Trace Id is missing

Segurança cibernética da temporada fiscal: o que os criminosos cibernéticos desejam e quem eles mais visam. Você?

Compartilhar
Ilustração gráfica mostrando um laptop com documentos fiscais na tela, documentos em papel voando para uma pasta marcada como imposto

No cenário de ameaças atual, os ataques de phishing, como ameaças de morte e impostos, são inevitáveis. Para os atores de ameaças motivados financeiramente, a pressão dos prazos e a troca frenética de formulários e documentos que ocorrem durante a temporada fiscal criam uma oportunidade atraente para implementar campanhas de phishing visando dados de alto risco de milhões de empresas e indivíduos atarefados ​​e distraídos.

Embora todos possam ser alvo de phishing na temporada fiscal, certos grupos de pessoas são mais vulneráveis ​​do que outros. Os principais alvos incluem indivíduos que podem estar menos informados sobre os métodos de envolvimento do IRS, titulares de Green Card, proprietários de pequenas empresas, novos contribuintes com menos de 25 anos e contribuintes mais velhos com mais de 60 anos.

Este relatório especial de inteligência contra ameaças da temporada fiscal pesquisa TTPs (táticas, técnicas e procedimentos) que os atores de ameaças mais usam nas seguintes seções:

  • A solução Informações sobre ameaças da Microsoft revela uma campanha de phishing na temporada fiscal de 2024,descreve detalhes de uma nova técnica de phishing na temporada fiscal usando iscas disfarçadas de documentos fiscais fornecidos pelos empregadores.
  • Os atores de ameaças se fazem passar por processadores de pagamento de impostos em emails de phishing, descreve como a solução Informações sobre ameaças da Microsoft observou os atores de ameaças usando logotipos de processadores de pagamentos de impostos federais de terceiros.
  • O que os criminosos cibernéticos desejam na hora do imposto, identifica os diferentes tipos de dados de alto risco comumente visados ​​na hora do imposto.
  • Como os criminosos cibernéticos obtêm seus dados, expõe as técnicas de engenharia social com tema de temporada fiscal que os atores de ameaças mais usam.
  • Melhores práticas de segurança cibernética na temporada fiscal, fornece melhores práticas e conselhos práticos para permanecer vigilante contra ataques de engenharia social.

A solução Informações sobre ameaças da Microsoft já observou atividades de phishing na temporada fiscal, incluindo uma campanha do final de janeiro de 2024 usando iscas disfarçadas de documentos fiscais fornecidos pelos empregadores.

As figuras a seguir mostram (1) a isca de email de phishing, (2) o site malicioso e (3) os dois executáveis ​​maliciosos – o malware – desta campanha:

Um email de phishing durante a temporada fiscal observado pelas Informações sobre ameaças da Microsoft em janeiro de 2024.
Figura 1: um email de phishing contém um anexo HTML que direciona o usuário para uma página de destino falsa
Captura de tela de um site malicioso
Figura 2: os usuários foram direcionados para uma página da Web, que os atores da ameaça tornaram intencionalmente desfocada, uma técnica de engenharia social destinada a aumentar a probabilidade de um clique. Assim que os alvos clicam no prompt “Baixar documentos”, o malware é instalado em seus computadores.
Captura de tela de um explorador de arquivos do Windows mostrando dois arquivos na pasta “programas”: “deepvau", um aplicativo
Figura 3: um arquivo executável malicioso com capacidade de roubar informações foi colocado no computador de destino. Uma vez no ambiente, ele tentará coletar informações, incluindo credenciais de logon.

Os atores da ameaça se fazem passar por entidades oficiais

Em outras campanhas, a Microsoft observou atores de ameaças usando imagens tiradas de sites legítimos de processadores de pagamentos de impostos federais de terceiros em seus emails de phishing, em um esforço para parecerem convincentes.

Embora estes emails pareçam legítimos, os contribuintes devem estar cientes de que entidades oficiais como a IRS não iniciam contatos relativos a declarações fiscais ou pagamentos de impostos por email, texto ou telefonemas.

Em casos raros, um criminoso cibernético pode usar informações roubadas para realizar fraudes no reembolso de impostos. Neste esquema específico, os criminosos apresentam uma declaração fiscal em nome do alvo e reivindicam um reembolso.1 Esta abordagem, no entanto, tem uma baixa probabilidade de sucesso dadas as salvaguardas da IRS. Em um resultado mais provável, um criminoso cibernético que aceda às suas informações no período do imposto provavelmente fará o que um criminoso cibernético faz em qualquer época do ano: procurar formas de rentabilizar essas informações. Isso pode incluir a abertura de um cartão de crédito em seu nome, a venda dos dados ou o acesso a outro criminoso cibernético, o acesso direto à sua conta bancária para iniciar uma transferência de fundos ou a compra online.

