Hélder Medeiros
A atividade maliciosa associada à época fiscal está a intensificar-se, de acordo com dados da Check Point Research, que identificam uma preparação prolongada das infraestruturas usadas em campanhas de phishing, fraude por domínios falsos e distribuição de malware. Em vez de ataques pontuais, os investigadores descrevem um trabalho prévio de vários meses, desenhado para coincidir com o período em que empresas e particulares trocam online informação fiscal, financeira e dados pessoais.
Entre setembro de 2025 e fevereiro de 2026, foram registados centenas de novos domínios com referências a impostos ou a nomes de autoridades tributárias. A evolução foi gradual no final do ano passado, mas ganhou tração a partir de novembro, sugerindo uma estratégia deliberada para explorar a janela fiscal.
Segundo a investigação, um em cada 15 novos domínios ligados ao tema fiscal foi classificado como malicioso ou suspeito, um indicador da crescente instrumentalização deste contexto por grupos criminosos. Em março de 2026, o volume voltou a subir e o nível de risco agravou-se, com um em cada 10 novos domínios registados nesse mês a ser sinalizado como perigoso, a proporção mais elevada observada no período em análise.
A investigação detetou ainda várias campanhas de phishing que replicam a imagem e a linguagem de autoridades fiscais. Entre os exemplos identificados estão domínios que imitavam o Internal Revenue Service (IRS) dos Estados Unidos e que apresentavam estruturas praticamente idênticas entre si, o que aponta para uma operação coordenada.
Nestes casos, os sites fraudulentos prometiam reembolsos fiscais elevados para induzir as vítimas a agir rapidamente. O objetivo passa pela recolha de dados críticos, como nome completo, número de segurança social, contacto telefónico e email, seguindo-se processos de falsa verificação de identidade que ampliam a extração de informação pessoal.
O risco estende-se ao correio eletrónico corporativo
O vetor de ataque não se limita aos websites. Em fevereiro de 2026, a mesma equipa identificou uma campanha de correio eletrónico malicioso dirigida a organizações em Espanha, construída para simular comunicações da Agência Tributária. A mensagem recorria a um endereço falsificado e a um assunto que remetia para uma alegada notificação fiscal de 2026.
O elemento central era um ficheiro executável malicioso classificado como Trojan Downloader, identificado como Trojan.Minix. Depois de aberto, o ficheiro funciona como ponto de entrada para ameaças adicionais, permitindo descarregar ferramentas de roubo de credenciais ou programas de registo de teclado, com potencial para comprometer sistemas empresariais e extrair dados sensíveis.
A Check Point sublinha que este padrão não é exclusivo de outros mercados. Ao longo dos últimos meses, também a Autoridade Tributária portuguesa tem vindo a alertar para ações maliciosas que recorrem à marca e à personificação da entidade nacional, sinal de que o risco é igualmente relevante para organizações em Portugal.
O contexto fiscal cria condições particularmente favoráveis a este tipo de fraude. A combinação entre grande volume de informação sensível, expectativa de comunicações oficiais e pressão para cumprir prazos curtos aumenta a probabilidade de erro humano, sobretudo em departamentos financeiros, administrativos e equipas com responsabilidades na gestão documental.
Para os decisores de compras tecnológicas e responsáveis de segurança, a leitura é clara. O reforço da monitorização de novos domínios, a deteção precoce de tentativas de phishing, o bloqueio da execução de ficheiros suspeitos e a formação contínua dos utilizadores mantêm-se como medidas centrais de mitigação.
A Check Point conclui que uma postura de segurança proativa, combinada com controlos rigorosos e literacia dos utilizadores, continua a ser a defesa mais eficaz contra ameaças cibernéticas intensificadas pela época fiscal.
