A previsão é de um aumento significativo da atividade maliciosa associada ao período fiscal de IRS, com cibercriminosos a prepararem campanhas de phishing, domínios fraudulentos e distribuição de malware com vários meses de antecedência.
O alerta é da empresa de soluções de cibersegurança Check Point, com o departamento de investigação a revelar que os atacantes não atuam de forma oportunista, mas constroem infraestruturas dedicadas para explorar o período em que indivíduos e organizações trocam dados financeiros e pessoais sensíveis online.
Crescimento de domínios maliciosos relacionados com impostos
A análise da Check Point Research mostrou que entre setembro de 2025 e fevereiro de 2026, foram registados centenas de novos domínios com palavras chave relacionadas com impostos ou com nomes de autoridades fiscais. A atividade aumentou progressivamente no final de 2025 e intensificou se a partir de novembro, evidenciando uma preparação deliberada para campanhas associadas ao período fiscal do IRS.
Dados da Check Point Research indicam que um em cada 15 novos domínios relacionados com impostos já foi classificado como malicioso ou suspeito, demonstrando a dimensão do abuso deste tema por parte dos cibercriminosos. Em março de 2026, tanto o volume como o risco aumentaram ainda mais, com o número de domínios recentemente registados a crescer e a proporção de domínios perigosos a atingir o nível mais elevado do ano. Um em cada 10 novos domínios registados nesse mês foi sinalizado como arriscado.
Campanhas de phishing que imitam autoridades tributárias
A investigação identificou múltiplos domínios de phishing que se fazem passar pelo Internal Revenue Service, IRS, dos Estados Unidos, incluindo 2025irswebsiteislive[.]live e irstax refund[.]xyz. Estes domínios apresentam conteúdos e funcionalidades praticamente idênticos, sugerindo uma campanha coordenada.
Os websites fraudulentos atraem as vítimas com promessas de reembolsos fiscais elevados, como pagamentos semanais de 1.400 dólares ou transferências únicas de 38.700 dólares. Para receber estes valores fictícios, as vítimas são incentivadas a fornecer dados sensíveis, incluindo nome completo, número de segurança social, telefone e email, seguidos de um processo de verificação de identidade que indica recolha massiva de dados pessoais.
Emails maliciosos direcionados a autoridades tributárias
Mas, os investigadores indicam que os ataques relacionados com a época fiscal não se limitam a websites fraudulentos. Em fevereiro de 2026, a Check Point Research identificou uma campanha de email malicioso que imitava a autoridade fiscal espanhola, Agencia Tributaria, AEAT.
A mensagem foi enviada a partir de um endereço falsificado, agenciatributaria@correo.aeat.es, com o assunto “AEAT, aviso de notificação 2026”. O email incluía um anexo executável malicioso classificado como Trojan Downloader, Trojan.Minix, que atua como loader e descarrega payloads adicionais.
Depois de executado, o malware permite a instalação de ameaças secundárias, incluindo ferramentas de roubo de credenciais ou keyloggers, que podem conduzir ao comprometimento do sistema da vítima e à exfiltração de dados sensíveis.
Também, ao longo dos meses a Autoridade Tributária portuguesa tem vindo a alertar para diversas ações maliciosas descobertas com recurso à marca da entidade fiscal portuguesa e sua personificação.
Período fiscal de declarações de IRS cria condições ideais para ataques
A época fiscal reúne várias condições que facilitam a atividade criminosa, incluindo elevado volume de dados sensíveis, comunicações oficiais esperadas e pressão para agir rapidamente. Os dados da Check Point Research mostram que os cibercriminosos continuam a refinar as suas táticas e a expandir o alcance das campanhas.
À medida que os prazos fiscais se aproximam, a Check Point recomenda que organizações e utilizadores reforcem a vigilância, monitorizem novos domínios registados, identifiquem tentativas de phishing precocemente e impeçam a execução de ficheiros maliciosos.
A empresa Check Point também recomenda que seja adotada uma postura de segurança proativa, combinada com formação de utilizadores e controlo rigoroso de ameaças, pois esta continua a ser a defesa mais eficaz contra ataques cibernéticos relacionados com o período fiscal.
