Privacy, Inteligência sobre ameaças

Os seus formulários fiscais são vendidos por 20 dólares na dark web

por Malwarebytes Labs | 19 de março de 2026
Golpes fiscais na dark web

A época dos impostos é também a época alta para o roubo de identidade. Os criminosos utilizam dados pessoais roubados para apresentar declarações de impostos falsas e solicitar reembolsos antes do verdadeiro contribuinte. Veja aqui como funciona esta fraude e como se proteger.

O que é a fraude Identity por roubo Identity (SIRF)?

A fraude Identity por roubo Identity (SIRF) é um tipo de fraude fiscal em que os criminosos roubam informações pessoais de alguém — tais como o número de segurança social e a data de nascimento — e as utilizam para apresentar uma declaração de impostos falsa em nome dessa pessoa, com o objetivo de obter um reembolso de impostos.

Os fraudadores costumam apresentar a declaração falsa no início da época fiscal, antes de o verdadeiro contribuinte o fazer, para que o reembolso lhes seja atribuído em vez de à pessoa legítima.

O dinheiro é frequentemente transferido para contas bancárias, cartões de débito ou endereços controlados pelos criminosos. As vítimas só descobrem a fraude quando a sua declaração de impostos verdadeira é rejeitada ou quando a autoridade fiscal, como o Internal Revenue Service (IRS) dos EUA, informa que já foi emitido um reembolso em seu nome.

Como é que isso é possível? 

Enquanto os americanos se apressam para cumprir o prazo anual de entrega das declarações fiscais, um ecossistema oculto na Dark Web em ação, transformando a época dos impostos num período lucrativo do ano para os cibercriminosos internacionais. Shahak Shalev, Diretor Global de Investigação sobre Fraudes e IA da Malwarebytes, afirmou:

«As pessoas estão à espera de mensagens sobre impostos, reembolsos e declarações, o que torna os e-mails de phishing e os falsos alertas do IRS muito mais fáceis de acreditar. Ao mesmo tempo, os dados pessoais necessários para cometer fraude fiscal são incrivelmente baratos na dark web. Não é de admirar que os burlões encarem a época dos impostos como uma oportunidade anual.»

Por trás do súbito aumento de pedidos de reembolso fraudulentos está uma cadeia de abastecimento criminosa altamente organizada, profundamente enraizada em fóruns clandestinos de língua russa. Estas plataformas especializadas funcionam como os principais facilitadores da fraude fiscal.  

Em vez de recolherem dados do zero, os fraudadores podem simplesmente adquirir enormes conjuntos de dados com Informações de Identificação Pessoal (PII) roubadas, incluindo formulários W-2 e 1040 prontos a utilizar. Para operações mais sofisticadas, os Corretores de Acesso Inicial (IABs) leiloam acesso direto à rede de contabilistas certificados (CPAs) e de empresas de contabilidade que foram alvo de ataques.  

Para além dos dados brutos e do acesso, esta economia paralela oferece um conjunto completo de ferramentas de «fraude como serviço» — incluindo serviços a pedido para falsificar documentos financeiros de apoio e plataformas de formação dedicadas com tutoriais passo a passo. 

  • Um agente malicioso à procura de parceiros para uma fraude relacionada com o reembolso de impostos nos EUA (com base em dados de software de contabilidade)
  • O autor da ameaça está a vender acesso a uma empresa de contabilidade com bases de dados de software de contabilidade
  • Um agente malicioso à procura de parceiros para uma fraude relacionada com o reembolso de impostos nos EUA

O mercado negro de dados pessoais 

No epicentro deste comércio ilícito encontra-se um dos principais fóruns clandestinos em língua russa, que funciona como o mercado de referência para os fraudadores comprarem e venderem dados pessoais de caráter fiscal. A comercialização destes dados é impressionante na sua eficiência, funcionando de forma muito semelhante a uma plataforma tradicional de comércio eletrónico.  

A nossa equipa de investigação recolheu várias amostras reveladoras desta atividade comercial, que evidenciam uma clara estrutura de preços baseada na atualidade dos dados e no público-alvo. Numa oferta recentemente observada, um agente malicioso anunciou um pacote com 100 formulários fiscais completos por 2 000 dólares — o que equivale a um preço de apenas 20 dólares por cada identidade roubada e totalmente documentada.  

