Trace Id is missing
Перейти до основного
Security Insider

Кібербезпека під час податкового сезону: мета зловмисників і їх найпоширеніші цілі. Можливо, ви потенційна жертва?

Поділитися
Графічна ілюстрація, на якій зображено ноутбук із податковими документами на екрані та паперові документи, що летять у папку з назвою "Податок"

У сучасному світі загроз фішингові атаки так само неминучі, як смерть і податки. Для фінансово мотивованих зловмисників стислі терміни та шалений обмін формами й документами під час сезону подання податкових декларацій надають спокусливу можливість розгорнути кампанії з фішингу, націлені на отримання дуже вразливих даних мільйонів осіб і компаній, які перебувають у стані стресу та розгубленості.

Хоча ціллю таких атак може стати будь-хто, певні групи людей є більш вразливими. Основними цілями атак є особи, які менш обізнані щодо методів зв’язку з Федеральною податковою службою, наприклад власники зеленої картки, власники малого бізнесу, нові платники податків віком до 25 років і старші платники податків віком понад 60 років.

У наступних розділах цього спеціального звіту про аналіз загроз під час податкового сезону представлено огляд тактик, методів і процедур, які найчастіше використовують джерела загрози.

  • Служба Аналізу загроз Microsoft викриває кампанію з фішингу під час податкового сезону 2024 року, детально описуючи новий метод фішингу податкового сезону, у якому використовуються приманки, замасковані під податкові документи, надані роботодавцями.
  • Джерела загрози видають себе за обробників податкових платежів у фішингових електронних листах. У розділі описується, як служба Аналізу загроз Microsoft виявила, що зловмисники використовували емблеми сторонніх федеральних обробників платежів.
  • Чого хочуть кіберзлочинці під час податкового сезону. У цьому розділі ми визначили різні типи даних із високим ризиком, які зазвичай стають ціллю під час податкового сезону.
  • Як кіберзлочинці отримують ваші дані. У цьому розділі описано пов’язані з податковим сезоном методи соціотехніки, які найчастіше використовуються джерелами загрози.
  • Практичні поради щодо кібербезпеки під час податкового сезону. Тут викладено практичні поради та дієві рекомендації, як залишатися пильними щодо атак із використанням соціотехніки.

Аналіз загроз Microsoft уже спостерігав фішингову діяльність під час податкового сезону, зокрема кампанію в кінці січня 2024 року, у якій використовувалися приманки, замасковані під податкові документи, надані роботодавцями.

На рисунках нижче зображено (1) фішинговий електронний лист-приманку, (2) зловмисний веб-сайт і (3) два зловмисні виконувані файли (шкідливе програмне забезпечення) з цієї кампанії.

Фішинговий електронний лист у податковий сезон, виявлений за допомогою Аналізу загроз Microsoft у січні 2024 року.
Рисунок 1. Фішинговий електронний лист з HTML-вкладенням, яке спрямовує користувача на підроблену цільову сторінку
Знімок екрана зі шкідливим веб-сайтом
Рисунок 2. Користувачів було спрямовано на веб-сторінку, яку зловмисники навмисно зробили розмитою. Така соціотехніка спрямована на те, щоб підвищити ймовірності кліку. Щойно жертва натисне підказку "Завантажити документи", на її комп’ютер буде інстальовано шкідливе програмне забезпечення.
Знімок екрана з файловим провідником Windows, на якому показано два файли в папці "Програми": deepvau", програма
Рисунок 3. Шкідливий виконуваний файл, який може викрадати інформацію, завантажено на комп’ютер жертви. Потрапивши в середовище, він спробує зібрати інформацію, зокрема облікові дані для входу.

Джерела загрози видають себе за офіційні установи

В інших кампаніях корпорація Майкрософт спостерігала, як джерела загрози використовували зображення, отримані із законних сторонніх федеральних сайтів обробки податкових платежів, у фішингових електронних листах, щоб надати їм переконливого вигляду.

Хоча ці електронні листи здаються законними, платники податків повинні знати, що офіційні органи, такі як Федеральна податкова служба, не ініціюють зв’язок щодо податкових декларацій або платежів електронною поштою, текстовими повідомленнями чи телефонними дзвінками.

