentes maliciosos identificaram o verdadeiro prêmio: empresas americanas que lidam com a preparação de declarações fiscais e procedimentos contábeis.  

Do ponto de vista de um invasor, é infinitamente mais eficiente invadir uma empresa especializada que funciona como um cofre centralizado para essas informações confidenciais do que lançar uma ampla rede na tentativa de induzir cidadãos comuns a fornecerem seus dados pessoais. 

Verifique se seus dados pessoais foram expostos.

Nossa equipe de pesquisa interceptou recentemente um excelente exemplo dessa estratégia em ação, identificando um Dark Web que oferecia acesso comprometido à rede de uma empresa de serviços fiscais sediada nos Estados Unidos. A organização afetada é uma pequena empresa; um alvo típico de criminosos que buscam acesso fácil a informações vulneráveis.

Aproveitando-se dessas vulnerabilidades sistêmicas, o agente malicioso conseguiu se infiltrar discretamente na infraestrutura interna da empresa e agora está leiloando acesso direto a um banco de dados que contém informações pessoais identificáveis (PII) completas e altamente confidenciais de mais de 1.600 clientes. 

Um agente mal-intencionado está leiloando o acesso a um banco de dados com informações de identificação pessoal (PII) de mais de 1.600 clientes
Um agente mal-intencionado está leiloando o acesso a um banco de dados com informações de identificação pessoal (PII) de mais de 1.600 clientes

Dados adicionais à venda 

Mesmo quando os autores de ameaças se deparam com obstáculos durante o processo de fraude — como a falta de um dado de identificação pessoal ou a necessidade de um documento financeiro altamente específico para verificação —, o submundo do cibercrime oferece um conjunto abrangente de serviços sob demanda para resolver essas questões com facilidade.  

Nossa equipe de pesquisa rastreou um mercado negro específico conhecido como “Cypher – Fullz and Docs”, especializado na venda de conjuntos completos e prontos para uso de identidades roubadas nos EUA (comumente chamados no submundo de “fullz”) por apenas US$ 0,75 por conjunto.  

  • Anunciar dados roubados na dark web
  • Mais um anúncio de “fullz” – identidades completas

No entanto, por vezes, dispor dos dados básicos não é suficiente para contornar as verificações exigidas.

Quando são necessários documentos adicionais para legitimar uma reivindicação fraudulenta, os agentes maliciosos simplesmente recorrem a serviços especializados em falsificação, como o “Fakelab”. Por uma taxa nominal que varia entre US$ 20 e US$ 40, o Fakelab opera como um estúdio de design digital ilícito, falsificando meticulosamente qualquer documento fiscal de que um invasor possa precisar, desde formulários W-2 personalizados até extratos bancários realistas, garantindo que o golpe possa prosseguir sem contratempos. 

  • Anúncio sobre documentos, incluindo formulários médicos e fiscais
  • Lista de preços para dados

Tutoriais e orientações 

O ponto culminante do ciclo de vida da fraude fiscal — e, muitas vezes, a fase mais arriscada para o invasor — é a retirada dos fundos. Para concluir com sucesso o golpe e retirar os fundos roubados, os fraudadores precisam de uma infraestrutura financeira robusta, geralmente contando com contas bancárias “de receptação” comprometidas e ferramentas financeiras complementares destinadas a lavar o dinheiro e ocultar seus rastros.  

Não é de se surpreender que o Dark Web ofereça não apenas as ferramentas, mas também a orientação detalhada necessária para executar essa fase crítica. Nossa equipe de pesquisa identificou um recurso clandestino específico conhecido como “Flava”, que funciona como um centro de instruções centralizado. Essa plataforma está repleta de tutoriais abrangentes e passo a passo que detalham especificamente como orquestrar esses complexos esquemas de lavagem de dinheiro voltados para cidadãos e residentes dos EUA. 

Um mercado em língua russa dedicado a técnicas de fraude financeira.
Um mercado em língua russa dedicado a técnicas de fraude financeira.

Como se manter seguro

A fraude Identity por roubo Identity serve como um lembrete de que o roubo de identidade não se limita apenas a compras fraudulentas. Ele pode afetar algo tão fundamental quanto a declaração de imposto de renda.

Os cibercriminosos se valem de mercados clandestinos que vendem dados pessoais roubados, acessos corporativos comprometidos e ferramentas criadas para facilitar fraudes. Isso facilita que os criminosos apresentem declarações fiscais falsas de forma rápida e em grande escala.

Para os contribuintes, a melhor defesa é limitar a quantidade de dados pessoais acessíveis a criminosos, apresentar a declaração de imposto de renda com antecedência e ficar atento a quaisquer sinais de alerta de que alguém possa estar tentando usar sua identidade.

A fraude fiscal geralmente depende do fato de os criminosos conseguirem primeiro acesso às suas informações pessoais. Quanto menos dados eles tiverem, mais difícil será para eles se passarem por você. Aqui estão algumas medidas que podem ajudar a reduzir o risco:

  • Entregue sua declaração de imposto de renda com antecedência. Ao enviar sua declaração legítima com antecedência, fica muito mais difícil para os criminosos apresentarem uma em seu nome antes de você.
  • Proteja seu número de Seguro Social. Evite divulgar seu número de Seguro Social, a menos que seja absolutamente necessário.
  • Fique atento a e-mails e mensagens de texto de phishing. Os golpistas costumam se passar pelo IRS, por bancos ou por serviços fiscais para induzir as pessoas a revelarem dados pessoais.
  • Use senhas fortes e exclusivas. Se criminosos conseguirem acessar seu e-mail ou suas contas bancárias, eles poderão coletar as informações necessárias para se passar por você.
  • Monitore suas contas e relatórios de crédito. Notificações fiscais inesperadas, declarações rejeitadas ou atividades financeiras desconhecidas podem ser sinais de alerta de roubo de identidade.
  • Considere a possibilidade de usar um PIN Identity do IRS (IP PIN). O IP PIN adiciona uma etapa extra de verificação ao enviar sua declaração de imposto de renda, ajudando a impedir que criminosos a enviem em seu nome.

Nota: Estas capturas de tela da dark web foram traduzidas de forma aproximada do russo. 

O que os cibercriminosos sabem sobre você?

Use a verificação gratuita Digital Footprint Malwarebytes para verificar se suas informações pessoais foram expostas online.

Sobre o autor

Malwarebytes Labs

Malwarebytes Labs

ÚLTIMOS ARTIGOS

Celular
DarkSword para iOS

A DarkSword paira sobre iPhones sem atualização

Março 19, 2026

Pesquisadores identificaram vários ataques em nível estadual que utilizam o DarkSword, uma cadeia de vulnerabilidades, para infectar iPhones sem atualizações.

Privacy
Golpes fiscais na dark web

Seus formulários fiscais são vendidos por US$ 20 na dark web

Março 19, 2026

A época da declaração de impostos é também a época de maior incidência de roubo de identidade. Malwarebytes identificaram criminosos negociando registros fiscais roubados em fóruns da dark web.

IA
Oculto

Pesquisadores descobriram um truque de renderização de fontes para ocultar comandos maliciosos

Março 18, 2026

Pesquisadores descobriram uma maneira de fazer com que os assistentes de IA ignorem instruções perigosas para o usuário em um site.

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes