在免費的網路安全性偵探遊戲中追蹤您的對手。立即開打。

報稅季和網路安全性：網路罪犯的覬覦以及其針對的主要目標。是你嗎？

共用

在當今的威脅形勢下，網路釣魚攻擊（如死亡和稅收）是無可避免的。對於謀財求利的威脅行為者來說，報稅季的截止日期壓力以及表單和文件的瘋狂交換創造了一個有吸引力的機會，可以部署針對來自數百萬倍受壓力和干擾的個人和企業的高風險數據的網路釣魚活動。

儘管每個人都可能成為納稅季節網路釣魚的目標，但某些人群比其他人群更容易受到攻擊。主要目標包括可能不太了解國稅局參與方式的個人——綠卡持有人、小企業主、25 歲以下的新納稅人和 60 歲以上的老年納稅人。

這份特殊的報稅季威脅情報報告調查了威脅參與者在以下部分中最常用的策略、技術和程式(TTP)：

Microsoft 威脅情報揭示了 2024 年報稅季網路釣魚活動，其中描述了一種納稅季新網路釣魚技術的詳細資訊，該技術以偽裝成僱主提供的稅務相關文件為誘餌。
威脅行為者在網路釣魚電子郵件中冒充報稅處理人員，其中描述了 Microsoft 威脅情報如何觀察使用第三方聯邦報稅處理人員徽標的威脅行為者。
網路罪犯在納稅季覬覦什麼，我們在其中確定了報稅時通常針對的不同類型的高風險數據。
網路罪犯如何獲取您的資料，我們在其中描述了威脅行為者最常使用的以報稅季為主題的社交工程技術。
報稅季網路安全性最佳做法，我們在其中提供了最佳做法和可行建議，以保持警惕，防範社交工程攻擊。

Microsoft 威脅情報已經觀察到報稅季網路釣魚活動，包括 2024 年 1 月底起使用偽裝成僱主提供的稅務相關文件的誘餌的活動。

下圖顯示了（1）網路釣魚電子郵件誘餌，（2）惡意網站，以及（3）此活動中的兩個惡意可執行檔（惡意軟體）：

Microsoft 威脅情報在 2024 年 1 月觀察到的報稅季網路釣魚電子郵件。

圖 1：網路釣魚電子郵件包含一個 HTML 附件，該附件將使用者定向到虛假登錄頁面

圖 2：使用者被引導到一個網頁，威脅行為者故意讓網頁模糊不清，這是一種意在增加點擊可能性的社交工程技術。一旦目標對象點擊「下載文件」提示，惡意程式碼就會安裝在電腦上。

Windows 檔案總管的螢幕擷取畫面顯示了「Programs」資料夾中的兩個檔案：「deepvau", 一個應用程式

圖 3：具有資訊竊取功能的惡意可執行檔已置放於目標的電腦。進入環境後，它的企圖是收集包括登入認證在內的資訊。

威脅行為者冒充官方實體

在其他活動中，Microsoft 觀察到威脅行為者在其網路釣魚電子郵件中使用從合法的第三方聯邦納稅處理商網站獲取的圖片，以顯得令人信服。

儘管這些電子郵件看起來合法，但納稅人應該知道，國稅局等官方實體不會通過電子郵件、簡訊或電話就退稅申報表或繳稅問題發起聯繫。

在極少數情況下，網路罪犯可能會使用被盜資訊進行退稅欺詐。在這個特定方案中，罪犯以目標者名義提交報稅申報表並要求退稅。¹然而，鑒於美國國稅局的保障措施，這種方法的成功概率很低。更有可能的結果是，像網路罪犯在一年中的任何時候所做的那樣，在報稅季時訪問您的資訊的網路罪犯很可能會尋找將這些資訊變現的方法。這可能包括以您的名義開立信用卡、出售資料或訪問其他網路罪犯、直接訪問您的銀行帳戶以發起資金轉帳或在線購物。