  • Um agente malicioso que coloca à venda formulários fiscais dos EUA e formulários W-2
  • Um agente malicioso que oferece à venda formulários 1040 com desconto, informações de identificação pessoal (PII) e dados bancários 

Por outro lado, os conjuntos de dados mais antigos, relativos ao ano fiscal de 2024, estão a ser vendidos com grandes descontos para escoar o stock; registos altamente confidenciais pertencentes especificamente a reformados e pensionistas abastados desse período estão atualmente a ser comercializados por menos de 4 dólares por identidade. 

Access à venda 

Este volume impressionante de dados fiscais tem de ter vindo de algum lado, e os autores das ameaças identificaram o alvo ideal: as empresas norte-americanas que se dedicam à preparação de declarações fiscais e a procedimentos contabilísticos.  

Do ponto de vista de um atacante, é infinitamente mais eficiente invadir uma empresa especializada que funciona como um cofre centralizado para essas informações confidenciais do que lançar uma rede ampla na tentativa de induzir cidadãos individuais a revelarem os seus dados pessoais. 

Verifique se os seus dados pessoais foram expostos.

A nossa equipa de investigação interceptou recentemente um excelente exemplo desta estratégia em ação, identificando um Dark Web que oferecia acesso não autorizado à rede de uma empresa de serviços fiscais sediada nos EUA. A organização afetada é uma pequena empresa; um alvo típico de criminosos que procuram acesso fácil a informações vulneráveis.

Aproveitando-se destas vulnerabilidades sistémicas, o autor da ameaça conseguiu infiltrar-se discretamente na infraestrutura interna da empresa e está agora a leiloar o acesso direto a uma base de dados que contém informações pessoais identificáveis (PII) completas e altamente sensíveis de mais de 1 600 clientes. 

Um agente malicioso que está a leiloar o acesso a uma base de dados com informações pessoais identificáveis (PII) de mais de 1 600 clientes
Um agente malicioso que está a leiloar o acesso a uma base de dados com informações pessoais identificáveis (PII) de mais de 1 600 clientes

Dados adicionais à venda 

Mesmo quando os autores de ameaças se deparam com obstáculos durante o processo de fraude — como a falta de um dado de identificação pessoal ou a necessidade de um documento financeiro altamente específico para verificação —, o submundo do cibercrime oferece um conjunto abrangente de serviços sob demanda para resolver estas questões de forma integrada.  

A nossa equipa de investigação identificou um mercado negro específico conhecido como «Cypher – Fullz and Docs», especializado na venda de conjuntos completos e prontos a usar de identidades roubadas nos EUA (comumente designados no submundo por «fullz») por apenas 0,75 dólares por conjunto.  

  • Anunciar dados roubados na dark web
  • Mais um anúncio de «fullz» – identidades completas

No entanto, por vezes, dispor dos dados básicos não é suficiente para contornar as verificações obrigatórias.

Quando é necessária documentação adicional para legitimar um pedido fraudulento, os autores das ameaças recorrem simplesmente a serviços especializados em falsificação, como o «Fakelab». Por uma taxa nominal que varia entre 20 e 40 dólares, o Fakelab funciona como um estúdio de design digital ilícito, falsificando meticulosamente qualquer documento fiscal de que um atacante possa necessitar, desde formulários W-2 personalizados a extratos bancários realistas, garantindo que o esquema possa prosseguir sem problemas. 

  • Anúncio relativo a documentos, incluindo formulários médicos e fiscais
  • Lista de preços dos dados

Tutoriais e orientações 

O ponto culminante do ciclo de vida da fraude fiscal — e, muitas vezes, a fase mais arriscada para o atacante — é a retirada dos fundos. Para concluir com sucesso o esquema e retirar os fundos roubados, os fraudadores necessitam de uma infraestrutura financeira robusta, recorrendo normalmente a contas bancárias «de destino» comprometidas e a ferramentas financeiras complementares concebidas para branquear o dinheiro e ocultar os seus rastos.  

