Trace Id is missing
Преминаване към основното съдържание
Security Insider

Киберсигурност в данъчния сезон: Какво искат киберпрестъпниците и към кого се насочват най-често. Може ли да сте вие?

Споделяне
рафична илюстрация, показваща лаптоп с данъчни документи на екрана, а хартиените документи летят в папка с надпис "tax"

В днешния пейзаж на заплахи фишинг атаките, подобно на смъртта и данъците, са неизбежни. За финансово мотивираните извършители на заплахи натискът за изтичане на крайния срок и трескавата размяна на формуляри и документи по време на данъчния сезон създават привлекателна възможност за разгръщане на фишинг кампании, насочени към високорискови данни от милиони стресирани и разсеяни физически и юридически лица.

Въпреки че всеки може да стане обект на фишинг в данъчния сезон, някои групи хора са по-уязвими от други. Основните цели включват лица, които може да са по-малко информирани за методите на ангажиране на IRS – притежатели на зелена карта, собственици на малък бизнес, нови данъкоплатци на възраст под 25 години и по-възрастни данъкоплатци над 60 години.

В този специален доклад за разузнаване за заплахи по време на данъчния сезон са разгледани тактиките, техниките и процедурите (TTP), които участниците в заплахите използват най-често в следните раздели:

  • Набор от ресурси на Microsoft срещу заплахи разкрива кампания за фишинг в данъчния сезон през 2024 г., в която са описани подробности за нова техника за фишинг в данъчния сезон, използваща примамки, маскирани като документи, свързани с данъци, предоставени от работодатели.
  • Участниците в заплахите се представят за обработващи данъчни плащания във фишинг имейли, в който се описва как Наборa от ресурси на Microsoft срещу заплахи е наблюдавал участници в заплахи, използващи лога на федерални обработващи данъчни плащания от трети страни.
  • Какво искат киберпрестъпниците по време на данъчно облагане, където определяме различните видове високорискови данни, които обикновено са обект на посегателство по време на данъчно облагане.
  • Как киберпрестъпниците се сдобиват с вашите данни, където описваме техниките за социално инженерство, свързани с данъчния сезон, които участниците в заплахите използват най-често.
  • Най-добри практики за киберсигурност по време на данъчния сезон, където предоставяме най-добри практики и приложими съвети за бдителност срещу атаки със социално инженерство.

Набор от ресурси на Microsoft срещу заплахи вече наблюдава фишинг активност в данъчния сезон, включително кампания от края на януари 2024 г., при която са използвани примамки, маскирани като документи, свързани с данъци, предоставени от работодатели.

На следващите фигури са показани (1) примамката на фишинг имейла, (2) злонамереният уебсайт, (3) и двата злонамерени изпълними файла – злонамереният софтуер – от тази кампания:

Фишинг имейл през данъчния сезон, наблюдаван от „Набор от ресурси на Microsoft срещу заплахи“ през януари 2024 г.
Фигура 1: Фишинг имейлът съдържа HTML прикачен файл, който насочва потребителя към фалшива целева страница
Екранна снимка на злонамерен уеб сайт
Фигура 2: Потребителите са насочени към уеб страница, която извършителите, представляващи заплаха, умишлено са направили размазана - техника за социално инженерство, целяща да увеличи вероятността за кликване. След като целевите потребители щракнат върху съобщението „Изтегляне на документи“, на компютъра им се инсталира зловреден софтуер.
Екранна снимка на Файлов мениджър на Windows, показваща два файла в папката "програми": "deepvau", приложение
Фигура 3: На компютъра на целта е пуснат зловреден изпълним файл с възможности за кражба на информация. Веднъж попаднал в средата, той ще се опита да събере информация, включително данни за вход.

Участниците в заплахите се представят за официални лица

При други кампании Microsoft наблюдава, че участниците в заплахите използват в своите фишинг имейли изображения, взети от легитимни уебсайтове на трети страни, обработващи федерални данъчни плащания, за да изглеждат убедителни.

Въпреки че тези имейли изглеждат легитимни, данъкоплатците трябва да са наясно, че официални структури като IRS не инициират контакт относно данъчни декларации или данъчни плащания чрез имейли, текстови съобщения или телефонни обаждания.

В редки случаи киберпрестъпникът може да използва откраднатата информация, за да извърши измама с възстановяване на данъци. При тази конкретна схема престъпниците подават данъчна декларация от името на мишената и претендират за възстановяване на сумата.1 Този подход обаче има малка вероятност за успех предвид предпазните мерки на IRS. По-вероятно е киберпрестъпникът, който получи достъп до вашата информация по време на данъчното облагане, да направи това, което киберпрестъпникът прави по всяко време на годината – да потърси начини да печели от тази информация. Това може да включва откриване на кредитна карта на ваше име, продажба на данните или на достъпа до нея на друг киберпрестъпник, директен достъп до банковата ви сметка за иницииране на превод на средства или пазаруване онлайн.

