Trace Id is missing

Deklarationsperiod och cybersäkerhet: Vad vill cyberbrottslingarna och vilka fokuserar de mest på. Är det du?

Dela
Grafisk illustration som visar en bärbar dator med skattedokument på skärmen, pappersdokument som hamnar i en mapp märkt ”skatt”

I dagens hotlandskap är nätfiskeattacker lika oundvikliga som död och skatter. För finansiellt motiverade hotaktörer skapar deadlinepressen och den frenetiska hanteringen av formulär och dokument under deklarationsperioden en tilltalande möjlighet att distribuera nätfiskekampanjer riktade mot högriskdata från miljontals stressade och distraherade individer och företag.

Även om alla människor kan utsättas för nätfiske under deklarationstider, så är vissa grupper mer sårbara än andra. De främsta målgrupperna är individer som har begränsade kunskaper om hur skattesystemet fungerar, småföretagare, personer som betalar skatt för första gången skattebetalare och är under 25 år och äldre skattskyldiga över 60 år.

Hotinformationsrapporten om den här deklarationsperioden undersöker i följande avsnitt taktiken, teknikerna och procedurerna (TTP) som hotaktörer använder sig mest av:

  • Microsoft Threat Intelligence avslöjar en nätfiskekampanj för deklarationsperioden 2024 – här beskrivs en ny nätfisketeknik där vad som ser ut att vara skatterelaterade dokument från arbetsgivaren i själva verket används för nätfiske.
  • Hotaktörerna utger sig för att vara skattehandläggare i e-postmeddelanden med nätfiske – här beskrivs hur Microsoft Threat Intelligence har identifierat hur hotaktörerna använder logotyper för federala skattehandläggare.
  • Vad cyberbrottslingar vill ha i deklarationstider – här beskrivs de olika typer av högriskdata som cyberbrottslingarna vanligtvis fokuserar på under deklarationstider.
  • Så här lägger cyberbrottslingarna beslag på dina uppgifter – här beskrivs de tekniker för social manipulering som hotaktörerna oftast använder sig av.
  • Metodtips för cybersäkerhet i deklarationstider – här, tillhandahåller vi metodtips och praktiska råd om hur du ska iaktta vaksamhet mot social manipulering.

Microsoft Threat Intelligence har redan observerat nätfiskeaktiviteter under deklarationsperioden, däribland en kampanj från slutet av januari 2024 där man använde sig av skatterelaterade dokument som såg ut att komma från arbetsgivare.

Följande figurer visar (1) nätfiskebete i e-post, (2) en skadlig webbplats och (3) den här kampanjens två skadliga körbara filer – den skadliga programvaran:

Ett nätfiskemejl under deklarationsperioden som observerats av Microsoft Threat Intelligence i januari 2024.
Bild 1: Ett nätfiskemejl som innehåller en HTML-bilaga som tar användaren till en falsk landningssida
Skärmbild av en skadlig webbplats
Bild 2: Användarna har dirigerats till en webbsida som hotaktörerna med flit gjort suddig, en manipuleringsteknik avsedd att öka sannolikheten för ett klick. När offret klickar på Ladda ned dokument installeras skadlig på datorn.
Skärmbild as Utforskaren i Windows med två filer i programmappen: deepvau", ett program
Bild 3: En skadlig körbar fil med funktioner för att stjäla information har lämnats på offrets dator. När filen väl är i miljön försöker den samla in information, till exempel inloggningsuppgifter.

Hotaktörerna imiterar officiella entiteter

I andra kampanjer observerade Microsoft hur hotaktörerna i sina e-postmeddelanden med nätfiske använde bilder tagna från legitima tredjepartswebbplatser för hantering av federala skatteinbetalningar för att framstå som övertygande.

Även om dessa e-postmeddelanden ser legitima ut, så bör man som skattebetalare vara medveten om att officiella skattemyndigheter inte tar kontakt angående skattedeklarationer eller skattebetalningar via e-post, sms eller telefonsamtal.

I sällsynta fall kan en cyberbrottsling använda stulen information för att genomföra ett skatteåterbäringsbedrägeri. I det här specifika systemet lämnar brottslingen in en skattedeklaration i offrets namn och kräver en återbetalning.1 Sannolikheten att det här tillvägagångssättet ska lyckas är dock liten på grund av befintliga skyddssystem. Ett mer troligt resultat är att den cyberbrottsling som kommer åt din information under deklarationsperioden gör det som varje cyberbrottsling skulle göra när som helst på året – det vill säga hitta ett sätt att tjäna pengar på informationen. Detta skulle kunna vara att skaffa ett kreditkort i ditt namn, sälja information eller åtkomst till en annan cyberbrottsling, få direkt åtkomst till ditt bankkonto i syfte att initiera en pengaöverföring eller ett online-köp.