下面顯示了（1）網路釣魚電子郵件誘餌和（2）正版第三方處理器網站的圖表：

圖 4：網路釣魚電子郵件使用的標頭圖片 (經美國國稅局授權)，取自美國國稅局網站上支付服務商清單上的一家業者 (ACI Payments, Inc.)。

使用經授權的國稅局標題圖片的網頁螢幕截圖，該圖像取自ACI Payments,Inc. 的真實網站

圖 5：如何在 ACI Pay 的真實網站上突出顯示「經授權的國稅局」圖片的切實示例。

網路罪犯在報稅時的覬覦

在報稅季，大量敏感的財務和身份資料在個人和組織（如國稅局）和不同類型的稅務服務提供者之間來回流動，如報稅軟體或報稅品牌或當地會計和稅務公司與獨資經營者。

一些風險最高的資料²包括：

身分識別：社會安全號碼、駕駛執照或州身份證、護照詳細資訊、僱主識別號碼(EIN)、集中授權檔(CAF)號碼
財務帳戶：財務帳號、信用卡和轉帳卡號碼（附帶或不帶任何必需的安全性代碼）
密碼和存取：電子郵件密碼、個人識別碼(PIN)和存取代碼

關於普通人個人電子郵件收件匣中大量個人資料的一般風險，Microsoft 威脅情報網路犯罪專家 Wes Drone 解釋說：「人們可以成為電子郵件收件匣的數位囤積者，他們保存的資訊對犯罪分子極具價值。」

這種風險不僅限於報稅時間。Drone 指出，普通人的電子郵件帳戶幾乎包含來自其個人生活各方面的信函和文件，而報稅季不過是試圖竊取它們的眾多場合之一。

「您說出什麼，它就會發送到您的電子郵件位址，」Drone 解釋道，「如果威脅行為者可以訪問您的電子郵件地址，他們可以重置您所有其他帳戶的密碼。」

個人面臨的風險也可能成為企業面臨的風險。根據 Drone 的說法，如果威脅行為者獲得了對員工電子郵件的訪問許可權，他們可能會在雇主的環境中安裝惡意軟體。

「我們正在的是談論各種可能的問題，」Drone 說。「一大要務是商業電子郵件入侵，他們在其中將開始與您的供應商或與您有業務往來的人接觸。他們會更改發票上的數字、發送假發票和重定向資金，這可能是一項代價不菲的嘗試。」

網路罪犯如何取得您的資料

雖然網路罪犯使用的網路釣魚技術並不新穎，但它們仍然非常有效。無論變化如何，在報稅季節針對個人的網路釣魚攻擊將主要導致以下兩種結果之一：下載信息竊取程式（一種特洛伊木馬惡意軟體）或使用者將其憑據輸入欺騙性登錄頁面。不太常見的是，網路釣魚者可能設法獲取存取，以便下載勒索軟體。

報稅季網路釣魚活動試圖誘騙使用者相信他們代表合法來源，例如僱主和人力資源人員、美國國稅局(IRS)、州級稅務相關組織或稅務相關服務提供者，如會計師和報稅服務（時常使用大型、值得信賴的品牌和徽標）。

網路罪犯用來欺騙目標的常見策略包括真實服務或網站的詐騙登錄頁面，使用貌似正確的 URL，儘管並不其然（同形域），以及為每個使用者自定義網路釣魚連結。

Drone 解釋說：「這些報稅季網路釣魚活動之所以繼續奏效——而且已經奏效多年——是因為無人願意從國稅局那裡得到什麼。」 Drone 觀察到，一收到與稅務相關的收件匣消息就會引起人們焦慮。

「當然，人們不想錯過獲得退款的機會，也不想遭遇退款失竊，」他繼續說道。「罪犯在其社交工程中利用這些恐懼和情緒來引發焦慮，創造一種迫切地點擊並為所當為的意願。」

儘管威脅行為者使用主打不同組織的各種誘餌，但網路釣魚電子郵件具有某些共同特徵。

項目 A – 商標:旨在降低防禦能力的特徵。罪犯使用您認識並期望在每年此時所見的商標，例如美國國稅局或報稅公司和各種服務的商標。
項目 A – 情緒內容:最有效的網路釣魚誘餌是那些傳訊會增強情緒的誘餌。在報稅季，罪犯會利用期許（您有一筆意想不到的大筆退稅！）以及恐懼（您的退稅被擱置，或者有巨額罰款）。
項目 C – 緊迫感:對於網路罪犯來說，緊迫感往往會讓人們以原本不會的方式行事。在緊急情況下，除非您在截止日期前採取行動，否則您希望發生或不發生的事情反會發生。
項目 D – 點擊:無論是鏈接、按鈕還是二維碼，罪犯最終都希望您點擊離開收件匣並進入他們的惡意網站。