Abaixo, são apresentados os números de (1) isca de email de phishing e (2) do site autêntico do processador de terceiros:

Um email de phishing com uma imagem de cabeçalho IRS autorizado retirada de um site autêntico de processador de pagamentos de terceiros.
Figura 4: um email de phishing usa uma imagem de cabeçalho (IRS autorizado) obtida da ACI Payments, Inc., um processador de pagamentos listado no site do IRS.
Uma captura de tela de uma página da Web usando uma imagem de cabeçalho autorizada do IRS tirada de um site real da ACI Payments, Inc
Figura 5: exemplo de como a imagem autêntica de “IRS autorizado” é destacada no site real da ACI Payments, Inc..

O que os criminosos cibernéticos querem no período do imposto

Durante a temporada fiscal, enormes quantidades de dados de identidade e financeiros confidenciais circulam entre indivíduos e organizações como a IRS e diferentes tipos de provedores de serviços fiscais, como software de declaração de impostos ou marcas de preparação de impostos ou empresas locais de contabilidade e impostos para proprietários individuais.

Alguns dos dados de maior risco2 incluem:

  • Identidade: números do seguro social, carteira de motorista ou identificação estadual, detalhes do passaporte, EIN (números de identificação de empregador), números do CAF (arquivo de autorização centralizado)
  • Contas financeiras: números de contas financeiras, números de cartões de crédito e débito (com ou sem qualquer código de segurança obrigatório)
  • Senhas e acesso: senhas de email, PINs (números de identificação pessoal) e códigos de acesso

Em relação ao risco geral dos tesouros de informações pessoais que podem ser encontrados nas caixas de entrada de email pessoais das pessoas comuns, Wes Drone, especialista em crimes cibernéticos da solução Informações sobre ameaças da Microsoft, explica: “As pessoas podem ser acumuladores digitais em suas caixas de entrada de email, e as informações que mantêm são imensamente valiosas para os criminosos.”

Este risco não se limita apenas ao período dos impostos. Drone ressalta que a conta de email de uma pessoa comum contém correspondência e documentos de quase todos os aspectos de sua vida pessoal, e a temporada dos impostos é apenas uma das muitas ocasiões para tentar roubá-los.

“Você escolhe, se trata do seu endereço de email”, explica Drone, “e se um ator de ameaça obtiver acesso ao seu endereço de email, ele poderá redefinir as senhas de todas as suas outras contas”.

O risco para os indivíduos também pode se tornar um risco para as empresas. De acordo com Drone, se um ator de ameaça obtiver acesso à caixa de email de um funcionário, ele poderá instalar malware no ambiente do empregador.

“Agora estamos falando sobre todos os tipos de problemas possíveis”, diz Drone. “Uma grande coisa é o comprometimento do email empresarial, onde eles simplesmente começarão a se envolver com seus fornecedores ou pessoas com quem você faz negócios. Eles alterarão os números das faturas, enviarão faturas falsas e redirecionarão dinheiro, e isso pode ser um empreendimento muito caro.”

Como os criminosos cibernéticos obtêm seus dados

Embora as técnicas de phishing usadas pelos criminosos cibernéticos não sejam novas, elas permanecem tremendamente eficazes. Independentemente das variações, os ataques de phishing contra indivíduos durante a época fiscal levarão principalmente a um de dois resultados: o download por ladrões de informações (um tipo de malware Trojan) ou os usuários a inserirem as suas credenciais em páginas de destino falsificadas. Menos comumente, os phishers podem estar buscando acesso para baixar ransomware.

As campanhas de phishing na temporada fiscal tentam fazer com que os usuários acreditem que representam fontes legítimas, como empregadores e pessoal de RH, a IRS (Receita Federal dos Estados Unidos), organizações estaduais relacionadas a impostos ou provedores de serviços relacionados a impostos, como contadores e serviços de preparação fiscal (frequentemente usando marcas e logotipos grandes e confiáveis).

As táticas comuns que os criminosos cibernéticos usam para enganar seus alvos incluem falsificar as páginas de destino de serviços ou sites genuínos, usar URLs que parecem visualmente corretas, embora não o sejam (domínios homógrafos) e personalizar links de phishing para cada usuário.

Drone explica: “A razão pela qual essas campanhas de phishing na temporada de impostos continuam a funcionar – e têm funcionado há anos – é que ninguém quer receber algo da IRS”. Drone observa que receber mensagens relacionadas a impostos pode causar ansiedade assim que chega à caixa de entrada.

“Certamente as pessoas não querem perder o reembolso ou ter o reembolso roubado delas”, continua ele. “Os criminosos aproveitam esses medos e emoções em sua engenharia social para despertar a ansiedade, criando uma disposição para clicar urgentemente e fazer o que precisam”.

