Em muitos países, a primavera é a época tradicional para a apresentação de declarações de imposto de renda. Esses documentos são uma mina de ouro para as pessoas mal-intencionadas porque contêm uma grande quantidade de dados pessoais, como histórico profissional, renda, ativos, detalhes da conta bancária e por aí vai. Não é surpresa que os golpistas aumentem seus esforços nessa época; a internet está cheia de sites falsos projetados para parecerem exatamente recursos governamentais e autoridades fiscais.

Com a proximidade de prazos e números a serem analisados, a pressa de terminar tudo a tempo pode fazer com que as pessoas baixem a guarda. Na confusão, é fácil não perceber os sinais de que o site onde você está detalhando suas finanças não tem nenhuma conexão com o fisco, ou que o arquivo que acabou de ser baixado, supostamente de um fiscal, na verdade é malware.

Nesta postagem, detalharemos como esses sites fraudulentos de agências fiscais operam em diferentes países e o que é preciso evitar fazer para manter seu dinheiro e suas informações confidenciais seguros.

Brasileiros na mira

A temporada de declaração do Imposto de Renda no Brasil trouxe um aumento notável na atividade de cibercriminosos. Apenas em março, a Kaspersky identificou ao menos 61 domínios maliciosos registrados no país, todos utilizando o Leão como isca para enganar contribuintes e roubar informações sensíveis ou pagamentos indevidos.

Os ataques vão desde páginas falsas que simulam serviços oficiais até campanhas de phishing que se passam por comunicações legítimas de órgãos governamentais. O principal objetivo é induzir as vítimas a fornecer suas credenciais do Gov.br, plataforma oficial de serviços públicos digitais do Governo Federal, ou a realizar transferências financeiras sob pressão.

A principal estratégia da campanha é a abordagem clássica de criar sites fraudulentos que imitam páginas oficiais, utilizando termos como “IRPF”, “regularização”, “declaração” e até referências diretas à Receita Federal, como logotipos, para parecerem legítimos. Essas páginas são projetadas para confundir os usuários e aumentar as chances de acesso não autorizado a dados pessoais.

A campanha também incluiu o envio de e-mails falsos a contribuintes, informando sobre supostos problemas em suas declarações. Nessas mensagens, as vítimas são alertadas sobre irregularidades no CPF e incentivadas a resolver a situação com urgência, muitas vezes com promessas de benefícios, como descontos em multas.

Exemplo de notificação fraudulenta recebida por e-mail para pagamento, via PIX ou boleto, de falsa pendência com a Receita Federal do Brasil

Ao seguir as instruções, as vítimas são direcionadas a realizar pagamentos via PIX ou boleto, sistema de cobrança brasileiro com código de barras. Os prazos são sempre curtos, aumentando a pressão e reduzindo o tempo disponível para verificação. Os valores são enviados para contas de terceiros, o que dificulta a recuperação do dinheiro.

Além de sites de phishing que imitam recursos legítimos, nossos especialistas descobriram sites fraudulentos que prometem serviços pagos para preencher e auditar documentos fiscais, mas que, na prática, roubam dados de alto valor, como números do CPF.

Phishing contra contribuintes

Além do Brasil, os invasores estão falsificando sites de autoridades fiscais em vários outros países, inclusive os portais oficiais dos governos da Alemanha, França, Áustria, Suíça, Chile e Colômbia. O modus operandi é similar: nos sites fraudulentos, os golpistas coletam credenciais de serviços legítimos e roubam dados pessoais antes de se oferecerem para processar uma dedução fiscal, desde que a vítima forneça os dados do cartão de crédito. Em alguns casos, eles até cobram uma taxa por esse serviço fraudulento.

Um site que imita a autoridade fiscal chilena. A vítima é instruída a inserir os dados do cartão de crédito para receber uma restituição substancial de impostos, aproximadamente US$ 375. Em vez disso, os fundos são desviados da conta da vítima diretamente para os golpistas

Às vezes, a tática envolve acusações feitas em nome de órgãos governamentais. Na imagem abaixo, por exemplo, um suposto chefe de auditoria fiscal, em Paris, informa à vítima que ela forneceu informações de renda incompletas. Então, para evitar penalidades, a pessoa é instruída a baixar um documento e fazer as correções imediatamente. No entanto, o arquivo PDF esconde algo muito pior: malware.

