Trace Id is missing

Cybersecurity nel periodo di dichiarazione fiscale: cosa vogliono i criminali informatici e chi colpiscono principalmente. Sei tu?

Condividi
Illustrazione grafica che mostra un portatile con documenti fiscali sullo schermo, documenti cartacei che volano in una cartella contrassegnata come "tax"

Nel panorama delle minacce di oggi, gli attacchi di phishing, così come la morte e le tasse, sono inevitabili. Per gli attori di minacce motivati da ragioni economiche, la pressione delle scadenze e il frenetico scambio di moduli e documenti durante il periodo della dichiarazione fiscale creano un'interessante opportunità per distribuire campagne di phishing contro i dati a rischio elevato di milioni di utenti e aziende sotto stress e distratti.

Tutti possono essere bersaglio di un attacco di phishing nel periodo della dichiarazione fiscale, ma alcuni gruppi di persone sono più vulnerabili di altri. I target principali includono gli individui che potrebbero essere meno informati sui metodi IRS di engagement, titolari di Green Card, proprietari di piccole imprese, nuovi contribuenti sotto i 25 anni di età e i contribuenti con più di 60 anni.

Questo report dell'intelligence sulle minacce nel periodo di dichiarazione fiscale analizza le tattiche, le tecniche e le procedure (TTP) che gli attori di minacce usano maggiormente nelle sezioni seguenti:

  • Microsoft Threat Intelligence rivela una campagna di phishing del periodo di dichiarazione fiscale del 2024, in cui vengono descritti i dettagli di una nuova tecnica di phishing nel periodo della dichiarazione fiscale che sfrutta esche mascherate da documenti fiscali forniti dai datori di lavoro.
  • Attori di minacce rappresentano processori di pagamenti fiscali nelle email di phishing, che descrive come Microsoft Threat Intelligence ha osservato gli attori di minacce usando i loghi dei processori di pagamenti fiscali federali di terze parti.
  • Cosa vogliono i criminali informatici in periodo di dichiarazione fiscale, dove sono illustrati i diversi tipi di dati a rischio elevato comunemente colpiti in periodo di dichiarazione fiscale.
  • Come i criminali informatici ottengono i dati degli utenti, dove vengono descritte le tecniche di ingegneria sociale relative al periodo di dichiarazione fiscale più utilizzate dagli attori di minacce.
  • Procedure consigliate di cybersecurity per il periodo di dichiarazione fiscale, dove vengono fornite procedure consigliate e consigli pratici per rimanere vigili contro gli attacchi di ingegneria sociale.

Microsoft Threat Intelligence ha già osservato attività di phishing del periodo di dichiarazione fiscale, tra cui una campagna dalla fine di gennaio 2024 con esche mascherate da documenti fiscali forniti dai datori di lavoro.

Le figure seguenti mostrano (1) l'esca via email di phishing, (2) il sito Web dannoso e (3) i due eseguibili dannosi (il malware) da questa campagna:

Un'email di phishing del periodo di dichiarazione fiscale osservata da Microsoft Threat Intelligence nel gennaio 2024.
Figura 1: Un'email di phishing contiene un allegato HTML che indirizza l'utente a una pagina di destinazione falsa
Screenshot di un sito Web dannoso
Figura 2: Gli utenti sono stati indirizzati a una pagina Web che gli attori di minacce hanno volutamente reso sfocata, una tecnica di ingegneria sociale con lo scopo di aumentare la probabilità di un clic. Una volta che i target fanno clic sulla richiesta "Scarica documenti", il software dannoso si installa sul loro computer.
Screenshot di Esplora file Windows che mostra due file nella cartella "programs": "deepvau", un'applicazione
Figura 3: Un file eseguibile dannoso con funzionalità di information stealer è stato installato sul computer del target. Una volta nell'ambiente, tenterà di raccogliere informazioni tra cui le credenziali di accesso.

Gli attori di minacce rappresentano entità ufficiali

In altre campagne, Microsoft ha osservato attori di minacce che usano immagini prese da siti Web di processori di pagamenti fiscali federali di terze parti legittimi nelle loro email di phishing per tentare di apparire convincenti.

Anche se queste email sembrano legittime, i contribuenti devono essere consapevoli del fatto che entità ufficiali come IRS non prendono contatto in merito a dichiarazioni fiscali o pagamento delle imposte tramite email, SMS o chiamate.

In casi rari, un criminale informatico può usare informazioni rubate per condurre una frode relativa al rimborso fiscale. In questo schema particolare, i criminali presentano una richiesta di rimborso fiscale a nome della vittima.1 Questo approccio, tuttavia, ha una bassa probabilità di successo date le misure di protezione IRS. In uno scenario più probabile, un criminale informatico che accede alle tue informazioni in periodo di dichiarazione fiscale farà quello che farebbe in qualsiasi altro periodo dell'anno: cercherà dei modi per monetizzare tali informazioni. Ad esempio, aprirà una carta di credito a tuo nome, venderà i dati o le credenziali di accesso a un altro criminale informatico, accederà direttamente al tuo conto corrente per avviare un trasferimento di fondi o farà acquisti online.

