Trace Id is missing

Keamanan cyber musim pajak: Apa yang penjahat cyber inginkan dan siapa target utama mereka. Apakah itu Anda?

Bagikan
Ilustrasi grafis memperlihatkan laptop dengan dokumen pajak pada layar, kertas-kertas dokumen beterbangan ke dalam folder bertanda 'pajak'

Di dalam lanskap ancaman masa kini, serangan pengelabuan, seperti kematian dan pajak, tidak bisa dihindari. Bagi pelaku ancaman bermotif finansial, tekanan tenggat waktu serta cepatnya pertukaran formulir dan dokumen yang terjadi selama musim pajak menciptakan peluang menarik untuk menyebarkan kampanye pengelabuan, menarget data berisiko tinggi dari jutaan individu dan bisnis yang gamang dan tertekan.

Meskipun semua orang dapat menjadi target pengelabuan musim pajak, ada kelompok orang-orang tertentu yang lebih rentan dibandingkan kelompok lain. Target utama mencakup individu yang mungkin tidak mengetahui banyak hal tentang metode keterlibatan IRS—pemegang Green Card, pemilik usaha kecil, wajib pajak baru yang berusia di bawah 25 tahun, dan wajib pajak lebih tua yang berusia lebih dari 60 tahun.

Laporan khusus ini membahas inteligensi ancaman musim pajak, menyurvei taktik, teknik, dan prosedur (TTP) yang paling banyak digunakan oleh pelaku ancaman di dalam bagian-bagian sebagai berikut:

  • Microsoft Threat Intelligence mengungkap kampanye pengelabuan musim pajak 2024, bagian ini menjelaskan secara mendetail tentang teknik pengelabuan baru di musim pajak. Teknik ini berpura-pura menggunakan dokumen terkait pajak dari pemberi pekerjaan sebagai umpannya.
  • Pelaku ancaman menyamar sebagai pemroses pembayaran pajak di dalam email pengelabuan, bagian ini mendeskripsikan bagaimana Microsoft Threat Intelligence memantau pelaku ancaman yang menggunakan logo pemroses pembayaran pajak federal pihak ketiga.
  • Apa yang penjahat cyber inginkan pada waktu pajak, di sini kami mengidentifikasi berbagai jenis data berisiko tinggi yang biasanya menjadi target pada waktu pajak.
  • Cara penjahat cyber mendapatkan data Anda, di sini kami akan menjelaskan tentang teknik rekayasa sosial bertema musim pajak yang paling banyak digunakan oleh pelaku ancaman.
  • Praktik terbaik keamanan cyber saat musim pajak, di sini kami memberikan praktik terbaik dan saran yang dapat ditindaklanjuti agar Anda tetap waspada terhadap serangan rekayasa sosial.

Microsoft Threat Intelligence telah memantau aktivitas pengelabuan musim pajak, termasuk kampanye pada akhir Januari 2024 yang berpura-pura menggunakan dokumen terkait pajak dari pemberi pekerjaan sebagai umpannya.

Gambar berikut menunjukkan (1) umpan email pengelabuan, (2) situs web berbahaya, dan (3) dua file berbahaya yang dapat dieksekusi—program jahat— dari kampanye ini:

Email pengelabuan musim pajak yang diamati oleh Microsoft Threat Intelligence pada Januari 2024.
Gambar 1: Email pengelabuan berisi lampiran HTML yang mengarahkan pengguna ke halaman arahan palsu
Cuplikan layar situs web berbahaya
Gambar 2: Pengguna telah diarahkan ke halaman web, yang sengaja dibuat buram oleh pelaku ancaman, sebuah teknik rekayasa sosial yang dimaksudkan untuk meningkatkan kemungkinan untuk mengeklik. Setelah target mengeklik perintah “Unduh Dokumen”, program jahat akan terinstal di komputer mereka.
Cuplikan layar File Explorer Windows yang menampilkan dua file di folder "program": "deepvau", aplikasi
Gambar 3: File berbahaya yang dapat dieksekusi dengan kemampuan mencuri informasi telah dikirimkan di komputer target. Setelah berada di lingkungan, file akan mencoba mengumpulkan informasi termasuk kredensial masuk.