По-долу са представени цифри за (1) фишинг имейл примамката и (2) автентичния сайт на обработваща трета страна:

Фишинг имейл с изображение на заглавката на упълномощена данъчна служба (Authorized IRS), взето от автентичен уебсайт на трета страна, която обработва плащания.
Фигура 4: Във фишинг имейла се използва изображение на заглавката (Упълномощена данъчна служба), взето от компанията за обработка на плащания ACI Payments, Inc., посочена на уебсайта на IRS.
Екранна снимка на уеб страница, използваща изображение на заглавка на Authorized IRS, взето от истинския уеб сайт на ACI Payments, Inc.
Фигура 5: Пример за начина, по който автентичното изображение „Authorized IRS“ е акцентирано на истинския уеб сайт на ACI Payments, Inc.

Какво искат киберпрестъпниците по време на данъчно облагане

По време на данъчния сезон огромни количества чувствителни финансови данни и данни за самоличност се движат напред-назад между физически лица и организации като IRS и различни видове доставчици на данъчни услуги, като например софтуер за подаване на данъчни декларации или марки за изготвяне на данъчни декларации или местни счетоводни и данъчни фирми за еднолични търговци.

Някои от най-рисковите данни2 включват:

  • Самоличност: Номер на социалната осигуровка, шофьорска книжка или държавен документ за самоличност, паспортни данни, идентификационни номера на работодателя (EIN), номера на централизираното досие за оторизация (CAF)
  • Финансово счетоводство: Номера на финансови акаунти, номера на кредитни и дебитни карти (със или без необходимия код за сигурност)
  • Пароли и достъп: Пароли за електронна поща, лични идентификационни номера (ПИН) и кодове за достъп

Що се отнася до общия риск от множеството лична информация, която може да бъде намерена в личните пощенски кутии на обикновения човек, експертът по киберпрестъпност в Набора от ресурси на Microsoft срещу заплахи Уес Дрон обяснява: "Хората могат да бъдат цифрови събирачи в своите пощенски кутии, а информацията, която съхраняват, е изключително ценна за престъпниците."

Този риск не се ограничава само до времето за плащане на данъци. Дрон посочва, че в имейл акаунта на средностатистическия човек има кореспонденция и документи от почти всеки аспект на личния му живот, а данъчният сезон е само един от многото поводи за опит за кражба.

"Посочете го, то идва на вашия имейл адрес", обяснява Дрон, "и ако участник в заплаха получи достъп до вашия имейл адрес, той може да нулира паролите за всички други ваши акаунти."

Рискът за физическите лица може да се превърне в риск и за предприятията. Според Дрон, ако участник в заплаха получи достъп до имейл кутия на служител, той може да инсталира злонамерен софтуер в средата на работодателя.

"Сега говорим за всякакви възможни проблеми", казва Дрон. “Големият проблем е компромисът с бизнес имейлите, където те просто ще започнат да се ангажират с вашите доставчици или хора, с които правите бизнес. Те променят номерата на фактурите, изпращат фалшиви фактури и пренасочват пари, а това може да бъде много скъпо начинание."

Как киберпрестъпниците получават вашите данни

Въпреки че техниките за фишинг, използвани от киберпрестъпниците, не са нови, те остават изключително ефективни. Независимо от вариантите, фишинг атаките срещу физически лица по време на данъчния сезон ще доведат предимно до един от двата резултата: изтегляне на "infostealers" (вид троянски злонамерен софтуер) или въвеждане от потребителите на техните идентификационни данни в подправени целеви страници. По-рядко фишерите могат да търсят достъп, за да изтеглят софтуер за откуп.

Кампаниите за фишинг в данъчния сезон се опитват да заблудят потребителите и да ги накарат да повярват, че представляват легитимни източници, като например работодатели и служители от отдел "Човешки ресурси", Служба на САЩ за вътрешните приходи (IRS), организации, свързани с данъчното облагане на щатско ниво, или доставчици на услуги, свързани с данъчното облагане, като счетоводители и услуги за подготовка на данъци (често използващи големи, надеждни марки и лога).

Обичайните тактики, които киберпрестъпниците използват, за да измамят своите цели, включват подправяне на целевите страници на истински услуги или уебсайтове, използване на URL адреси, които визуално изглеждат правилни, въпреки че не са (хомоглифни домейни), и персонализиране на фишинг връзките за всеки потребител.

Дрон обяснява: "Причината, поради която тези фишинг кампании в данъчния сезон продължават да работят – а те работят от години – е, че никой не иска да получи нещо от данъчната служба." Дрон отбелязва, че получаването на съобщения, свързани с данъци, може да предизвика безпокойство още с постъпването им в пощенската кутия.

"Със сигурност хората не искат да пропуснат да си възстановят сумата или тя да им бъде открадната", продължава той. "Престъпниците използват тези страхове и емоции в своя социален инженеринг, за да предизвикат безпокойство и да създадат желание за спешно кликване и извършване на това, което трябва да се направи."

