Trace Id is missing

Cybersikkerhed omkring skattesæsonen: Hvad cyberkriminelle vil have, og hvem de går mest efter. Er det dig?

Del
Grafisk illustration, der viser en bærbar computer med skattedokumenter på skærmen og dokumenter, der flyver ind i en mappe, der er markeret med "skat"

I dagens trusselslandskab er phishingangreb, ligesom død og skat, uundgåelige. For finansielt motiverede trusselsaktører skaber deadlinepres og den hektiske udveksling af formularer og dokumenter, der finder sted under skattesæsonen, en tiltalende mulighed for at udrulle phishingkampagner, der retter sig mod højrisikodata fra millioner af stressede enkeltpersoner og virksomheder.

Selvom alle kan være et mål for phishing i skattesæsonen, er bestemte persongrupper mere sårbare end andre. De primære mål inkluderer enkeltpersoner, der kan være mindre velinformerede om skattemyndighedernes kommunikationsformer – indehavere af green cards, små virksomhedsejere, nye skatteydere under 25 og ældre skatteydere over 60.

Den særlige rapport med efterretninger om cybertrusler for skattesæsonen undersøger de taktikker, teknikker og procedurer (TTP'er), som trusselsaktører bruger mest, i følgende sektioner:

  • Microsoft Threat Intelligence dækker en phishingkampagne for skattesæsonen 2024, hvor der beskrives detaljer om en ny phishingteknik for skattesæsonen, som bruger lokkemad, der forklæder sig som skatterelaterede dokumenter stillet til rådighed af arbejdsgivere.
  • Trusselsaktører efterligner betalingsbehandlere i phishingmails, hvilket beskriver, hvordan Microsoft Threat Intelligence har observeret trusselsaktører bruge logoer tilhørende tredjeparts føderale betalingsbehandlere.
  • Hvad cyberkriminelle vil omkring skattetid, hvor vi identificerer forskellige typer højrisikodata, der ofte målrettes omkring skattetid.
  • Hvordan cyberkriminelle får dine data, hvor vi beskriver de social engineering-teknikker med skattesæsontema, som trusselsaktører bruger mest.
  • Bedste praksisser for cybersikkerhed i skattesæsonen, hvor vi giver bedste praksisser og handlingsrettet vejledning om at forblive årvågen mod social engineering-angreb.

Microsoft Threat Intelligence har allerede observeret phishingaktivitet i forbindelse med skattesæsonen, herunder en kampagne fra slutningen af januar 2024, der udgav sig for at være skatterelaterede dokumenter fra arbejdsgivere.

Følgende figurer viser (1) phishingmailens lokkemad, (2) det skadelige websted og (3) de to skadelige eksekverbare filer – malwaren – fra denne kampagne:

En phishingmail i løbet af skattesæsonen observeret af Microsoft Threat Intelligence i januar 2024.
Figur 1: En phishingmail indeholder en vedhæftet HTML-fil, der leder brugeren til en falsk landingsside
Skærmbillede af et skadeligt websted
Figur 2: Brugere er blevet videresent til en webside, som trusselsaktøren har sløret med vilje – en social engineering-teknik, der er beregnet til at øge sandsynligheden for et klik. Når ofre klikker på prompten "Download dokumenter", installeres der malware på deres computer.
Skærmbillede af en Windows-stifinder, der viser to filer i mappen "programmer": "deepvau", et program
Figur 3: En ondsindet eksekverbar fil, der stjæler information, er blevet efterladt på målets maskine. Når den er i miljøet, vil den forsøge at indsamle oplysninger, herunder logonoplysninger.

Trusselsaktører efterligner officielle enheder

Med andre ord observerede Microsoft, at trusselsaktører brugte billeder taget fra legitime trejdeparts føderale betalingsbehandleres websteder i deres phishingmails i et forsøg på at virke overbevisende.

Selvom disse mails virker legitime, skal skatteyderne være opmærksomme på, at officielle enheder, f.eks. IRS, ikke tager kontakt vedrørende skatteopgørelser eller skattebetalinger via mail, sms-beskeder eller telefonopkald.

I sjældne tilfælde kan en cyberkriminel bruge stjålne oplysninger til at gennemføre et svindelnummer med tilbagebetaling af skat. I dette svindelnummer indgiver kriminelle en selvangivelse i målets navn og gør krav på en tilbagebetaling.1 Denne tilgang har dog lav sandsynlighed for succes på grund af IRS' sikkerhedsforanstaltninger. Det er et mere sandsynligt resultat, at en cyberkriminel, som får adgang til dine oplysninger omkring skattetid, højst sandsynligt vil gøre det, en cyberkriminel vil gøre når som helst på året – finde måder, hvorpå denne kan tjene penge på disse oplysninger. Dette kan inkludere at åbne kreditkort i dit navn, sælge dataene eller adgangen til en anden cyberkriminel, få direkte adgang til din bankkonto for at iværksætte en overførsel af midler eller shoppe online.