Pelaku ancaman menyamar sebagai entitas resmi

Di dalam kampanye lainnya, Microsoft memantau pelaku ancaman menggunakan sejumlah gambar di dalam email pengelabuan mereka. Gambar-gambar ini diambil dari situs web sah milik pemroses pembayaran pajak federal pihak ketiga dengan tujuan untuk tampil meyakinkan.

Walaupun email terlihat sah, wajib pajak seharusnya menyadari, bahwa entitas resmi seperti IRS tidak akan lebih dahulu menghubungi mereka perihal pengembalian, atau pembayaran pajak melalui email, SMS, atau panggilan telepon.

Pada kasus yang jarang terjadi, penjahat cyber dapat menggunakan informasi curian untuk melakukan penipuan tentang pengembalian pajak. Dalam skema khusus seperti ini, penjahat mengajukan pengembalian pajak atas nama target dan mengklaim pengembalian dana.1 Akan tetapi, dengan adanya perlindungan IRS, pendekatan ini berpeluang kecil untuk berhasil. Hal yang sering terjadi, penjahat cyber yang mengakses informasi Anda pada waktu pajak kemungkinan besar akan melakukan hal serupa seperti penjahat cyber lainnya pada waktu kapan pun di sepanjang tahun—yakni mencari cara untuk memonetisasi informasi tersebut. Hal ini dapat mencakup pembukaan kartu kredit atas nama Anda, menjual data atau akses ke penjahat cyber lain, mengakses langsung rekening bank Anda untuk melakukan transfer dana, atau berbelanja online.

Di bawah ini, tertera gambar mengenai (1) umpan email pengelabuan dan (2) situs pemroses pihak ketiga yang autentik:

Email pengelabuan dengan gambar header IRS Resmi yang diambil dari situs web pemroses pembayaran pihak ketiga yang autentik.
Gambar 4: Email pengelabuan menggunakan gambar header (IRS Resmi) yang diambil dari ACI Payments, Inc., yaitu pemroses pembayaran yang terdaftar di situs web IRS.
Cuplikan layar halaman web menggunakan gambar header IRS Resmi yang diambil dari situs web aktual untuk ACI Payments, Inc
Gambar 5: Contoh bagaimana gambar asli “IRS Resmi” disorot di situs web aktual untuk ACI Payments, Inc..

Apa yang penjahat cyber inginkan pada waktu pajak

Selama musim pajak, sejumlah besar data finansial dan identitas sensitif mengalir hilir-mudik antara individu dan organisasi seperti IRS serta berbagai jenis penyedia layanan pajak, seperti perangkat lunak pengajuan pajak, merek persiapan pajak, atau perusahaan pajak dan akuntan lokal ke pemilik tunggal.

Beberapa data yang berisiko paling tinggi2 meliputi:

  • Identitas: Nomor jaminan sosial, SIM atau tanda pengenal negara bagian, rincian paspor, Nomor Identifikasi Pemberi Kerja (EIN), nomor File Otorisasi Terpusat (CAF)
  • Akun Finansial: Nomor rekening finansial, nomor kartu kredit, dan nomor kartu debit (dengan atau tanpa kode keamanan yang diperlukan)
  • Kata sandi dan akses: Kata sandi email, nomor identifikasi pribadi (PIN), dan kode akses

Mengenai risiko umum dari kumpulan informasi pribadi yang dapat ditemukan di kotak masuk email pribadi kebanyakan orang, ahli kejahatan cyber dari Microsoft Threat Intelligence, Wes Drone, menjelaskan, “Orang-orang bisa saja menjadi penimbun digital di kotak masuk email mereka, dan bagi penjahat, informasi yang mereka simpan sangatlah berharga.”

Risiko ini bukan hanya soal waktu pajak. Drone mengemukakan, bahwa pada umumnya, email seseorang memuat korespondensi dan dokumen dari hampir setiap aspek di kehidupan pribadi mereka, dan musim pajak hanyalah satu dari banyak kesempatan untuk mencoba mencurinya.

“Segala macam hal, semuanya akan masuk ke alamat email Anda,” Drone menjelaskan, “dan jika pelaku ancaman mendapatkan akses ke alamat email Anda, mereka dapat mengatur ulang kata sandi untuk semua akun lain yang Anda miliki.”

Risiko terhadap individu juga dapat menjadi risiko bagi bisnis. Menurut Drone, jika pelaku ancaman memperoleh akses ke kotak email karyawan, mereka dapat memasang program jahat ke dalam lingkungan pemberi pekerjaan.