Como era de esperar, Dark Web fornece não só as ferramentas, mas também a formação detalhada necessária para executar esta fase crítica. A nossa equipa de investigação identificou um recurso clandestino específico conhecido como «Flava», que funciona como um centro de formação centralizado. Esta plataforma está repleta de tutoriais abrangentes e passo a passo que explicam em pormenor como orquestrar estes complexos esquemas de levantamento de fundos que têm como alvo cidadãos e residentes dos EUA. 

Um mercado em língua russa dedicado a técnicas de fraude financeira.
Um mercado em língua russa dedicado a técnicas de fraude financeira.

Como se manter seguro

A fraude Identity por roubo Identity serve para nos lembrar que o roubo de identidade não se limita apenas a compras fraudulentas. Pode afetar algo tão fundamental como a apresentação da declaração de impostos.

Os cibercriminosos aproveitam-se dos mercados clandestinos que vendem dados pessoais roubados, acessos empresariais comprometidos e ferramentas concebidas para facilitar a fraude. Isso facilita aos criminosos a apresentação rápida e em grande escala de declarações fiscais falsas.

Para os contribuintes, a melhor defesa consiste em limitar a quantidade de dados pessoais acessíveis a criminosos, apresentar a declaração de impostos com antecedência e estar atento a quaisquer sinais de alerta que indiquem que alguém possa estar a tentar usar a sua identidade.

A fraude fiscal depende, muitas vezes, de os criminosos conseguirem primeiro aceder às suas informações pessoais. Quanto menos dados tiverem, mais difícil lhes será fazer-se passar por si. Aqui estão algumas medidas que podem ajudar a reduzir o risco:

  • Entregue a sua declaração de impostos com antecedência. Ao apresentar a sua declaração de impostos legítima antecipadamente, torna-se muito mais difícil para os criminosos apresentarem uma em seu nome antes de si.
  • Proteja o seu número de segurança social. Evite revelar o seu número de segurança social, a menos que seja absolutamente necessário.
  • Tenha cuidado com e-mails e mensagens de texto de phishing. Os burlões costumam fazer-se passar pelo IRS, por bancos ou por serviços fiscais para induzir as pessoas a revelarem dados pessoais.
  • Utilize palavras-passe fortes e únicas. Se os criminosos conseguirem aceder ao seu e-mail ou às suas contas bancárias, poderão recolher as informações necessárias para se fazerem passar por si.
  • Acompanhe as suas contas e relatórios de crédito. Notificações fiscais inesperadas, declarações rejeitadas ou atividades financeiras desconhecidas podem ser sinais de alerta de roubo de identidade.
  • Considere utilizar um PIN Identity do IRS (IP PIN). Um IP PIN acrescenta uma etapa adicional de verificação ao preencher a sua declaração de impostos, ajudando a impedir que criminosos a apresentem em seu nome.

Nota: Estas capturas de ecrã da dark web foram traduzidas de forma aproximada do russo. 

O que os cibercriminosos sabem sobre si?

Use a verificação gratuita Digital Footprint Malwarebytes para ver se as suas informações pessoais foram expostas online.

Sobre o autor

Malwarebytes Labs

Malwarebytes Labs

ÚLTIMOS ARTIGOS

Telemóvel
DarkSword para iOS

A DarkSword paira sobre os iPhones sem atualizações

março 19, 2026

Os investigadores identificaram vários ataques a nível estatal que utilizam o DarkSword, uma cadeia de vulnerabilidades, para infetar iPhones sem atualizações.

Privacy
Golpes fiscais na dark web

Os seus formulários fiscais são vendidos por 20 dólares na dark web

março 19, 2026

A época dos impostos é também a época alta para o roubo de identidade. Malwarebytes detectaram criminosos a comercializar registos fiscais roubados em fóruns da dark web.

IA
Oculto

Os investigadores descobriram um truque de renderização de tipos de letra para ocultar comandos maliciosos

março 18, 2026

Os investigadores descobriram uma forma de induzir os assistentes de IA a ignorarem instruções perigosas para o utilizador num site.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes