Trace Id is missing

Securitatea cibernetică în sezonul fiscal: Ce doresc infractorii cibernetici și pe cine vizează cel mai des. Oare pe dvs.?

Distribuiți
Ilustrație grafică reprezentând un laptop cu documente fiscale pe ecran, cu documente tipărite zburând spre un dosar cu mențiunea „impozit”

În contextul actual al amenințărilor, atacurile de phishing, la fel ca decesul și impozitele, sunt inevitabile. Pentru actorii de amenințare motivați financiar, presiunea termenului limită și schimburile amețitoare de formulare și documente care au loc în timpul sezonului fiscal creează o oportunitate tentantă de a desfășura campanii de phishing care să vizeze date cu risc ridicat provenind de la milioane de persoane fizice și juridice stresate și preocupate.

Deși oricine poate fi ținta unui atac de phishing în sezonul fiscal, anumite grupuri de persoane sunt mai vulnerabile decât altele. Printre țintele principale se numără persoanele care pot fi slab informate cu privire la metodele de comunicare ale IRS-ului: deținătorii de Cărți verzi, proprietarii de firme mici, noii contribuabili cu vârsta sub 25 de ani și contribuabilii mai în vârstă, de peste 60 de ani.

Acest raport special de investigare a amenințărilor din sezonul fiscal analizează tacticile, tehnicile și procedurile (TTP) pe care le utilizează cel mai frecvent actorii de amenințare în următoarele secțiuni:

  • Investigarea amenințărilor Microsoft descoperă o campanie de phishing din sezonul fiscal 2024, în care sunt descrise detalii despre o nouă tehnică de phishing pentru sezonul fiscal care utilizează capcane mascate în documente referitoare la contribuții fiscale furnizate de angajatori.
  • Actorii de amenințare se pretind a fi procesatori de plăți fiscale în e-mailuri de phishing, în care este descris modul în care Investigarea amenințărilor Microsoft a observat că actorii de amenințare utilizează siglele unor terți care procesează plățile de impozite federale.
  • Ce doresc infractorii cibernetici în perioada sezonului fiscal, în care identificăm diferitele tipuri de date cu risc ridicat care sunt vizate în mod obișnuit în perioada sezonului fiscal.
  • Cum vă obțin datele infractorii cibernetici, în care descriem tehnicile de inginerie socială legate de sezonul fiscal pe care actorii de amenințare le utilizează cel mai frecvent.
  • Cele mai bune practici de securitate cibernetică în sezonul fiscal, în care oferim cele mai bune practici și sfaturi utile pentru a vă păstra vigilența împotriva atacurilor de inginerie socială.

Investigarea amenințărilor Microsoft a observat deja activități de phishing specifice sezonului fiscal, inclusiv o campanie de la sfârșitul lui ianuarie 2024 în care s-au utilizat capcane deghizate în documente fiscale furnizate de angajatori.

Figurile de mai jos prezintă (1) capcana din e-mailul de phishing, (2) site-ul web rău intenționat și (3) și cele două fișiere executabile rău intenționate (malware) din această campanie:

Un e-mail de phishing din perioada sezonului fiscal remarcat de Investigarea amenințărilor Microsoft în ianuarie 2024.
Figura 1: Un e-mail de phishing care conține o atașare HTML care direcționează utilizatorul către o pagină de destinație falsă
Captură de ecran cu un site web rău intenționat
Figura 2: Utilizatorii au fost direcționați către o pagină web, pe care actorii de amenințare au făcut-o intenționat estompată, o tehnică de inginerie socială menită să sporească probabilitatea de a face clic. Odată ce țintele fac clic pe invitația „Descărcare documente”, malware-ul se instalează pe computerul lor.
Captură de ecran cu un Explorer Windows care prezintă două fișiere din folderul „programe”: "deepvau", o aplicație
Figura 3: Un fișier executabil rău intenționat, cu capacități de sustragere de informații, a fost plasat pe calculatorul țintei. Odată intrat în mediu, acesta va încerca să colecteze informații, inclusiv acreditări de conectare.

Actorii de amenințare își asumă identitatea unor entități oficiale

În alte campanii, Microsoft a observat că actorii de amenințare au utilizat în e-mailurile de phishing imagini preluate de pe site-uri web legitime ale unor terți care procesează plățile de impozite federale, pentru a-și crea o imagine convingătoare.

Deși aceste e-mailuri par legitime, contribuabilii trebuie să fie conștienți de faptul că autoritățile oficiale, cum ar fi IRS-ul (Internal Revenue Service), nu contactează contribuabilii prin e-mail, mesaje text sau apeluri telefonice în legătură cu declarațiile fiscale sau plățile de impozite.

În rare cazuri, infractorii cibernetici pot utiliza informațiile furate pentru a efectua o fraudă legată de rambursarea fiscală. În cazul acestei strategii, infractorii depun o declarație de rambursare fiscală în numele persoanei vizate și solicită o rambursare.1 Totuși, această abordare are o probabilitate scăzută de succes, având în vedere măsurile de protecție ale IRS. Cel mai probabil, un infractor cibernetic care vă accesează informațiile în perioada sezonului fiscal se va comporta la fel ca în orice altă perioadă a anului: va căuta modalități de a valorifica aceste informații. Astfel, aceștia ar putea deschide un card de credit în numele dvs., v-ar putea vinde datele sau accesul la acestea unui alt infractor cibernetic, v-ar putea accesa direct contul bancar pentru a iniția un transfer de fonduri sau ar putea face cumpărături online.

Figurile de mai jos prezintă (1) capcana dintr-un e-mail de phishing și (2) site-ul unei terțe părți autentice care procesează plăți:

Un e-mail de phishing cu o imagine de antet („autorizată IRS”) preluată de pe un site web autentic al unui procesator de plăți terț.
Figura 4: Un e-mail de phishing utilizează o imagine de antet („autorizată IRS”) preluată de la ACI Payments, Inc., un procesator de plăți listat pe site-ul IRS.
O captură de ecran a unei pagini web care utilizează o imagine de antet „autorizată IRS” preluată de pe un site real al ACI Payments, Inc.
Figura 5: Exemplu de evidențiere a imaginii autentice „autorizată IRS” pe site-ul real al ACI Payments, Inc. .

Ce doresc infractorii cibernetici în perioada sezonului fiscal

În timpul sezonului fiscal, circulă o cantitate imensă de date financiare și de identitate confidențiale între persoanele fizice și anumite organisme, cum ar fi IRS și diferite tipuri de furnizori de servicii fiscale, cum ar fi software-ul de depunere a declarațiilor fiscale sau mărcile de pregătire a declarațiilor fiscale sau firmele locale de contabilitate și de impozitare, precum și întreprinzătorii individuali.

Printre datele cele mai expuse la risc2 se numără:

  • Identitate: Numerele de securitate socială, permisul de conducere sau cartea de identitate națională, detalii din pașaport, numerele de identificare a angajatorului (EIN), numerele din dosarul de autorizare centralizată (CAF)
  • Conturi financiare: Numere de conturi financiare, numere de carduri de credit și de debit (cu sau fără codul de securitate necesar)
  • Parole și acces: Parole de e-mail, numere de identificare personală (PIN-uri) și coduri de acces

În ceea ce privește riscul general reprezentat de mulțimea de date cu caracter personal care pot fi găsite în inboxurile de e-mail personale ale persoanelor obișnuite, expertul în infracțiuni cibernetice de la Investigarea amenințărilor Microsoft, Wes Drone, precizează: „În inboxurile personale de e-mail, utilizatorii pot deveni adunători de informații digitale, iar informațiile pe care le păstrează sunt extrem de valoroase pentru infractori.”

Acest risc nu se limitează doar la perioada sezonului fiscal. Drone subliniază că în contul de e-mail al persoanelor obișnuite se află corespondență și documente din aproape toate aspectele vieții private, iar sezonul fiscal este doar una dintre numeroasele ocazii prin care se încearcă furtul acestora.

„O grămadă de informații personale ajung la adresele noastre de email”, precizează Drone, „iar dacă un actor de amenințare are acces la adresa de e-mail, poate reseta parolele pentru toate celelalte conturi”.

Riscul la care sunt expuse persoanele fizice ar putea afecta și firmele. Conform lui Drone, dacă un actor de amenințare obține acces la căsuța de e-mail a unui angajat, acesta va putea instala malware în mediul angajatorului.

„Atunci putem vorbi despre o mulțime de posibile probleme”, spune Drone. „Un aspect important este compromiterea e-mailurilor de business”, caz în care vor începe să interacționeze cu furnizorii dvs. sau cu persoanele cu care derulați afaceri. Vor schimba numere de pe facturi, vor trimite facturi false și vor redirecționa bani, iar acestea pot duce la cheltuieli foarte mari.”

Cum obțin infractorii cibernetici datele dvs.

Deși tehnicile de phishing utilizate de infractorii cibernetici nu sunt noi, ele rămân extrem de eficiente. Indiferent de tipul lor, atacurile de phishing împotriva persoanelor fizice din sezonul fiscal vor duce, în principal, la una dintre aceste două consecințe: descărcarea de „infostealers” („hoți de informații”, un malware de tip cal troian) sau introducerea de către utilizatori a propriilor acreditări în pagini de destinație falsificate. Mai rar, este posibil ca phishingul să încerce să obțină acces pentru a descărca ransomware.

Campaniile de phishing din perioada sezonului fiscal încearcă să înșele utilizatorii, sugerând că ar proveni de la surse legitime, precum angajatorii și personalul de resurse umane, Internal Revenue Service (IRS), organizațiile de stat cu atribuții fiscale sau furnizorii de servicii fiscale, cum ar fi contabilii și serviciile de pregătire a declarațiilor fiscale (utilizând frecvent mărci și sigle de renume).

Printre tacticile obișnuite pe care infractorii cibernetici le utilizează pentru a-și înșela țintele se numără falsificarea paginilor de destinație ale unor servicii sau site-uri web autentice, utilizarea unor adrese URL care par corecte din punct de vedere vizual, deși nu este așa (domenii homoglife) și personalizarea linkurilor de phishing pentru fiecare utilizator.

Drone precizează: „Motivul pentru care aceste campanii de phishing din sezonul fiscal continuă să funcționeze, și asta de ani de zile, este că nimeni nu vrea să primească ceva de la IRS.” Drone a remarcat că primirea de mesaje legate de impozite poate provoca anxietate imediat ce acestea ajung în inbox.

„Bineînțeles că populația nu vrea să-și piardă rambursarea sau să i se sustragă rambursarea”, continuă el. „Infractorii exploatează aceste temeri și trăiri prin ingineria lor socială pentru a stârni anxietate, creând dorința de a face clic urgent și de a acționa imediat.”

Deși actorii de amenințare utilizează o varietate de capcane înfățișând diferite organizații, e-mailurile de phishing au anumite caracteristici comune.

  • Elementul A – Branding: O caracteristică menită să vă slăbească apărarea. Infractorii utilizează mărci pe care le recunoașteți și pe care vă așteptați să le vedeți în această perioadă a anului, cum ar fi cea a IRS-ului sau a companiilor și serviciilor de pregătire a impozitelor.
  • Elementul B – Conținutul afectiv: Cele mai eficiente capcane de phishing sunt cele ale căror mesaje trezesc emoții. În timpul sezonului fiscal, infractorii profită atât de speranță (Aveți o rambursare mare și neprevăzută!), cât și de teamă (Rambursarea dvs. se află în așteptare sau aveți de plătit o penalitate uriașă).
  • Elementul C – Caracterul urgent: Din punctul de vedere al infractorilor cibernetici, urgența îi determină frecvent pe utilizatori să acționeze în moduri neobișnuite. În cazul urgenței, se va produce opusul a ceea ce doriți să se întâmple sau să nu se întâmple dacă nu acționați înainte de data limită.
  • Elementul D – Clicul: Fie că este vorba despre un link, buton sau cod QR, infractorii vor, în cele din urmă, să faceți clic în afara inboxului dvs. și să le accesați site-ul web rău intenționat.
Un laptop afișează un exemplu de e-mail de phishing cu pictograme care indică aspecte ale imaginii care vor fi explicate în articol.
Figura 6: Bulele cu litere evidențiază unele dintre caracteristicile principale ale unei capcane de phishing prin e-mail.

Cea mai bună apărare împotriva infractorilor cibernetici, atât în sezonul fiscal, cât și pe tot parcursul anului, este informarea și o bună igienă cibernetică. Prin informare se înțelege conștientizarea phishingului – cunoașterea modalităților de phishing și a ceea ce trebuie să faceți atunci când le întâlniți. O bună igienă cibernetică înseamnă implementarea unor măsuri de securitate de bază, cum ar fi autentificarea multifactor pentru conturile financiare și de e-mail.

Pe măsură ce se apropie ziua declarării veniturilor în Statele Unite ale Americii, pe 15 aprilie, iată câteva recomandări suplimentare pentru a ajuta utilizatorii și apărătorii să rămână vigilenți împotriva amenințărilor de natură fiscală.

Șapte moduri prin care vă puteți proteja de phishing

Un atac de phishing poate duce la scurgerea de informații confidențiale, la infectarea rețelelor, la revendicări financiare, la coruperea datelor sau chiar mai rău, așadar, iată cum să preveniți acest lucru.3
  • Inspectați adresa de e-mail a expeditorului. Este totul în ordine? Un caracter prost așezat sau o ortografie neobișnuită ar putea semnala un fals.
  • Atenție la e-mailurile cu saluturi generice („Dragă client”, de exemplu) care vă cer să acționați urgent.
  • Căutați informații de contact verificabile ale expeditorului. Dacă aveți îndoieli, nu răspundeți. În schimb, începeți un nou e-mail pentru a răspunde.
  • Nu trimiteți niciodată informații confidențiale prin e-mail. Dacă trebuie să transmiteți informații confidențiale, utilizați telefonul.
  • Gândiți-vă de două ori înainte de a face clic pe linkuri neprevăzute, mai ales dacă acestea vă îndrumă să vă autentificați în contul dvs. Pentru a fi în siguranță, conectați-vă de pe site-ul oficial.
  • Nu deschideți atașările e-mailurilor de la expeditori necunoscuți sau de la prieteni care nu au obiceiul de a vă trimite atașări.
  • Instalați un filtru de phishing pentru aplicațiile de e-mail și activați filtrul de spam în conturile de e-mail.

Activați autentificarea multifactor (MFA)

Doriți să reduceți probabilitatea de reușită a atacurilor asupra conturilor dvs.? Activați MFA. Autentificarea multifactor, după cum sugerează și numele, necesită doi sau mai mulți factori de verificare.

Prin activarea MFA, chiar dacă un atacator face rost de numele dvs. de utilizator și de parolă, nu va putea avea acces la conturile și la informațiile dvs. personale. Faptul de a compromite mai mult de un singur factor de autentificare reprezintă o provocare semnificativă pentru atacatori, deoarece cunoașterea (sau spargerea) unei parole nu va fi suficientă pentru a obține acces la un sistem. Cu MFA activată, puteți preveni 99,9% din atacurile asupra conturilor.4

Articole asociate

Principiile de bază ale igienei cibernetice previn 99% dintre atacuri

Principiile de bază ale igienei cibernetice rămân cel mai bun mod de a apăra identitățile, dispozitivele, datele, aplicațiile, infrastructura și rețelele unei organizații împotriva a 98% din totalul amenințărilor cibernetice. Descoperiți sfaturi practice într-un ghid cuprinzător.
Aflați mai multe

Explicarea compromiterii e-mailului de business

Expertul în infracțiuni digitale Matt Lundy oferă exemple de compromitere a e-mailurilor de business și explică unul dintre cele mai comune și mai costisitoare tipuri de atacuri cibernetice.
Aflați mai multe

Alimentarea din economia bazată pe încredere: frauda prin inginerie socială

Explorați un peisaj digital în evoluție în care încrederea este atât o valoare, cât și o vulnerabilitate. Descoperiți tacticile de fraudă prin inginerie socială pe care atacatorii cibernetici le utilizează cel mai frecvent și analizați strategiile care vă pot ajuta să identificați și să depășiți amenințările de inginerie socială concepute pentru a manipula natura umană.
Aflați mai multe

Urmăriți Microsoft Security