Embora os atores de ameaças usem uma variedade de iscas de diferentes organizações, os emails de phishing compartilham certos recursos comuns.

  • Item A – Marca: um recurso projetado para diminuir suas defesas. Os criminosos usam marcas que você reconhece e espera ver nesta época do ano, como a da IRS ou de empresas e serviços de preparação de impostos.
  • Item B – Conteúdo emocional: as iscas de phishing mais eficazes são aquelas cujas mensagens aumentam as emoções. Durante a temporada de impostos, os criminosos se aproveitam da esperança (você terá um reembolso grande e inesperado!) e também do medo (seu reembolso está suspenso ou você terá uma grande penalidade).
  • Item C – Urgência: Para um criminoso cibernético, a urgência é o que muitas vezes leva as pessoas a agir de uma forma que de outra forma não agiriam. Com urgência, ocorrerá o oposto do que você deseja que aconteça ou não, a menos que você aja antes do prazo.
  • Item D – O clique: quer se trate de um link, botão ou código QR, os criminosos querem que você clique fora da sua caixa de entrada e vá para o site malicioso deles.
um laptop exibe um exemplo de email de phishing com ícones indicando aspectos da imagem que serão explicados no artigo.
Figura 6: as frases de destaque em letras destacam algumas das características marcantes de uma isca de email de phishing.

A melhor defesa contra os criminosos cibernéticos, tanto na época fiscal como ao longo do ano, é a educação e uma boa higiene cibernética. Educação significa conscientização sobre phishing – saber como são as tentativas de phishing e o que fazer quando elas são encontradas. Uma boa higiene cibernética significa implementar medidas básicas de segurança, como autenticação multifator para contas financeiras e de email.

À medida que o Dia do Imposto se aproxima nos Estados Unidos, em 15 de abril, aqui estão algumas recomendações adicionais para ajudar os usuários e defensores a permanecerem vigilantes contra ameaças centradas nos impostos.

Sete formas de se proteger contra phishing

Cair em um ataque de phishing pode levar ao vazamento de informações confidenciais, redes infectadas, demandas financeiras, dados corrompidos ou pior, então veja como evitar que isso aconteça.3
  • Inspecione o endereço de email do remetente. Está tudo em ordem? Um caractere mal colocado ou uma grafia incomum pode indicar uma falsificação.
  • Desconfie de emails com saudações genéricas (“Prezado cliente”, por exemplo) que pedem para você agir com urgência.
  • Procure informações de contato verificáveis ​​do remetente. Em caso de dúvida, não responda. Inicie um novo email para responder.
  • Nunca envie informações confidenciais por email. Se você precisar transmitir informações privadas, use o telefone.
  • Pense duas vezes antes de clicar em links inesperados, especialmente se eles direcionarem você para entrar em sua conta. Para estar seguro, faça logon no site oficial.
  • Evite abrir anexos de email de remetentes desconhecidos ou amigos que normalmente não enviam anexos para você.
  • Instale um filtro de phishing em seus aplicativos de email e ative o filtro de spam em suas contas de email.

Habilitar a MFA (autenticação multifator)

Quer reduzir a probabilidade de ataques bem-sucedidos às suas contas? Ative a MFA. A autenticação multifator, como o próprio nome sugere, requer dois ou mais fatores de verificação.

Ao habilitar a MFA,mesmo que um invasor obtenha seu nome de usuário e senha, ele ainda não conseguirá acessar suas contas e informações pessoais. Comprometer mais de um fator de autenticação representa um desafio significativo para os invasores porque saber (ou decifrar) uma senha não será suficiente para obter acesso a um sistema. Com a MFA habilitada, você pode evitar 99,9% dos ataques às suas contas.4

Artigos relacionados

A higiene cibernética básica evita 99% dos ataques

Praticar uma higiene cibernética básica continua sendo a melhor maneira de defender as identidades, os dispositivos, os dados, os aplicativos, a infraestrutura e as redes de uma organização contra 98% de todas as ameaças cibernéticas. Descubra dicas práticas em um guia abrangente.
Saiba mais

Análise de comprometimento de email empresarial

O especialista em crimes digitais Matt Lundy fornece exemplos de comprometimento de email empresarial e analisa uma das formas de ataque cibernético mais comuns e caras.
Saiba mais

Alimentando-se da economia da confiança: fraude de engenharia social

Explore um cenário digital em evolução em que a confiança é tanto uma moeda quanto uma vulnerabilidade. Descubra as táticas de fraude de engenharia social mais usadas pelos atacantes cibernéticos e analise as estratégias que podem ajudá-lo a identificar e superar as ameaças de engenharia social criadas para manipular a natureza humana.
Saiba mais

Siga a Segurança da Microsoft