Nedenfor vises figurerne for (1) lokkemad i phishingmail og (2) den autentiske tredjepartsbehandlers websted:

En phishingmail med et Autoriseret IRS-headerbillede, som er taget fra et ægte websted fra en tredjeparts-betalingsbehandler.
Figur 4: En phishingmail bruger et headerbillede (Autoriseret IRS), som er taget fra ACI Payments, Inc., en betalingsbehandler, som er angivet på IRS-webstedet.
Et skærmbillede af en webside med et Authorized IRS-overskriftsbillede taget fra et faktisk websted for ACI Payments, Inc
Figur 5: Eksempel på, hvordan det autentiske "Authorized IRS"-billede fremhæves på den faktiske hjemmeside for ACI Payments, Inc.

Hvad cyberkriminelle ønsker ved skattetid

I skattesæsonen bevæger store mængder følsomme finansielle data og identitetsdata sig frem og tilbage mellem enkeltpersoner og organisationer såsom IRS og forskellige typer skattetjenesteudbydere, f.eks. selvangivelsessoftware eller skatteforberedelsesbrands eller lokale revisions- og skattefirmaer til selvstændige.

Nogle af de mest risikoprægede data2 omfatter:

  • Identitet: Personidentifikation (US), kørekørt eller statsligt id, pasoplysninger, EIN-numre (Employer Identification Number – US), CAF-numre (Centralized Authorization File – US)
  • Finansielle konti: Finansielle kontonumre, kredit- og debetkortnumre (med eller uden eventuel påkrævet sikkerhedskode)
  • Adgangskoder og adgang: Adgangskoder til mail, personlige identifikationsnumre (pinkoder) og adgangskoder

For så vidt angår den generelle risiko fra de store mængde personlige oplysninger, der kan findes i den gennemsnitlige persons mailindbakker, forklarer Microsoft Threat Intelligence's ekspert inden for cyberkriminalitet, Wes Drone, at "personer kan være digitale samlere i deres mailindbakker, og de oplysninger, de har, er meget værdifulde for cyberkriminelle".

Risikoen er ikke kun begrænset til skattetiden. Drone nævner, at den gennemsnitlige persons mailkonto har korrespondance og dokumenter fra næsten alle aspekter af vedkommendes privatliv, og skattesæsonen er blot en af mange lejligheder til at forsøge at stjæle dem.

"Gør dig blot dine tanker, det kommer til din mailadresse", forklarer Drone, "og hvis en trusselsaktør får adgang til din mailadresse, kan vedkommende nulstille adgangskoderne til alle dine andre konti".

Risikoen for enkeltpersoner kan også blive til en risiko for virksomheder. Ifølge Drone kan en trusselsaktør, hvis denne får adgang til en medarbejders mailindbakke, kunne installere malware i arbejdsgiverens miljø.

"Nu, hvor vi taler om alle mulige slags problemer", siger Drone. "En stor ting er kompromittering af virksomhedsmail, hvor de blot vil begynde at interagere med dine leverandører eller personer, du handler med. De vil ændre numre på dine fakturaer, sende falske fakturaer og omdirigere penge, og det kan være et meget dyrt foretagende".

Sådan får cyberkriminelle dine data

Mens de phishingteknikker, der bruges af cyberkriminelle, ikke er nye, er de fortsat meget effektive. Uanset variationerne fører phishingangreb mod enkeltpersoner i løbet af skattesæsonen primært til et af to resultater: download af infostealers (en type malware i form af en trojansk hest) eller at brugere indtaster deres legitimationsoplysninger på forfalskede landingssider. Mindre udbredt er det, at personer, der anvender phishingangreb, søger adgang for at downloade ransomware.

Skattesæsonens phishingkampagner forsøger at narre brugerne til at tro, at de repræsenterer legitime kilder, f.eks. medarbejdere og HR-personale, Internal Revenue Service (IRS), beskatningsrelaterede organisationer på statsniveau eller udbydere af skatterelaterede tjenester, f.eks. bogholdere og skatteforberedelsestjenester (som ofte bruger store betroede brands og logoer).

Nogle udbredte taktikker, som cyberkriminelle bruger til at narre deres mål, inkluderer forfalskning af landingssider tilhørende ægte tjenester eller websteder, hvor der bruges URL-adresser, der visuelt ser rigtige ud, selvom de ikke er det (homoglyf-domæner), og tilpasning af phishinglinks til hver bruger.

Drone forklarer: "Årsagen til at disse phishingkampagner i forbindelse med skattesæsonen fortsætter med at virke – og at de har virket i årevis – er, at ingen ønsker at få noget fra IRS". Drone observerer, at modtagelse af skatterelaterede meddelelser kan forårsage angst, lige så snart de når en indbakke.

"Folk ønsker bestemt ikke at gå glip af deres tilbagebetaling eller at få deres tilbagebetaling stjålet", fortsætter han. "Kriminelle gør brug af disse former for frygt og følelser i deres social engineering for at skabe angst, forme en villighed til i hast at klikke og gøre det, de har brug for at gøre".

Selvom trusselsaktører bruger en række forskellige typer lokkemad, der gør brug af forskellige organisationer, deler phishingmails bestemte hovedtræk.

