Accueil | Blog | Tax Season Cyber Scams in 2026: What the IRS Is Warning About and What Security Teams Are Seeing

Tax Season Cyber Scams in 2026: What the IRS Is Warning About and What Security Teams Are Seeing

Écrit par : Leah Koonthamattam et Victoire Razavi

6 min lire - mai 8, 2026

Pourquoi les fraudeurs fiscaux sont-ils si omniprésents cette saison ? Et qu'en est-il de l'état de la sécurité en ligne ?

Alors que la saison des impôts touche à sa fin, les courriels frauduleux inondent les boîtes aux lettres nord-américaines. Qu'il s'agisse de tentatives d'hameçonnage, de ransomwares ou d'attaques ciblées, les escroqueries en matière de cybersécurité liées à la période des impôts constituent une menace prioritaire qui peut entraîner des risques allant de la fuite d'informations d'identification à l'usurpation d'identité en passant par des escroqueries financières.

Ce que les analystes de CybelAngel ont vu pendant la saison des impôts

En enquêtant et en surveillant des milliers d'alertes par jour, les analystes en cybersécurité de CybelAngel ont une vision granulaire des menaces de la surface d'attaque qui façonnent la saison des impôts.

Between January and April 2026, the IRS Criminal Investigation division reported a 111.8% surge in identified tax fraud compared to the prior fiscal year, with total fraud reaching $4.5 billion according to IT Solutions of South Florida’s April 2026 security briefing. Microsoft Threat Intelligence observed a large-scale phishing campaign on February 10, 2026, sent to more than 29,000 users across 10,000 organisations, with 95% of targets based in the United States and financial services accounting for 19% of recipients. 17% of US adults reported encountering a tax-related scam in 2025, meaning nearly one in five taxpayers were directly targeted according to research published in March 2026.

This increase was expected and predicted by the US Internal Revenue Service (IRS) which warned taxpayers and businesses to watch out for common schemes and scams that threaten the leak of their tax and financial data. To this end, the IRS has published a list of the dozen most relevant cyberattacks that taxpayers should be aware of in 2025. This list prioritises phishing emails, fake tax preparer companies, and social media fuelled scams.

Selon la IRS Dirty Dozen 2026 announcement published April 3 2026, IRS impersonation by email and text is the number one threat this filing season, with scammers using alarming language and QR codes directing taxpayers to fake IRS websites to verify accounts, enter personal information or claim refunds.

1. Les attaques par hameçonnage et les escroqueries à l'usurpation d'identité de l'IRS

Depuis le début de l'année, plusieurs types de campagnes de phishing ont été signalés. Nombre d'entre elles comportent des signaux d'alerte tels que l'usurpation de l'identité d'un fiscaliste, de l'IRS ou d'un avis de droit.

Microsoft Threat Intelligence identified a broader IRS-themed phishing wave in February 2026 that targeted more than 29,000 users across 10,000 organisations, with attackers impersonating the IRS and claiming that irregular tax returns had been filed under recipients’ Electronic Filing Identification Numbers. The campaign specifically targeted accountants and tax preparers — the exact roles with access to the most sensitive financial data. Emails delivered malicious QR codes and fake W-2 documents to organisations in manufacturing, retail and healthcare.

L'usurpation de l'identité du site web de l'IRS est également une technique populaire utilisée par les attaquants au cours de cette période. Ces fraudes par courrier électronique sont souvent liées à des domaines comportant de légères fautes d'orthographe, des caractères supplémentaires ou des extensions de domaine inhabituelles telles que ".xyz", ".info" ou ".top", qui s'écartent très légèrement des domaines officiels de l'IRS. Un signal d'alarme difficile à détecter.

Une fois qu'elles sont cliquées, elles redirigent souvent les victimes vers de faux portails de l'IRS dans le but de tromper la personne et de lui faire fournir des informations financières sensibles, des numéros de sécurité sociale, des mots de passe et d'autres données confidentielles. D'après chercheurs en cybersécuritéen janvier 2025, au moins 158 domaines nouveaux et uniques ont été créés sur le modèle de "irs.gov", dans le but d'usurper l'identité des services légitimes de l'administration fiscale. En outre, près de 3 500 domaines ont été signalés comme étant malveillants ou utilisés pour des attaques de phishing au cours de cette période.

So how is AI making tax scams harder to detect in 2026?

Generative AI has fundamentally changed what tax phishing looks like. Where scam emails once arrived with obvious spelling errors and awkward formatting, AI now produces communications that mirror the exact tone, branding and language of the IRS, state tax agencies or popular tax software providers — making them effectively indistinguishable from legitimate communications without technical verification. Voice phishing has become an equally serious concern, with criminals using AI voice-cloning tools to generate audio that sounds like a known accountant, executive or IRS representative. A business owner may receive a voicemail that sounds exactly like their CPA asking them to confirm banking details before a filing deadline. Once they call back, they reach a scripted operation designed to extract sensitive information in real time.

2. Fuites de données pendant la saison des impôts

Outre l'usurpation d'identité sur les sites web et auprès de l'IRS, d'autres formes d'escroqueries liées à la saison des impôts ont également connu un pic, comme les campagnes de smishing et de vishing, dans lesquelles les cybercriminels utilisent des SMS et des appels téléphoniques pour mener des attaques de phishing, particulièrement utiles pour contourner l'authentification multi-facteurs.

