Golpes digitais do Imposto de Renda aplicam funções de QR Codes, malwares e IA

Pesquisadores da Check Point Research identificaram fraudes fiscais e conversas na dark web em análise feitas em alguns países. No Brasil, os cibercriminosos estão na ativa desde 15 de março com golpes alvejando os contribuintes; os especialistas dão dicas para driblar tais fraudes e golpes

Compartilhar:

Em muitos países é época de declarações de imposto de renda, um período em que os cibercriminosos se valem de técnicas de ameaças e ataques cibernéticos de olho nas restituições. Normalmente, os atacantes aproveitam a distribuição de arquivos maliciosos que se disfarçam de arquivos e aplicativos oficiais. Na verdade, isso é tão difundido que a Receita Federal no Brasil divulga alertas e orientações para os contribuintes não caírem em golpes e fraudes fiscais.

 

No ano passado, os pesquisadores da Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, já haviam observado uma reviravolta com a descoberta sobre como o ChatGPT pode criar e-mails de phishing convincentes relacionados ao imposto de renda. E este ano isso não será diferente.

 

No Brasil, a Receita Federal informa e orienta constantemente sobre as fraudes e os golpes em que os cibercriminosos tentam se passar pelo órgão, falsificam aplicativo da declaração do IRPF, enviam e-mails de phishing. No último dia 3 de abril, a Receita Federal alertou também a respeito do golpe do “Erro na Declaração do Imposto de Renda”.

 

“Já avistamos a formação de um tsunami de fraude fiscal. Os cibercriminosos estão aproveitando a IA, esquemas avançados de phishing e até mesmo QR codes para enganar as pessoas e ‘sacar’ suas restituições do IR”, alerta Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil.

 

Com o retorno do malware Qbot, principalmente no Brasil cujo índice de impacto foi de 14,76% contra as organizações no país, quase três vezes mais que o impacto global (3,39%), é preciso ter cada vez mais atenção aos golpes digitais. O Qbot evoluiu para um serviço de entrega de malware para roubo de credenciais usado para diversas atividades cibercriminosas, incluindo ataques de ransomware e distribuição por meio de campanhas de phishing. Além disto, uma organização no Brasil está sendo atacada por várias ciberameaças em média 1.770 vezes por semana nos últimos seis meses (outubro 2023 a março 2024), em comparação com 1.155 ataques por organização globalmente.

 

Ataques a impostos no mundo

A equipe da Check Point Research encontrou vários casos de phishing e malware, ataques por QR Code e uso de IA para ataques e golpes relacionados aos impostos em que o objetivo é induzir o contribuinte a fornecer informações confidenciais ou dinheiro.

 

“Também identificamos a venda de documentos fiscais e financeiros na dark web, à medida que hackers procuram registrar impostos em nome dos contribuintes a fim de roubar suas restituições. Nossas recomendações neste período é para que as pessoas estejam bem atentas ao baixarem aplicativos da declaração, aos e-mails em nome dos órgãos federais fiscais – sendo que em vários países, tais instituições ainda enviam suas comunicações via os correios tradicionais”, informa Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Research.

 

Ataque do QR Code fiscal

Neste ataque, os cibercriminosos estão se passando pelo órgão fiscal. No caso analisado, os pesquisadores da CPR identificaram o órgão do Reino Unido, o IRS (Internal Revenue Service). O golpe consiste em um e-mail no qual está um PDF malicioso anexado e com um padrão na linha de assunto de “{Nome do/da contribuinte} Declaração Anual Restituição em 3x {Nome da empresa}. O arquivo PDF aparentemente se faz passar por uma correspondência oficial do IRS que informa à vítima que há documentos aguardando por ela.

 

Na parte inferior do documento do PDF, há um código QR que direciona a vários sites maliciosos diferentes. Todos eles são sites de verificação, alguns com um padrão que atualmente levam a sites maliciosos inativos.

 

Nesses ataques via QR Code, a solicitação inicial é semelhante, mas o destino da cadeia de redirecionamento é bem diferente. O link procura onde o usuário está interagindo com ele e se ajusta de acordo; por exemplo, se o usuário estiver usando um Mac aparece um link, mas se for em um smartphone Android, aparecerá outro link. O objetivo final é o mesmo: instalar malware no endpoint do usuário final e, ao mesmo tempo, roubar credenciais.