  • Del A – branding: Et hovedtræk, der er designet til at sænke dine parader. Kriminelle bruger branding, som du genkender og forventer at se omkring denne tid på ret, f.eks. branding tilhørende IRS eller skatteforberedelsesvirksomheder og -tjenester.
  • Del B – følelsespræget indhold: De mest effektive former for phishinglokkemad er dem, hvis budskab forstærker følelser. I løbet af skattesæsonen gør kriminelle brug af håb (du har en stor og uventet tilbagebetaling) og frygt (din tilbagebetaling er fastfryst, eller der venter dig en stor straf).
  • Del C – uopsættelighed: For en cyberkriminel er uopsættelighed ofte det, der får folk til at handle på måder, som de ellers ikke ville gøre. Med uopsættelighed vil det modsatte af det, du vil have til at ske eller ikke at ske, finde sted, uanset om du skrider til handling før deadline.
  • Del D – klikket: Uanset om det er et link, en knap eller en QR-kode, vil kriminelle i sidste ende have dig til at klikke væk fra din indbakke og ind på deres skadelige websted.
En bærbar computer viser et eksempel på en phishingmail med ikoner, der indikerer aspekter ved billedet, der forklares i artiklen.
Figur 6: Boblerne, der er markeret med bogstaver, fremhæver nogle af de mest kendte tegn ved svindel i form af phishingmails.

Det bedste forsvar mod cyberkriminelle, både i forbindelse med skattesæsonen og i løbet af året, er uddannelse og god cyberhygiejne. Uddannelse betyder kendskab til phishing – at vide, hvordan phishingforsøg ser ud, og hvad du skal gøre, når du støder på dem. God cyberhygiejne betyder at implementere grundlæggende sikkerhedsforanstaltninger, herunder multifaktorgodkendelse for finanskonti og mailkonti.

Eftersom skattedagen nærmer sig i USA, d. 15. april, er der her nogle ekstra anbefalinger til at hjælpe brugere og forsvarere med at holde sig årvågne med hensyn til skattebaserede trusler.

7 måder, hvorpå du kan beskytte dig selv mod phishing

At falde for et phishingangreb kan føre til læk af fortrolige oplysninger, inficerede netværk, finansielle krav, ødelagte data, eller værre endnu, så her er måden, hvorpå du kan forhindre det i at ske.3
  • Inspicer afsenderens mailadresse. Er alt, som det skal være? Et forkert placeret tegn eller usædvanlig stavemåde kan være tegn på en forfalskning.
  • Vær forsigtig med mails med generiske hilsner (f.eks. "Kære kunde"), som beder dig om at handle hurtigt.
  • Led efter kontaktinformation til afsender, som let kan bekræftes. Hvis du er tvivl, så undlad at svare. Start i stedet en ny mail for at svare.
  • Send aldrig følsomme oplysninger via mail. Hvis du skal videregive private oplysninger, så brug telefonen.
  • Tænk dig om en ekstra gang, før du klikker på uventede links, særligt hvis de beder dig om at logge på din konto. Hvis ud vil være sikker, skal du i stedet logge på fra det officielle websted.
  • Undgå at åbne vedhæftede filer i mails fra ukendte afsendere eller venner, som normalt ikke sender dig vedhæftede filer.
  • Installer et phishingfilter til dine mailapps, og aktivér spamfilteret på alle dine mailkonti.

Aktivér multifaktorgodkendelse

Ønsker du at reducere sandsynligheden for vellykkede angreb mod dine konti? Slå multifaktorgodkendelse til. Multifaktorgodkendelse kræver, som navnet antyder, to eller flere bekræftelsesfaktorer.

Når du aktiverer multifaktorgodkendelse, kan selv en person med ondsindede hensigter, som har fået dit brugernavn og adgangskode, stadig ikke få adgang til dine konti og personlige oplysninger. At kompromittere mere end én godkendelsesfaktor er en stor udfordring for angribere, fordi det ikke er nok at kende (eller knække) en adgang for at få adgang til et system. Med multifaktorgodkendelse aktiveret kan du forhindre 99,9 % af angreb på dine konti.4

Relaterede artikler

Grundlæggende cyberhygiejne forhindrer 99 % af alle angreb

Grundlæggende cyberhygiejne er stadig den bedste metode til at forsvare en organisations identiteter, enheder, data, apps, infrastruktur og netværk mod 98 % af alle cybertrusler. Få praktiske tip i en omfattende guide.
Få mere at vide

Overblik over kompromittering af virksomhedsmail

Ekspert i digital kriminalitet, Matt Lundy, giver eksempler på kompromittering af virksomhedsmail og forklarer nærmere om et af de mest almindelige og omkostningsfulde former for cyberangreb.
Få mere at vide

Lever af tillidsøkonomien: social engineering-svindel

Udforsk et digitalt landskab under udvikling, hvor tillid både er en valuta og en sårbarhed. Opdag de social engineering-svindeltaktikker, som cyberangribere bruger mest, og gennemse strategier, der kan hjælpe dig med at identificere og udmanøvrere social engineering-trusler, der er designet til at manipulere den menneskelige natur.
Få mere at vide

Følg Microsoft Security