Въпреки че участниците в заплахите използват различни примамки, представящи различни организации, фишинг имейлите имат някои общи характеристики.

  • Позиция А – Брандиране: Функция, предназначена да понижи защитните ви сили. Престъпниците използват търговска марка, която разпознавате и очаквате да видите по това време на годината, като тази на IRS или на фирми и услуги за изготвяне на данъчни декларации.
  • Позиция Б – Емоционално съдържание: Най-ефективните фишинг примамки са тези, чиито послания засилват емоциите. По време на данъчния сезон престъпниците се възползват от надеждата (Имате голямо, неочаквано възстановяване!), както и от страха (Възстановяването ви е спряно или ви грози огромна глоба).
  • Точка В – Спешност: За киберпрестъпниците спешността е това, което често кара хората да действат по начин, по който иначе не биха го направили. При спешността обратното на това, което искате да се случи или да не се случи, ще се случи, ако не действате преди крайния срок.
  • Точка Г – Кликването: Независимо дали става въпрос за връзка, бутон или QR код, престъпниците в крайна сметка искат да кликнете от входящата си поща към техния злонамерен уебсайт.
На лаптоп е показан пример за фишинг имейл с икони, указващи аспекти на изображението, които ще бъдат обяснени в статията.
Фигура 6: Буквените изнесени означения подчертават някои от характерните черти на примамката за фишинг по имейл.

Най-добрата защита срещу киберпрестъпниците, както по време на данъчния сезон, така и през цялата година, е образованието и добрата киберхигиена. Образованието означава осведоменост за фишинг – да знаете как изглеждат опитите за фишинг и какво да правите, когато се сблъскате с тях. Добрата киберхигиена означава прилагане на основни мерки за сигурност, като например многофакторно удостоверяване за финансови акаунти и акаунти за електронна поща.

С наближаването на Деня на данъците в САЩ на 15 април ви предлагаме някои допълнителни препоръки, които да помогнат на потребителите и защитниците да останат бдителни срещу заплахи, свързани с данъците.

7 начина да се предпазите от фишинг

Попадането на фишинг атака може да доведе до изтичане на поверителна информация, заразени мрежи, финансови искания, повредени данни или по-лошо, затова ето как да предотвратите това.3
  • Проверете имейл адреса на подателя. Всичко ли е наред? Неправилно поставен знак или необичаен правопис може да е сигнал за фалшификат.
  • Бъдете предпазливи към имейли с общи приветствия ("Уважаеми клиенти", например), които изискват от вас да действате спешно.
  • Потърсете проверима информация за контакт с подателя. Ако се съмнявате, не отговаряйте. Вместо това започнете нов имейл, за да отговорите.
  • Никога не изпращайте поверителна информация по имейл. Ако трябва да предадете лична информация, използвайте телефона.
  • Помислете два пъти дали да кликнете върху неочаквани връзки, особено ако ви насочват да влезете в профила си. За да сте сигурни, влезте в системата от официалния уебсайт.
  • Избягвайте да отваряте прикачени файлове към имейли от непознати податели или от приятели, които обикновено не ви изпращат прикачени файлове.
  • Инсталирайте филтър за фишинг за приложенията си за електронна поща и активирайте филтъра за спам в имейл акаунтите си.

Разрешаване на многофакторно удостоверяване (MFA)

Искате да намалите вероятността за успешни атаки срещу вашите акаунти? Включете MFA. Многофакторното удостоверяване, както подсказва името му, изисква два или повече фактора за удостоверяване.

Като активирате MFA, дори ако извършителят, представляващ заплаха, получи потребителското ви име и парола, той няма да може да осъществи достъп до вашите акаунти и лична информация. Компрометирането на повече от един фактор за удостоверяване е значително предизвикателство за атакуващите, защото научаването (или разбиването) на парола няма де е достатъчно, за да получат достъп до система. С активирано многофакторно удостоверяване можете да предотвратите 99.9% от атаките над вашите акаунти.4

Свързани статии

Основната киберхигиена предотвратява 99% от атаките

Основната киберхигиена остава най-добрият начин за защита на идентичността, устройствата, данните, приложенията, инфраструктурата и мрежите на организацията срещу 98% от всички киберзаплахи. Открийте практически съвети в изчерпателно ръководство.
Научете повече

Разбиване на компрометирането на бизнес имейли

Експертът по цифрови престъпления Мат Ланди предоставя примери за компрометиране на бизнес имейли като разнищва една от най-разпространените и скъпоструващи форми на кибератака.
Научете повече

Подхранвана от доверието икономика: измами със социално инженерство

Запознайте се с променящия се цифров пейзаж, в който доверието е едновременно валута и уязвимост. Открийте тактиките за измама чрез социално инженерство, които кибератаките използват най-често, и разгледайте стратегиите, които могат да ви помогнат да разпознаете и изпреварите заплахите от социално инженерство, предназначени да манипулират човешката природа.
Научете повече

Следвайте Microsoft Security