Criminosos cibernéticos estão se aproveitando da época de declaração do imposto de renda para enganar pessoas que possuem criptomoedas e obter suas frases de recuperação de carteira, criando sites governamentais falsos.
Há campanhas de phishing em andamento em muitos países. Pesquisadores da Kaspersky encontraram sites falsos que imitavam escritórios de impostos na Alemanha, França, Áustria, Suíça, Brasil, Chile e Colômbia.
Os esquemas alemães e franceses são agressivos. Os hackers dizem aos detentores de criptomoedas que as regras da UE exigem que eles "verifiquem" seus ativos, sob pena de multas de até € 1 milhão.
Portais fiscais falsos exigem frases-semente para carteiras de criptomoedas
Existe um padrão consistente nos ataques que visam criptomoedas. As vítimas acabam em sites que se parecem com sites fiscais legítimos, como o portal ELSTER da Alemanha ou um falso "Portal de Conformidade Fiscal de Criptomoedas" que imita o Ministério da Economia e Finanças da França.
Os sites informam aos usuários que seus ganhos em criptomoedas são isentos de impostos, mas somente após passarem por um processo de "verificação".
Ao final desse processo, a vítima é solicitada a fornecer sua frase mnemônica, que é a chave de recuperação que lhe dá controle total sobre uma carteira de criptomoedas.
A Kaspersky afirma que o site alemão falso tem como alvo usuários da Ledger, Trezor, Trust Wallet, MetaMask, Phantom, Coinbase e outros serviços de carteira digital conhecidos.
A versão francesa também tenta esvaziar contas no MetaMask, Binance, Coinbase, Trust Wallet e WalletConnect.
Os sites usam ameaças de ações judiciais caso as pessoas não atendam à solicitação. Essa é uma maneira de contornar o instinto básico de segurança que diz às pessoas para nunca compartilharem uma frase mnemônica.
Os detentores de criptomoedas não são os únicos alvos.
A Kaspersky encontrou um número ainda maior de sites de phishing nos mesmos países que estavam roubando informações pessoais de contribuintes comuns. Um site falso no Chile prometia um reembolso de impostos de cerca de US$ 375, mas, em seguida, debitava o dinheiro diretamente do cartão de crédito da vítima.
Na Colômbia, sites governamentais falsos enganaram pessoas, levando-as a baixar arquivos ZIP protegidos por senha e instalando malware em seus dispositivos.
Uma campanha francesa fingiu ser um auditor fiscal e enviou um PDF com malware em vez de um documento oficial, alertando as pessoas sobre declarações de imposto de renda incompletas.
No Brasil, golpistas criam sites que alegam ajudar as pessoas a declarar o imposto de renda mediante o pagamento de uma taxa. Em seguida, coletam nomes, números de telefone, endereços, datas de nascimento, endereços de e-mail e números dedentfiscal (CNPJ).
A Kaspersky afirmou que fornecer um TIN (Número de Identificação Fiscal) torna as vítimas vulneráveis a pedidos de empréstimo fraudulentos, contas governamentais invadidas e mais ataques de engenharia social.
Um ambiente de ameaças crescentes para os detentores de criptomoedas
Os esquemas de phishing fiscal expõem os detentores de criptomoedas a perigos de múltiplas frentes.
Em janeiro de 2026, o aplicativo francês de declaração de impostos sobre criptomoedas Waltio revelou que hackers do grupo “Shiny Hunters” alegaram ter roubado dados pessoais de aproximadamente 50.000 usuários, de acordo com Cryptopolitanda reportagem na época.
A Waltio, empresa que auxilia usuários no cálculo de ganhos de capital para fins de declaração de imposto de renda, afirmou que as informações roubadas incluíam endereços de e-mail e dados sobre saldos de criptomoedas. A França tem presenciado uma série de sequestros e invasões domiciliares relacionados a criptomoedas nos últimos meses, em parte devido ao vazamento de informações de detentores dessas criptomoedas.
Em abril de 2026, a Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky alertou sobre um novo Trojan de acesso remoto chamado CrystalX, vendido como serviço por assinatura no Telegram, que possui recursos de monitoramento da área de transferência. Hackers exploram esses recursos para capturar endereços de carteira copiados e substituí-los por endereços controlados pelo atacante.
O malware também rouba senhas de navegadores, Steam, Discord e Telegram, e permite que hackers controlem dispositivos infectados de qualquer lugar.
Uma autoridade tributária legítima jamais solicitará uma frase mnemônica para criptomoedas. Não existem portais de "verificação de carteira" para órgãos governamentais, e as normas da UE não exigem frases mnemônicas para criptomoedas sob nenhuma circunstância.
As pessoas não devem baixar arquivos de e-mails que alegam ser de autoridades fiscais. Além disso, devem, por padrão, considerar como golpe qualquer site que prometa ganhos com criptomoedas isentos de impostos.