Ces méthodes ont également été utilisées pour faire proliférer des logiciels malveillants et des virus conçus pour se déplacer verticalement et horizontalement au sein d'un réseau d'ordinateurs, ce qui entraîne d'autres fuites de données sensibles.

En février 2025, Microsoft a observé la campagne de logiciels malveillants Latrodectus qui ciblait les contribuables américains en utilisant des courriels d'hameçonnage sur le thème de l'IRS.

Une réponse récente de Microsoft sur les médias sociaux décrit la campagne de logiciels malveillants Lactodectus.

La campagne de logiciels malveillants Lactodectus, apparue pour la première fois en 2023, est un logiciel malveillant distribué par le biais d'un fichier PDF joint dans des courriels d'hameçonnage. Au premier trimestre, selon une publication de Microsoft, plusieurs milliers d'adresses électroniques américaines ont été ciblées par le groupe cybercriminel Storm-0249. Storm-0249 est un courtier d'accès connu pour être actif depuis 2021, et est crédité de plusieurs malwares catastrophiques tels que les malwares Bumblebee et BazaLoader, qui ont conduit à de nombreuses attaques de ransomware. L'acteur utilise généralement l'hameçonnage pour distribuer ses charges utiles malveillantes, à l'instar de la campagne qu'il a menée pendant la saison des impôts.

En ciblant les individus avec des messages mentionnant des "erreurs de déclaration d'impôts" et un "contrôle obligatoire de l'IRS", l'acteur malveillant joue sur les craintes et le stress liés à la déclaration d'impôts. Ces courriels mènent souvent à une page Docusign frauduleuse qui, une fois approuvée, lance l'installation du logiciel malveillant.

En outre, plusieurs entreprises ont signalé avoir reçu des courriels frauduleux auxquels étaient joints des PDF contenant des codes QR. Ces codes QR, une fois scannés, installent le logiciel malveillant Racoon0365, un outil qui imite la page de connexion à Microsoft 365 pour voler les informations d'identification et contourner les authentificateurs MFA de Microsoft.

Escroqueries aux préparateurs d'impôts et aux médias sociaux

La liste 2025 de l'IRS des escroqueries les plus courantes en matière de cybersécurité pendant la saison des impôts a mis en évidence les fraudeurs qui utilisent les médias sociaux et les podcasts, en se servant de ces plateformes pour entrer en contact avec les victimes. Les réseaux de médias sociaux sont de plus en plus exploité par des cybercriminels se faisant passer pour des "influenceurs" ou des escrocs qui offrent des conseils financiers trompeurs, promettant souvent aux contribuables des gains financiers et des remboursements d'impôts supplémentaires en échange du suivi de leurs instructions ou de leurs paiements.

Protégez votre marque avec les services de CybelAngel module de protection de la marque.

Parmi les escroqueries détectées figurent des demandes frauduleuses concernant le crédit d'impôt sur les carburants dans les déclarations fédérales et des investissements dans de fausses crypto-monnaies et plateformes. Certaines escroqueries impliquent de faux préparateurs d'impôts qui prétendent être des CPA (Certified Public Accountants) qualifiés offrant des services de déclaration d'impôts à bas prix ou gratuits. En accédant aux informations financières personnelles et sensibles de la victime, ces fraudeurs commettent une fraude fiscale en remplissant à tort des documents fiscaux en votre nom auprès de l'IRS. Ces tentatives d'usurpation d'identité entraînent des coûts et des efforts juridiques extrêmement élevés. En outre, ces informations sensibles peuvent également être utilisées pour accéder aux comptes bancaires des contribuables afin de commettre d'autres délits financiers.

Protégez vos employés et vous-même contre les escroqueries liées à la saison des impôts

Vous souhaitez rester en sécurité ?

Suivez ces trois étapes intégrales.

  • N'utilisez que des logiciels fiscaux sécurisés : l'IRS conseille de ne télécharger des logiciels fiscaux qu'à partir de sources officielles. Utiliser des solutions anti-phishing telles que des bloqueurs de publicité, des filtres anti-spam, des anti-logiciels espions pour limiter la propagation de l'installation de logiciels malveillants.
  • Normaliser l'AMF et la sensibilisation aux activités inhabituelles : Il est de la plus haute importance de normaliser l'utilisation de la MFA en plus des mots de passe complexes et uniques. En outre, la formation de vos employés à l'identification des tentatives d'hameçonnage et des activités suspectes dans les courriels, les SMS et les appels téléphoniques contribuera grandement à prévenir les erreurs humaines induites par le stress et l'anxiété au cours de la saison des impôts.
  • Gardez un œil sur les préparateurs de déclarations de revenus et les CPA non vérifiés : Sensibiliser à l'importance de ne prendre que des conseils fiscaux vérifiés et réputés. Lorsqu'une personne qui prétend être un CPA officiel prend contact avec vous, vous avez tout à fait le droit de vérifier son numéro de licence par le biais du site suivant Plate-forme de vérification de l'ACP. En outre, les préparateurs d'impôts doivent également être légitimés par un numéro d'identification fiscale (Preparer Tax Identification Number - PTIN) délivré par l'IRS après vérification. En outre, selon votre État, les préparateurs d'impôts peuvent également obtenir des licences ou un numéro d'identification fiscale électronique, qui peuvent être utilisés pour vérifier leur crédibilité.

Prêt à commencer ?

Connectez-vous avec nous

À propos de l'auteur

Leah Koonthamattam et Victoire Razavi

L'équipe REACT est un groupe d'élite d'analystes en cybersécurité qui travaille chez CybelAngel.

lire tous les articles