 

O esquema fiscal “Devemos dinheiro a você”

Na Austrália, os pesquisadores viram um golpe de phishing que supostamente foi enviado pelo “ATO Taxation Office”. Na verdade, foi enviado de um endereço iCloud. Neste e-mail, o assunto é “Devemos dinheiro a você – registre seus dados bancários hoje mesmo”. O e-mail direciona o usuário para este link, no qual é solicitado ao contribuinte inserir suas credenciais.

 

Restituições à venda

Quando as pessoas declaram os seus impostos, esperam que estes vão diretamente para o governo. Elas não esperam que suas informações privadas caiam nas mãos de hackers. Mas, na dark web, os pesquisadores da CPR encontraram um mercado próspero para documentos fiscais. “Vimos hackers vendendo formulários de declaração do Reino Unido legítimos; estes são formulários reais, de pessoas reais, que não sabem o que está acontecendo”, avisa Shykevich. “Esses documentos estão sendo vendidos por até US$ 75 cada, embora alguns ofereçam descontos por atacado de até US$ 10. Um hacker até ofereceu 50 formulários do Reino Unido.”

 

Outra tática que os hackers estão usando é oferecer contas bancárias para reembolso de depósitos. O autor da ameaça oferece um número de conta bancária para o depósito do reembolso; por sua vez, o hacker envia o dinheiro para outros hackers, recebendo uma pequena porcentagem. No Brasil, tal prática aconteceu no ano passado e vem sendo novamente aplicada.

 

Assistente fiscal ChatGPT

Em 2023, os pesquisadores da CPR descobriram como o ChatGPT pode criar e-mails de phishing convincentes relacionados a imposto de renda. Eles solicitaram ao ChatGPT para que produzisse o texto de um e-mail que continha linguagem fiscal fraudulenta. Isso resultou em um e-mail convincente sobre o Crédito de Retenção de Funcionários. É preciso muita atenção à proliferação de campanhas de phishing e malware geradas por IA.

 

Aos contribuintes, os pesquisadores da Check Point Software destacam as principais dicas de proteção para se manterem seguros ao declararem e receberem restituição do imposto de renda: A Receita Federal do Brasil reitera que não envia comunicações por e-mail ou mensagens de texto solicitando informações fiscais, cadastrais e financeiras dos contribuintes. Também é necessário ficar atento a truques para identificar e-mails de phishing, inclusive aqueles gerados por IA.

Entre essas práticas, deve-se ter cuidado com e-mails com anexos suspeitos, como arquivos ZIP ou documentos que exigem ativação de macros. Além disso, embora a IA tenha melhorado a qualidade dos e-mails de phishing, inconsistências no idioma ou no tom e grafia ainda podem ser sinais de alerta. Por fim, qualquer e-mail que solicite informações confidenciais ou faça exigências incomuns deve ser tratado com ceticismo.

 

Recomenda-se ainda não responder, não clicar em links nem abrir anexos. Interagir com um e-mail suspeito apenas aumenta o risco. Em vez disso, denunciar e-mails suspeitos antes de excluí-los pode ajudar a proteger outras pessoas de serem vítimas de golpes semelhantes. Adotar soluções antiphishing é altamente recomendável também, pois ferramentas que oferecem proteção abrangente contra tentativas de phishing protegem as comunicações digitais.

Conteúdos Relacionados

Security Report | Overview

Violações de dados geram perda de 18% no PIB nacional, aponta Instituto

Estudo elaborado pelo Instituto Nacional de Combate ao Cibercrime (INCC) mostra impactos preocupantes dos custos de violações de dados no...
Security Report | Overview

Setor financeiro no Brasil sofreu cerca de 1.774 ciberataques por semana, diz estudo

Globalmente, o setor bancário sofreu uma média de 1.696 ciberataques semanais por organização nos últimos seis meses, e as ameaças...
Security Report | Overview

Relatório alerta sobre brechas em sistemas Microsoft, Facebook e WordPress

Estudo da Redbelt também destaca um anúncio realizado pela divisão de nuvem do Google que aplicará a autenticação multifator (MFA)...
Security Report | Overview

Mobly forma parceria para ampliar visibilidade de SI e reduzir falsos positivos

Ambiente implementado pela Add Value permitiu a integração de solução CrowdStrike que melhorou a visibilidade e o controle sobre os...