Em vez de um documento oficial da autoridade fiscal francesa, a pessoa encontra malware no PDF, pronto para infectar o dispositivo

Na Colômbia, um site falso da direção nacional de impostos e alfândegas também solicita que as pessoas baixem documentos que devem ser “desbloqueados com uma chave de segurança”. Na realidade, trata-se simplesmente de um arquivo comprimido ZIP malicioso e protegido por senha.

Depois de inserir a senha, a pessoa abre um arquivo comprimido malicioso que infecta o dispositivo

Lucros de criptomoedas isentos de impostos

Os detentores de criptomoedas passaram a representar um alvo específico para os invasores. As autoridades fiscais alemãs falsas estão exigindo que os proprietários de carteiras “verifiquem seus ativos digitais” e citam os regulamentos da UE tendo como objetivo o cálculo de impostos. E, claro, há um “lado positivo”: obviamente, os ganhos com criptomoedas estão supostamente isentos de impostos! No entanto, para solicitar um benefício tão generoso, os usuários devem passar por um procedimento de “verificação”. O site ainda promete fazer a criptografia de dados usando um “protocolo SSL de 2048 bits”.

Para concluir o processo de “verificação”, os usuários são forçados a inserir a frase-semente, ou seja, a sequência exclusiva de palavras vinculadas a uma carteira de criptomoedas que concede acesso de recuperação total. Essa solicitação está associada a uma ameaça: a recusa em fornecer os dados levará a graves consequências legais, como multas de até um milhão de euros ou processo criminal.

Os invasores também aplicaram um golpe semelhante em usuários franceses. Eles criaram um “portal de conformidade tributária de criptomoedas” inexistente, que imita o design do site do ministério da economia e finanças da França. O site de phishing exige, agressivamente, que os residentes franceses enviem uma “declaração de ativos digitais”.

Depois que o usuário insere as informações pessoais, os golpistas solicitam que eles insiram manualmente a frase-semente ou “vinculem” a carteira de criptomoedas ao portal. Se a vítima seguir em frente, as carteiras MetaMask, Binance, Coinbase, Trust Wallet ou WalletConnect serão drenadas.

A IA pode ajudar com as declarações de impostos?

Quando você tem IA à disposição, capaz de gerar texto instantaneamente e preencher planilhas, há uma forte tentação de delegar tudo a ela. Infelizmente, isso pode gerar sérias consequências. Em primeiro lugar, todos os chatbots populares processam os dados em seus respectivos servidores, o que coloca suas informações confidenciais em risco de vazamento. Em segundo lugar, é comum que eles cometam erros incrivelmente tolos, e isso pode resultar em problemas reais com o fisco.

Antes de informar a um chatbot ou agente de IA quanto você ganhou no ano passado, juntamente com dados pessoais e bancários detalhados, lembre-se da frequência com que ocorrem vazamentos em serviços de IA e considere os riscos. Não informe sua renda para a IA, não forneça detalhes pessoais, como nome ou endereço, e, sob hipótese alguma, não carregue fotos ou números de documentos vitais, como passaportes, informações de seguro ou números de previdência social. Os arquivos que contêm informações confidenciais devem ser mantidos em contêineres criptografados, como o [placeholder KPM].

Se, mesmo assim, você ainda quiser usar ferramentas de IA, é recomendável executá-las localmente. Isso pode ser feito gratuitamente até mesmo em um laptop padrão, e já mostramos como configurar modelos de linguagem locais usando o DeepSeek como um exemplo. No entanto, a qualidade da saída desses modelos é geralmente inferior. É bem possível que a verificação dupla de cada dígito em uma resposta gerada por IA leve mais tempo do que apenas preencher a papelada manualmente. Não se esqueça, você é o único responsável perante a administração fiscal por quaisquer erros, e não a IA.