“Sekarang, kita sedang membicarakan semua jenis masalah yang mungkin terjadi,” kata Drone. “Ada satu hal penting, yakni penyusupan email bisnis, di sini mereka akan mulai terlibat dengan pemasok atau orang yang berbisnis dengan Anda. Mereka akan mengubah nomor faktur, mengirimkan faktur palsu, dan mengalihkan uang. Dan upaya tersebut bisa sangat merugikan.”

Cara penjahat cyber mendapatkan data Anda

Meskipun teknik pengelabuan yang penjahat cyber gunakan bukanlah hal baru, teknik ini tetaplah sangat efektif. Apa pun variasinya, serangan pengelabuan terhadap individu selama musim pajak utamanya akan menyebabkan satu dari dua hal berikut: pengunduhan infostealer (pencuri info, sejenis program jahatTrojan), atau pengguna yang memasukkan kredensial mereka ke halaman pendaratan yang telah terkena spoofing. Pada kasus yang lebih jarang terjadi, pelaku pengelabuan mungkin saja mencari akses untuk mengunduh program jahat.

Kampanye pengelabuan musim pajak mencoba menyiasati pengguna agar mereka memercayai bahwa penjahat mewakili sumber yang sah, seperti pemberi pekerjaan dan personel sumber daya manusia, Internal Revenue Service (IRS), organisasi terkait perpajakan tingkat negara bagian, atau penyedia layanan terkait perpajakan seperti akuntan dan layanan persiapan pajak (yang sering kali menggunakan merek serta logo besar dan tepercaya).

Taktik umum yang digunakan oleh penjahat cyber untuk menyiasati target mereka termasuk melakukan spoofing pada halaman pendaratan layanan atau situs web asli, menggunakan URL yang secara visual tampak benar meskipun sebenarnya tidak (domain homoglif), dan menyesuaikan tautan pengelabuan untuk setiap pengguna.

Drone menjelaskan, “Ada alasan mengapa kampanye pengelabuan musim pajak ini terus berhasil—dan telah berhasil selama bertahun-tahun—itu karena tidak ada seorang pun yang ingin mendapatkan sesuatu dari IRS.” Drone mengamati, bahwa menerima pesan terkait pajak dapat menimbulkan kecemasan serta-merta saat pesan sampai di kotak masuk.

“Tentu saja, orang-orang tidak mau ketinggalan saat ada pengembalian dana atau membiarkan pengembalian dana tersebut dicuri,” lanjutnya. “Di dalam rekayasa sosial, penjahat memanfaatkan ketakutan dan emosi ini untuk memicu kecemasan, agar orang-orang bersedia untuk seketika mengeklik dan melakukan apa yang perlu mereka lakukan.”

Meskipun pelaku ancaman menggunakan berbagai umpan yang menampilkan beragam organisasi, email pengelabuan memiliki fitur umum yang spesifik.

  • Fitur A – Merek: Sebuah fitur yang dirancang agar pertahanan Anda lengah. Penjahat menggunakan merek yang Anda kenal dan sudah Anda perkiraan di seputar momen tahunan seperti ini, seperti merek IRS atau perusahaan dan layanan persiapan pajak.
  • Fitur B – Konten emosional: Umpan pengelabuan yang paling efektif adalah umpan dengan pesan yang membangkitkan emosi. Selama musim pajak, penjahat memangsa harapan Anda (Mendapat pengembalian dana besar dan tak terduga!) sekaligus ketakutan (Pengembalian dana Anda ditangguhkan, atau Anda mendapat penalti yang sangat besar).
  • Fitur C – Urgensi: Bagi penjahat cyber, urgensi sering kali membuat orang bertindak dengan cara yang tidak seharusnya mereka lakukan. Dengan urgensi, apa yang tidak Anda inginkan akan terjadi dan yang Anda inginkan tidak akan terjadi, kecuali Anda bertindak sebelum tenggat waktu.
  • Fitur D – Satu klik: Baik itu tautan, tombol, atau kode QR, pada akhirnya, penjahat menginginkan Anda untuk mengeklik keluar dari kotak masuk dan masuk ke situs web berbahaya mereka.
Laptop menampilkan contoh email pengelabuan dengan ikon yang menunjukkan aspek gambar yang akan dijelaskan dalam artikel.
Gambar 6: Info berhuruf menyoroti beberapa fitur khas dari umpan email pengelabuan.