Di seguito, vengono presentate figure di (1) un'esca via email di phishing e del (2) sito del processore di terze parti autentico:

Un'email di phishing con un'immagine di intestazione IRS autorizzato presa dal sito Web di un processore di pagamenti di terze parti autentico.
Figura 4: Un'email di phishing usa un'immagine di intestazione (IRS autorizzato) presa da ACI Payments, Inc., un processore di pagamenti indicato sul sito Web IRS.
Screenshot di una pagina Web che usa un'immagine di intestazione IRS autorizzato presa da un sito Web effettivo di ACI Payments, Inc
Figura 5: Esempio di come l'immagine autentica "IRS autorizzato" è evidenziata nel sito Web effettivo per ACI Payments, Inc. .

Cosa vogliono i criminali informatici in periodo di dichiarazione fiscale

Durante il periodo di dichiarazione fiscale, grandissime quantità di dati sulle identità e finanziari sensibili vengono scambiati tra utenti e organizzazioni come IRS e diversi tipi di fornitori di servizi fiscali, come software per la dichiarazione fiscale, professionisti della preparazione di documenti fiscali, società di contabilità locale, studi tributari e imprenditori in proprio.

Alcuni dei dati a rischio più elevato2 includono:

  • Identità: codice fiscale, patente di guida o documento d'identità nazionale, passaporto, identificativo del datore di lavoro, numero CAF (Centralized Authorization File)
  • Conti finanziari: numeri di conti finanziari, numeri di carte di credito e di debito (con o senza codice di sicurezza)
  • Password e accesso: password email, numeri di identificazione personale (PIN) e codici di accesso

Per quanto riguarda il rischio generale della raccolta di informazioni personali che è possibile trovare nelle cassette di posta elettronica degli utenti medi, l'esperto di crimine informatico di Microsoft Threat Intelligence Wes Drone afferma: "Le persone possono essere accumulatrici compulsive digitali nelle cassette di posta elettronica personali, e le informazioni che conservano sono estremamente importanti per i criminali."

Questo rischio non si limita solo al periodo della dichiarazione fiscale. Drone indica che l'account e-mail di un utente medio include la corrispondenza e i documenti relativi a quasi ogni aspetto della sua vita personale, e il periodo di dichiarazione fiscale è solo una delle tante occasioni per tentare di rubarli.

"Tutto ruota intorno al tuo indirizzo e-mail", spiega Drone, "e se un attore di minacce ottiene l'accesso al tuo indirizzo e-mail, può ripristinare le password per tutti i tuoi altri account."

Il rischio per i singoli utenti può diventare anche un rischio per le aziende. Secondo Drone, se un attore di minacce ottiene l'accesso a una casella di posta elettronica di un dipendente, può installare il software dannoso all'interno dell'ambiente del datore di lavoro.

"Ora stiamo parlando di tutti i tipi di problemi possibili," afferma Drone. "Un aspetto importante è la compromissione della posta elettronica aziendale, con cui l'attore di minacce inizia a interagire con i tuoi fornitori o con le persone con cui fai affari. Cambia i numeri sulle fatture, invia fatture false e reindirizza il denaro, e questo può essere un tentativo molto costoso."

Come i criminali informatici ottengono i dati degli utenti

Le tecniche di phishing utilizzate dai criminali informatici non sono nuove, ma rimangono estremamente efficaci. A prescindere dalle variazioni, gli attacchi di phishing durante il periodo di dichiarazione fiscale avranno sostanzialmente uno di questi due risultati: il download di infostealer (un tipo di malware Trojan) o utenti che inseriscono le proprie credenziali in pagine di destinazione falsificate. Più raramente, gli autori di attacchi di phishing possono cercare di accedere per scaricare ransomware.

Le campagne di phishing in periodo di dichiarazione fiscale tentano di far credere agli utenti che si tratta di origini legittime, come datori di lavoro e personale delle Risorse Umane, Internal Revenue Service (IRS), organizzazioni correlate alle imposte a livello nazionale o fornitori di servizi fiscali come commercialisti e servizi di preparazione delle imposte (che spesso usano importanti loghi e marchi attendibili).

Le tattiche comuni che i criminali informatici usano per ingannare i loro target includono lo spoofing delle pagine di destinazione di siti Web o servizi originali, l'uso di URL che sembrano corretti anche se non lo sono (domini omografi) e la personalizzazione di collegamenti di phishing per ogni utente.

Drone afferma: "Il motivo per cui queste campagne di phishing del periodo di dichiarazione fiscale continuano a funzionare (e funzionano da anni) è che nessuno vuole ricevere qualcosa dall'IRS." Drone sottolinea che ricevere messaggi relativi al fisco può causare ansia.

"Certe persone non vogliono dover rinunciare al proprio rimborso o farsi sottrarre il rimborso," continua. "I criminali sfruttano queste paure ed emozioni nell'ingegneria sociale per diffondere ansia, spingendo le persone a fare clic con urgenza e a fare quello che devono fare."

Anche se gli attori di minacce usano una serie di esche che mostrano organizzazioni diverse, tutte le email di phishing hanno delle caratteristiche in comune.