Por fim, fique atento aos modelos de phishing por IA que oferecem “assistência” com a declaração de impostos. Os especialistas da Kaspersky descobriram sites que pedem aos usuários o envio de notas fiscais, supostamente para a geração automatizada de declarações e solicitações de dedução. Porém, o que acontecia, de fato, era que os invasores coletavam os dados pessoais para revender na dark web ou para usar em futuros ataques de phishing, chantagem e esquemas de extorsão.

Os criadores de uma ferramenta de IA falsa solicitam aos usuários que carreguem documentos fiscais e garantem que o site não armazena nenhum dado do usuário. Na realidade, todas as informações inseridas, como nome, endereço, documentos, pessoa de contato e número de telefone acabam nas mãos de criminosos virtuais

Lembre-se de que serviços legítimos de IA alertam para não compartilhar dados confidenciais, e documentos fiscais se enquadram nessa categoria. Quaisquer ferramentas de IA que prometem oferecer ajuda para lidar com a papelada fiscal são simplesmente uma farsa.

Como proteger a si mesmo e às suas informações

• Faça você mesmo a sua declaração. O risco de encontrar golpistas é extremamente alto. Mesmo que uma empresa de consultoria seja legítima, a empresa receberá um dossiê completo seu: detalhes do passaporte, informações de emprego e renda, endereço e muito mais. Não se esqueça de que mesmo os serviços mais honestos não estão imunes a ataques e violações de dados.
• Cuidado com sites falsos. Use uma solução de segurança confiável que impede a visita a sites de phishing e bloqueia downloads de arquivos maliciosos.
• Mantenha todos os documentos importantes criptografados. Armazenar fotos, notas ou arquivos na área de trabalho ou manter mensagens com estrela em um aplicativo de mensagens não é uma forma segura de lidar com dados confidenciais. Um cofre seguro como o Kaspersky Password Manager pode armazenar mais do que apenas senhas e informações de cartão de crédito: ele também pode proteger documentos e até fotos.
• Não confie na IA. Mesmo os chatbots mais avançados são propensos a erros e alucinações e, em princípio, os desenvolvedores podem ler qualquer conversa que você tenha com a IA. Se você absolutamente precisar usar a IA, instale e execute uma versão local em seu próprio computador.
• Siga apenas os canais oficiais. O “inspetor fiscal chefe” do seu país ou cidade definitivamente não enviará uma mensagem para você, pois funcionários de alto escalão têm coisas mais importantes a fazer. Contate as autoridades fiscais apenas por canais oficiais e verifique o remetente de todos os e-mails recebidos. Na maioria das vezes, mesmo uma pequena diferença no nome ou no endereço é um sinal que revela uma campanha de phishing.

Leitura adicional sobre phishing e segurança de dados:

• Phishing e spam: as campanhas mais ousadas de 2025
• Como phishers e golpistas usam IA
• O que acontece com os dados roubados em ataques de phishing?
• Como desaparecer da Internet
• Descubra por que os corretores de dados criam dossiês sobre você e como impedir que eles façam isso

Imagine que um usuário acessa um site fraudulento, decide fazer uma compra e insere as informações do cartão bancário, nome e endereço. Adivinha o que acontece a seguir? Se você acha que os invasores simplesmente pegam o dinheiro e desaparecem, pense novamente. Infelizmente, é muito mais complicado. Na realidade, as informações entram em um enorme pipeline do mercado paralelo, onde os dados das vítimas circulam por anos, mudando de mãos e sendo reutilizados em novos ataques.

Na Kaspersky, estudamos a jornada dos dados após um ataque de phishing: quem os obtém, como são classificados, revendidos e usados no mercado paralelo. Neste artigo, mapeamos a rota dos dados roubados e explicamos como se proteger caso já tenha encontrado phishing ou como evitá-lo no futuro. Você pode ler o relatório detalhado e completo com informações técnicas na Securelist.

Coleta de dados

Os sites de phishing são cuidadosamente disfarçados para parecerem legítimos; às vezes, o design visual, a interface do usuário e até mesmo o nome de domínio são quase indistinguíveis dos verdadeiros. Para roubar dados, os invasores normalmente utilizam formulários HTML que solicitam que os usuários insiram suas credenciais de login, dados do cartão de pagamento ou outras informações confidenciais.