Pertahanan terbaik untuk melawan penjahat cyber pada musim pajak atau sepanjang tahun, adalah dengan pendidikan dan kebersihan cyber yang baik. Edukasi berarti memberikan kesadaran tentang pengelabuan—mengenali wujud upaya pengelabuan dan apa yang harus dilakukan jika pengelabuan terjadi. Kebersihan cyber yang baik berarti mengimplementasi langkah-langkah keamanan dasar seperti autentikasi multifaktor untuk akun email dan finansial.

Menjelang Hari Pajak di Amerika Serikat pada tanggal 15 April, berikut beberapa rekomendasi tambahan untuk membantu pertahanan dan pengguna agar tetap waspada terhadap ancaman yang berpusat pada pajak.

7 cara untuk melindungi diri Anda dari pengelabuan

Terjerat dalam serangan pengelabuan dapat mengakibatkan bocornya informasi rahasia, jaringan yang terinfeksi, tuntutan finansial, data yang rusak, atau akibat yang lebih buruk. Dengan demikian, berikut adalah cara pencegahan agar hal tersebut tidak terjadi.3
  • Lakukan inspeksi pada alamat email pengirim. Apakah semuanya sudah beraturan? Karakter yang diletakkan di tempat yang salah atau ejaan yang tidak biasa bisa menandakan adanya pemalsuan.
  • Berhati-hatilah terhadap email dengan sapaan umum (misalnya, “Pelanggan yang terhormat,”) yang meminta Anda untuk segera bertindak.
  • Carilah info kontak pengirim yang dapat diverifikasi. Jika ragu-ragu, jangan membalas. Sebaliknya, berikan respons dengan memulai email baru.
  • Jangan pernah mengirimkan informasi sensitif melalui email. Jika Anda harus menyampaikan informasi pribadi, gunakan telepon.
  • Berpikirlah dua kali sebelum mengeklik tautan tak terduga, khususnya jika tautan mengarahkan untuk masuk ke akun Anda. Agar aman, masuklah dari situs web resmi.
  • Hindari membuka lampiran email dari pengirim yang tidak dikenal atau teman yang biasanya tidak mengirimi Anda lampiran.
  • Pasang filter pengelabuan untuk aplikasi email Anda, serta aktifkan filter spam di akun email Anda.

Aktifkan autentikasi multifaktor (MFA)

Ingin mengurangi peluang keberhasilan pada serangan terhadap akun Anda? Aktifkan autentikasi multifaktor (MFA). Autentikasi multifaktor, seperti namanya, memerlukan dua atau lebih faktor verifikasi.

Dengan mengaktifkan MFA, meskipun penyerang mendapatkan nama pengguna dan kata sandi Anda, mereka tetap tidak bisa memperoleh akses ke akun dan informasi pribadi Anda. Menyusupi lebih dari satu faktor autentikasi memberikan tantangan signifikan kepada penyerang, karena mengetahui (atau meretas) kata sandi tidak akan mencukupi untuk dapat mengakses sistem. Dengan mengaktifkan MFA, Anda dapat mencegah 99,9% serangan terhadap akun Anda.4

Artikel terkait

Kebersihan cyber dasar mencegah 99% serangan

Kebersihan cyber dasar tetap menjadi cara terbaik untuk mempertahankan identitas, perangkat, data, aplikasi, infrastruktur, dan jaringan organisasi dari 98% semua ancaman cyber. Temukan tips praktis di dalam panduan komprehensif.
Pelajari selengkapnya

Membedah penyusupan email bisnis

Ahli kejahatan digital, Matt Lundy, memberikan contoh penyusupan email bisnis, membedah salah satu bentuk serangan cyber yang paling umum dan menimbulkan kerugian besar.
Pelajari selengkapnya

Menarik keuntungan dari ekonomi kepercayaan: penipuan rekayasa sosial

Jelajahi lanskap digital yang terus berkembang, ketika kepercayaan menjadi mata uang sekaligus kerentanan. Temukan taktik penipuan rekayasa sosial yang paling sering digunakan oleh penyerang cyber, dan tinjau strategi yang dapat membantu Anda mengidentifikasi dan mengatasi ancaman rekayasa sosial yang dirancang untuk memanipulasi sifat manusia.
Pelajari selengkapnya

Ikuti Microsoft Security