I bilden nedan visas (1) nätfiskebetet via e-post och (2) tredjepartswebbplatsen:

Ett nätfiskemejl med sidhuvudbilden Authorized IRS hämtad från en autentisk webbplats för ett betalningslösningsföretag från tredje part.
Bild 4: Ett nätfiskemejl med en sidhuvudbild (Authorized IRS) hämtad från ACI Payments, Inc., ett betalningslösningsföretag som står i listan på den amerikanska skattemyndighetens webbplats.
Skärmbild av en webbsida med sidhuvudbilden Authorized IRS hämtad från den faktiska ACI Payments, Inc.-webbplatsen
Bild 5: Exempel som visar en autentisk Authorized IRS-bild markerad på den faktiska ACI Payments, Inc.-webbplatsen.

Vad cyberbrottslingarna vill under deklarationstider

Under deklarationstider flödar enorma mängder känsliga ekonomi- och identitetsrelaterade data fram och tillbaka mellan individer och organisationer som skattemyndigheten och olika typer av tjänstprovidrar, revisions- och redovisningskonsulter och enskilda företag.

Dessa högriskdata2 kan vara:

  • Identitet: Personnummer, uppgifter om körkort, nationellt ID, pass och liknande
  • Ekonomisk redovisning: Bankkontonummer och kredit- eller betalkortsnummer (med eller utan nödvändig säkerhetskod)
  • Lösenord och åtkomst: Lösenord till e-post, PIN-koder och åtkomstkoder

När det gäller risken rent generellt att cyberbrottslingar ska kunna hitta information i människors personliga e-postmappar, säger Microsoft Threat Intelligence-cyberbrottsexperten Wes Drone: ”Enskilda personer e-postmappar kan vara rena skattkammaren för cyberbrottslingar när det gäller digitala sekretessuppgifter”.

Den här risken är inte begränsad till skattedeklarationstider. Drone påpekar att de flesta personers e-postkonton innehåller korrespondens och dokument som täcker in nästan alla aspekter av deras personliga liv, och aktiviteter i samband med skattedeklarationen är bara ett av många tänkbara tillfällen då någon kan tänkas försöka stjäla dessa uppgifter.

”Vad än det är, så kommer det att hamna i din e-post”, förklarar Drone, ”och om en hotaktör får tillgång till din e-postadress kan de ändra lösenorden för alla dina andra konton.”

Riskerna för enskilda personer kan även innebära risker för företag. Om en hotaktör får tillgång till en anställds e-postlåda, kan hotaktören, enligt Drone, installera skadlig programvara hos personens arbetsgivare.

”Nu är vi inne på alla möjliga sorters problem”, säger Drone. ”Ett stort problem är kompromettering av e-post för företag, genom vilken hotaktören även kan angripa dina leverantörer och affärskontakter. De kan ändra nummer på fakturor, skicka falska fakturor och dirigera om pengar, vilket kan bli mycket kostsamt.”

Så här kommer cyberbrottslingar över dina data

Även om de tekniker för nätfiske som cyberbrottslingarna använder inte är nya, så är de fortfarande oerhört effektiva. Oavsett olika varianter kommer nätfiskeattackerna mot enskilda individer under deklarationsperioden i första hand att leda till endera av två tänkbara resultat: nedladdning av informationstjuvar (en typ av trojansk skadlig kod) eller att användaren som matar in sin personliga autentiseringsuppgifter på falska landningssidor. En annan, men mindre vanligt förekommande, risk är att nätfiskeangriparen försöker ladda ned en utpressningstrojan.

Under deklarationsperioden försöker nätfiskeangriparna ofta lura användarna att tro att de representerar legitima intressen, som arbetsgivare, personalavdelning, skattemyndigheten, skatte- och deklarationsrelaterade organisationer som revisorer och redovisningskonsulter (varvid man ofta använder sig av stora och pålitliga varumärken och logotyper).

Vanliga taktiker som cyberbrottslingar använder för att lura sina offer är att presentera falska målsidor för äkta tjänster eller webbplatser, använda webbadresser som ser korrekta ut rent visuellt även om de inte är det (homoglyf-domäner), och anpassa nätfiske-länkar för respektive användare.

Drone förklarar: ”Anledningen till att dessa nätfiskekampanjer under deklarationstider fortsätter att fungera – och de har fungerat i flera år – är att ingen vill få något från skattemyndigheten.” Drone påtalar att skatterelaterade meddelanden i inkorgen ofta kan orsaka ångest.

”Människor vill verkligen inte gå miste om att få sin skatteåterbetalning eller riskera att den förskingras”, fortsätter han. ”Brottslingarna utnyttjar dessa rädslor och känslor i sin sociala manipulering genom att väcka ångest och skapa en vilja att snabbt eliminera risken genom att klicka på vadhelst som måste klickas på för att åtgärda situationen.”

Även om hotaktörerna använder sig av en mängd olika beten, så delar alla e-postmeddelanden med nätfiske vissa gemensamma egenskaper.

