Declaração de impostos nos EUA são vendidos na internet obscura

(Bloomberg) -- A temporada de declarações de impostos nos EUA é um prazer para os criminosos cibernéticos.

A ideia de que todos esses dados pessoais estejam disponíveis nos documentos fiscais inspira uma avalanche de criatividade assustadora para a fraude. Depois as advertências se acumulam: somos advertidos para tentativas de roubo dos nossos dados nos e-mails da IRS (Receita Federal dos EUA); nossas empresas nos mandam para cursos sobre como identificar e-mails com phishing; lemos sobre as novas vítimas nas notícias.

O que não vemos é como nossos dados são comprados e vendidos, e quanto os fraudadores cobram a outros fraudadores por nossos dados. O blog Krebs on Security ofereceu uma dica neste ano, quando seu fundador, Brian Krebs, esbarrou com algo que ele não tinha visto antes na internet obscura: vendas a granel de formulários W-2. Um fraudador tinha feito phishing em uma empresa de preparação de impostos, segundo Krebs descobriu, e vendia 3.600 W-2 da Flórida neste submundo cibernético que, apesar de estar conectado à rede corriqueira, exige software especial ou autorização para ingressar nele.

Outra janela a esse mundo chegou em um novo relatório da equipe de pesquisa sobre segurança comercial da IBM, intitulado Cybercrime Riding Tax Season Tides. A empresa tem muito em jogo - ela vende serviços para proteger empresas de crimes cibernéticos -, fato que significa que ela também está bem posicionada para ver o que está acontecendo na terra das fraudes.

Armadilhas

Para ter uma ideia do auge dos e-mails com spam potencialmente malicioso sobre impostos, o grupo de pesquisa sobre segurança da IBM - a IBM X-Force - conferiu suas armadilhas para spams específicos que falam em impostos comuns. As armadilhas da IBM capturam 20 milhões de novas amostras de spam por dia, segundo a empresa. O grupo descobriu um incremento de mais de 6.000 por cento no número de e-mails com fraudes sobre impostos comuns pegos pelo sistema desde dezembro de 2016 até fevereiro de 2017. Uma busca mais genérica de spam sobre "impostos" revelou um aumento de 1.400 por cento no período. São como ursos indo até o rio enquanto os salmões nadam contra a corrente.

Os dados fiscais de um indivíduo valem muito mais que os dados de seu cartão de crédito. Dados roubados de cartões de crédito podem ser vendidos a US$ 1 ou dados de presente para consolidar a credibilidade na internet obscura, disse Limor Kessem, assessor executivo de segurança da IBM Security. Contas de cartões de crédito podem ser fechadas ou congeladas, e por isso elas têm pouca vida útil para o criminoso.

"Informações para preencher formulários impositivos provavelmente são o tipo mais exclusivo de cadastros que criminosos podem comprar na clandestinidade", disse Kessem, que acompanha esse mundo há oito anos. "Eles custam US$ 40 ou US$ 50, e diferentemente dos cartões de crédito, eles nunca expiram. As pessoas podem tentar conseguir empréstimos no nome de outra pessoa, fabricar identidades falsas com os nomes delas, obter crédito". E é claro, a meta principal é preencher uma declaração de imposto de renda com o nome de outra pessoa e ficar com o reembolso.