Assim que o usuário clicar em Fazer login ou Pagar, as informações são enviadas instantaneamente para os cibercriminosos. Algumas campanhas mal-intencionadas não coletam dados diretamente por meio de um site de phishing, mas se aproveitam de serviços legítimos, como o Google Formulários, para ocultar o servidor de destino final.

Um site falso da DHL. O usuário é solicitado a inserir o login e a senha da sua conta DHL real

Os dados roubados são normalmente transmitidos em uma das três formas seguintes ou usando uma combinação delas:

• E-mail. Esse método é menos comum hoje devido a possíveis atrasos ou bloqueios.
• Bots do Telegram. Os invasores recebem as informações instantaneamente. A maioria desses bots é descartável, o que os torna difíceis de rastrear.
• Painéis de administração. Os cibercriminosos podem usar um software especializado para coletar e classificar dados, visualizar estatísticas, bem como verificar automaticamente as informações roubadas.

Que tipo de dados os phishers procuram?

A variedade de dados buscados por cibercriminosos é bastante ampla.

• Dados pessoais: números de telefone, nomes completos, e-mail, registro e endereços residenciais. Essas informações podem ser usadas para criar ataques direcionados. As pessoas muitas vezes caem em golpes justamente porque os invasores têm uma grande quantidade de informações pessoais, sabem o nome da vítima, onde ela mora e quais serviços utiliza.
• Documentos: dados e digitalizações como documentos de identidade, carteiras de motorista, seguros e IDs fiscais, entre outros. Os criminosos usam essas informações para roubar a identidade, solicitar empréstimos e verificar a identidade ao fazer login em bancos ou portais eletrônicos do governo.
• Credenciais: logins, senhas e códigos 2FA únicos.
• Biometria: verificações faciais, impressões digitais e amostras de voz usadas para gerar deepfakes ou contornar a autenticação de dois fatores.
• Informações de pagamento: dados de cartões bancários e de carteiras de criptomoedas.
• E muito mais.

De acordo com nossa pesquisa, a grande maioria (88,5%) dos ataques de phishing realizados entre janeiro e setembro de 2025 teve como alvo credenciais de contas on-line, e 9,5% foram tentativas de obter dados pessoais dos usuários, como nomes, endereços e datas. Por fim, 2% dos ataques de phishing tiveram como foco o roubo de dados de cartões bancários.

Distribuição de ataques por tipo de dado visado, de janeiro a setembro de 2025

O que acontece depois com os dados roubados?

Nem todos os dados roubados são usados diretamente pelos invasores para transferir dinheiro para suas próprias contas. Na prática, os dados quase nunca são usados imediatamente. Em geral, acabam no mercado paralelo, onde chegam a analistas e corretores de dados. Uma jornada típica costuma seguir mais ou menos este caminho.

1.       Venda de dados em massa

Os conjuntos de dados brutos são agrupados em arquivos enormes e oferecidos em massa em fóruns da dark Web. Esses dumps geralmente contêm informações irrelevantes ou desatualizadas, por isso são relativamente baratos, custando a partir de US$ 50.

2.       Classificação e verificação de dados

Esses arquivos são comprados por hackers que atuam como analistas. Eles categorizam os conjuntos de dados e verificam sua validade, checando se as credenciais de login funcionam para os serviços especificados, se são reutilizadas em outros sites e se coincidem com dados de vazamentos anteriores. Para ataques direcionados, os cibercriminosos compilam um dossiê digital. Ele armazena informações coletadas de ataques recentes e mais antigos, essencialmente uma planilha de dados pronta para ser usada em invasões.

3.       Revenda de dados verificados

Os conjuntos de dados classificados são oferecidos para venda novamente, agora a um preço mais alto, e não apenas na dark Web, mas também no Telegram, uma plataforma mais conhecida.

Um anúncio no Telegram para a venda de credenciais de contas de redes sociais.

Segundo o Kaspersky Digital Footprint Intelligence, os preços das contas variam conforme o tempo de uso, o uso de autenticação de dois fatores (2FA), os cartões bancários vinculados e a base de usuários do serviço. Não é surpresa que o produto mais caro e procurado neste mercado seja o acesso a contas bancárias e carteiras de criptomoedas.