  • Exempel A – Varumärkesanpassning: En funktion vars syfte är att få dig att sänka din försvarsberedskap. Brottslingarna använder sig av varumärkesprofiler som du känner igen och förväntar dig att se den här tiden på året, t.ex. skattemyndigheten eller någon revisor eller redovisningskonsult.
  • Exempel B – Emotionellt innehåll: De mest effektiva nätfiskeknepen är de som väcker känslor. Under deklarationstider utnyttjar brottslingarna såväl sina offers hopp (exempelvis om en oväntad återbetalning) som deras rädslor (en återbetalning är pausad, eller en enorm straffavgift har fastställts).
  • Exempel C – Brådska: För en cyberbrottsling är känslan av brådska det som ofta får offren att agera på ett sätt som de annars inte skulle göra. Denna känsla av brådska baseras på att motsatsen till vad du vill ska hända eller inte hända kommer att inträffa om du inte agerar innan en viss deadline.
  • Exempel D – Klicket: Oavsett om det handlar om en länk, knapp eller QR-kod, så vill brottslingen i slutändan att du ska klicka dig bort från inkorgen till en skadlig webbplats.
Bärbar dator med ett exempel på ett nätfiskemejl där symboler visar delar av bilden som förklaras i artikeln.
Bild 6: Bokstäverna visar några av kännetecknen för ett bedrägeri via nätfiskemejl.

Det bästa försvaret mot cyberbrottslingar, såväl under deklarationstider som resten av året, är utbildning och god cyberhygien. Utbildning innebär nätfiskemedvetenhet – att veta hur nätfiskeangrepp ser ut och vad man ska göra när de dyker upp. God cyberhygien innebär att man implementerar grundläggande säkerhetsåtgärder som multifaktorautentisering för bankkonton och e-postkonton.

När deadlinen för deklarationen närmar finns det några ytterligare rekommendationer som kan bidra till att hålla vaksamheten uppe mot dessa deklarationsrelaterade hot.

Sju sätt att skydda sig mot nätfiske

Att falla offer för en nätfiskeattack kan leda till att konfidentiell information läcks, nätverk infekteras, ekonomiska krav uppstår, data komprometteras eller något ännu värre. Så här gör du för att förhindra att det händer.3
  • Kontrollera avsändarens e-postadress. Ser den ut att vara OK? Ett felplacerat tecken, en ovanlig stavning, kan tyda på att det handlar om ett bedrägeri.
  • Iaktta försiktighet med e-postmeddelanden med generella hälsningsfraser (som ”Bästa kund!”) som uppmanar dig att agera snabbt.
  • Titta efter verifierbara kontaktuppgifter. Om du känner någon som helst tvekan, så svara inte. Skriv istället ett nytt e-postmeddelande som svar.
  • Skicka aldrig någon känslig information via e-post. Om du måste ange privat information, så gör det via telefon.
  • Tänk dig för två gånger innan du klickar på en oväntad länk, särskilt om de uppmanar dig till att logga in på ditt eget konto. Logga istället in från den officiella webbplatsen för säkerhets skull.
  • Undvik att öppna e-postbilagor från okända avsändare eller vänner som vanligtvis inte skickar bilagor till dig.
  • Installera ett nätfiskefilter för dina e-postappar och aktivera skräppostfiltren på dina e-postkonton.

Aktivera multifaktorautentisering (MFA)

Vill du minska sannolikheten för att attacker mor dina konton ska lyckas? Aktivera MFA. Multifaktorautentisering kräver, som namnet antyder, två eller fler faktorer vid verifiering.

Om du har aktiverat multifaktorautentisering kan en angripare inte få tillgång till dina konton eller personliga uppgifter, även om angriparen har kommit över ditt användarnamn och lösenord. Att angripa mer än en autentiseringsfaktor innebär en betydande utmaning för en angripare eftersom det inte räcker med att knäcka ett lösenord får att få åtkomst till ett system. Med aktiverat MFA kan du förebygga 99,9 % av alla attacker mot dina konton.4

Relaterade artiklar

Grundläggande cyberhygien förhindrar 99 procent av alla attacker

Grundläggande cyberhygien är det bästa sättet att försvara en organisations identiteter, enheter, data, appar, infrastruktur och nätverk mot 98 % av alla cyberhot. Utforska praktiska tips i en omfattande guide.
Mer information

En närmare titt på e-postintrång hos företag

Matt Lundy, expert på digitala brott, ger exempel på e-postintrång hos företag och förklarar en av de vanligaste och mest kostsamma formerna av cyberattacker.
Mer information

Livnär sig på förtroendeekonomin: bedrägeri med social manipulering

Utforska ett digitalt landskap under ständig utveckling där tillit både är hårdvaluta och sårbarhet. Upptäck de metoder för social manipulering som cyberkriminella använder mest, och gå igenom strategier som kan hjälpa dig att identifiera och utmanövrera hot via social manipulering som har för avsikt att lura människor.
Mer information

Följ Microsoft Security