  • A. Personalizzazione: una funzionalità progettata per farti abbassare le difese. I criminali usano la personalizzazione che riconosci e che ti aspetti di vedere in questo periodo dell'anno, come quella dell'IRS o di servizi e società di preparazione di documenti fiscali.
  • B. Contenuto emotivo: le esche di phishing più efficaci sono quelle i cui messaggi accentuano le emozioni. Durante il periodo di dichiarazione fiscale, i criminali fanno leva sulla speranza (Ti spetta un grande rimborso inaspettato!) e sulla paura (Il tuo rimborso è in sospeso oppure Devi pagare una sanzione).
  • C. Urgenza: per un criminale informatico, l'urgenza è ciò che spesso spinge le persone ad agire in modi per loro inusuali. Con l'urgenza, si verifica l'opposto di quello che vuoi che succeda o non succeda, a meno che non agisci prima della scadenza.
  • D. Il clic: che si tratti di un collegamento, un pulsante o un codice a matrice, i criminali vogliono che tu faccia clic su un elemento che ti faccia uscire dalla tua cartella di posta in arrivo e ti reindirizzi al loro sito Web dannoso.
Un portatile mostra un esempio di un'email di phishing con icone che indicano aspetti dell'immagine che saranno spiegati nell'articolo.
Figura 6: I callout in lettere evidenziano alcune delle funzionalità tipiche di un'esca via email di phishing.

La migliore difesa contro i criminali informatici, in periodo di dichiarazione fiscale e per tutto l'anno, è la formazione e una buona igiene informatica. Per formazione si intende la consapevolezza del phishing: sapere che aspetto hanno i tentativi di phishing e cosa fare quando si verificano. Per buona igiene informatica si intende l'implementazione di misure di sicurezza di base come l'autenticazione a più fattori per gli account email e finanziari.

Poiché la scadenza per la presentazione della dichiarazione dei redditi negli Stati Uniti è il 15 aprile, di seguito sono fornite alcune raccomandazioni per aiutare gli utenti e i difensori a rimanere vigili contro le minacce correlate alle imposte.

7 modi per proteggerti dal phishing

Farsi ingannare da un attacco di phishing può condurre alla perdita di informazioni riservate, a reti infette, richieste finanziarie, dati corrotti o anche peggio, quindi ecco come impedire che si verifichi tutto ciò.3
  • Analizza l'indirizzo e-mail del mittente. È tutto a posto? Un errore ortografico potrebbe segnalare un indirizzo falso.
  • Fai attenzione alle email con saluti generici ("Gentile cliente", ad esempio) che ti chiedono di agire con urgenza.
  • Cerca informazioni sul contatto del mittente verificabili. Se hai dei dubbi, non rispondere. Inizia una nuova email invece di rispondere.
  • Non inviare mai informazioni sensibili via email. Se devi fornire informazioni private, usa il telefono.
  • Pensaci due volte prima di fare clic su collegamenti imprevisti, soprattutto se ti invitano ad accedere al tuo account. Per sicurezza, accedi dal sito Web ufficiale.
  • Evita di aprire allegati email provenienti da mittenti sconosciuti o da amici che di solito non ti inviano allegati.
  • Installa un filtro anti-phishing per le app di posta elettronica e abilita il filtro della posta indesiderata nei tuoi account email.

Abilitazione dell'autenticazione a più fattori (MFA)

Vuoi ridurre le probabilità di successo degli attacchi ai tuoi account? Attiva la MFA. L'autenticazione a più fattori, come suggerito dal nome stesso, richiede due o più fattori di verifica.

Abilitando la MFA, anche se un utente malintenzionato ottiene il tuo nome utente e la tua password, non potrà comunque accedere ai tuoi account e alle tue informazioni personali. La compromissione di più fattori di autenticazione rappresenta una grande sfida per gli utenti malintenzionati perché conoscere (o craccare) una password non sarebbe sufficiente per accedere a un sistema. Con la MFA abilitata, puoi prevenire il 99,9% degli attacchi ai tuoi account.4

Articoli correlati

L’igiene informatica di base previene il 99% degli attacchi

Un’igiene informatica di base rimane il modo migliore per difendere le identità, i dispositivi, i dati, le app, l'infrastruttura e le reti di un’organizzazione da circa il 98% di tutte le minacce informatiche. Scopri suggerimenti pratici in una guida completa.
Scopri di più

Analisi della compromissione della posta elettronica aziendale

L'esperto di crimini digitali Matt Lundy fornisce esempi di compromissione della posta elettronica aziendale, analizzando una delle forme di cyberattacco più comuni e costose.
Scopri di più

Approfittare dell'economia della fiducia: la frode dell'ingegneria sociale

Esplora il panorama digitale in evoluzione in cui la fiducia è una valuta ma anche una vulnerabilità. Scopri le tattiche di frode basate sull'ingegneria sociale che gli utenti malintenzionati usano più spesso e verifica le strategie che possono aiutarti a identificare e disinnescare le minacce di ingegneria sociale pensate per manipolare le persone.
Scopri di più

Segui Microsoft Security