4.       Ataques repetidos

Depois que um cibercriminoso compra o dossiê digital de uma vítima, ele pode planejar seu próximo ataque. Ele pode usar a inteligência de código aberto para descobrir onde a pessoa trabalha e, em seguida, criar um e-mail convincente se passando pelo chefe dela. Como alternativa, ele pode invadir um perfil de rede social, extrair fotos comprometedoras e exigir um resgate pela devolução. No entanto, tenha certeza de que quase todos os e-mails de ameaça ou extorsão são apenas uma tática de intimidação dos golpistas.

Os cibercriminosos também usam contas comprometidas para enviar mais e-mails de phishing e links mal-intencionados aos contatos da vítima. Portanto, se você receber uma mensagem pedindo para votar na sobrinha em um concurso, emprestar dinheiro ou clicar em um link suspeito, terá todos os motivos para ficar em alerta.

O que fazer se seus dados forem roubados

1. Primeiro, tente se lembrar das informações que você inseriu no site de phishing. Se você forneceu dados do cartão de pagamento, entre em contato com seu banco imediatamente e solicite o bloqueio dos cartões. Se você inseriu um nome de usuário e senha que utiliza em outras contas, altere essas senhas imediatamente. Um gerenciador de senhas pode ajudar a criar e armazenar senhas fortes e exclusivas.
2. Ative a autenticação de dois fatores (2FA) sempre que possível. Para obter mais informações sobre o que é 2FA e como usá-la, leia nosso guia. Ao escolher um método 2FA, é melhor evitar o SMS, pois códigos de uso único enviados por mensagem de texto podem ser interceptados. O ideal é usar um aplicativo autenticador, como o Kaspersky Password Manager, para gerar códigos únicos.
3. Verifique as sessões ativas (a lista de dispositivos conectados) nas suas contas importantes. Caso veja um dispositivo ou endereço IP que não reconheça, encerre a sessão imediatamente. Em seguida, altere sua senha e configure a autenticação de dois fatores.

Como se proteger contra phishing

• Não clique em links de e-mails ou mensagens sem antes verificá-los com uma solução de segurança.
• Se você receber um e-mail suspeito, sempre verifique o endereço do remetente para ver se já teve algum contato com essa pessoa antes. Se alguém alegar representar uma autoridade governamental ou empresa, certifique-se de comparar o domínio do qual o e-mail foi enviado com o domínio do site oficial da organização. Nenhuma correspondência oficial deve vir de um serviço de e-mail gratuito.
• Use um aplicativo autenticador para fazer a autenticação de dois fatores.
• Crie senhas resistentes a hackers. Nossa pesquisa revela que os hackers conseguem descobrir quase 60% de todas as senhas no mundo em menos de uma hora. Como alternativa, considere mudar para chaves de acesso, pois oferecem uma proteção de conta muito mais robusta. No entanto, lembre-se de que elas também têm suas desvantagens.
• Lembre-se: usar a mesma senha em vários serviços é um erro crítico. Isso é exatamente o que é explorado pelos agentes mal-intencionados. Mesmo que você nunca tenha caído em um golpe de phishing, suas senhas e dados ainda podem ser expostas em vazamentos de dados, já que os cibercriminosos visam não apenas indivíduos, mas empresas inteiras. Este ano, o Identity Theft Resource Center já registrou mais de dois mil vazamentos de dados. Para minimizar os riscos, crie uma senha única e forte para cada conta. Você não precisa nem consegue memorizar todas elas. É melhor usar um gerenciador de senhas que gera e armazena senhas complexas com segurança, sincroniza-as em todos os seus dispositivos, preenche-as automaticamente em sites e aplicativos e alerta você se alguma das suas credenciais aparecer em um vazamento de dados conhecido.

Saiba mais sobre phishing e golpes:

• Como phishers e golpistas usam IA
• O que fazer ao receber um e-mail de phishing
• Extorsão por e-mail: como os golpistas recorrem à chantagem
• Golpes no Telegram com bots, brindes e criptomoedas
• Entre outros