У рідкісних випадках кіберзлочинці можуть використовувати викрадену інформацію для шахрайства з відшкодуванням податків. У цій конкретній схемі зловмисники подають податкову декларацію від імені жертви та вимагають відшкодування податку.1 Однак завдяки механізмам безпеки Федеральної податкової служби цей підхід має мало шансів на успіх. Набагато ймовірніше, що кіберзлочинець, який отримує доступ до інформації жертви під час податкового сезону, робитиме те, що зробив би в будь-який інший час року – шукатиме спосіб монетизувати інформацію. Зокрема, зловмисник може відкрити кредитну картку на ім’я жертви, продати дані або доступ до них іншому кіберзлочинцю, отримати прямий доступ до банківського рахунку для переказу коштів, робити покупки в Інтернеті тощо.

На рисунках нижче зображено (1) фішинговий електронний лист-приманку та (2) справжній веб-сайт стороннього обробника платежів.

Фішинговий електронний лист із зображенням заголовка з текстом "Authorized IRS" (Авторизовано Федеральною податковою службою), узятим із реального веб-сайту сторонньої платіжної системи.
Рисунок 4. У фішинговому електронному листі використовується зображення заголовка (Authorized IRS – авторизовано Федеральною податковою службою), узяте в ACI Payments, Inc., платіжної системи, указаної на веб-сайті Федеральної податкової служби.
Знімок екрана з веб-сторінкою, на якій використано зображення заголовка з текстом "Authorized IRS" (Авторизовано Федеральною податковою службою), узяте з фактичного веб-сайту ACI Payments, Inc
Рисунок 5. Приклад того, як справжнє зображення з текстом "Authorized IRS" (Авторизовано Федеральною податковою службою) виділено на фактичному веб-сайті ACI Payments, Inc.

Мета кіберзлочинців під час податкового сезону

Під час податкового сезону відбувається обмін величезними обсягами делікатних фінансових та ідентифікаційних даних між окремими особами й організаціями, такими як Федеральна податкова служба, і різними постачальниками податкових послуг, наприклад програмним забезпеченням для подання податкових декларацій, компаніями з підготовки податкових декларацій, місцевими бухгалтерськими й податковими фірмами, а також підприємцями.

Нижче наведено дані з найвищим рівнем ризику2.

  • Ідентифікаційні дані: ідентифікаційні номери, посвідчення водія або особи, паспортні дані, ідентифікаційні номери роботодавців, номери CAF (Centralized Authorization File).
  • Фінансові рахунки: номери фінансових рахунків, номери кредитних і дебетових карток (із захисним кодом або без нього).
  • Паролі та доступ: паролі електронної пошти, особисті ідентифікаційні номери (PIN-коди) і коди доступу.

Вес Дрон, експерт із кіберзлочинності з Аналізу загроз Microsoft, пояснює загальний ризик, пов’язаний із великою кількістю персональних даних, що зберігаються в особистих поштових скриньках більшості людей: "Люди можуть накопичувати великі обсяги цифрових даних у своїх поштових скриньках, й інформація, яку вони зберігають, неймовірно цінна для злочинців".

Цей ризик не обмежується лише податковим сезоном. Дрон зазначає, що обліковий запис електронної пошти середньостатистичної людини містить листування й документи, що стосуються майже всіх аспектів їхнього особистого життя, і податковий сезон є лише однією з багатьох можливостей спробувати їх украсти.

"Загалом усе надходить на вашу адресу електронної пошти", – пояснює Дрон, – "і якщо джерело загрози отримає до неї доступ, він зможе скинути паролі для всіх інших ваших облікових записів".

Ризик для окремих осіб може стати ризиком для компаній. За словами Дрона, якщо джерело загрози отримає доступ до електронної пошти працівника, то зможе інсталювати шкідливе програмне забезпечення в середовищі роботодавця.

"Тоді можуть виникнути найрізноманітніші проблеми", – зазначає Дрон. "Серйозною проблемою є порушення безпеки корпоративної електронної пошти, коли зловмисники просто починають спілкуватися з постачальниками компанії чи людьми, з якими вона веде бізнес. Вони змінюють номери рахунків, надсилають підроблені рахунки та переспрямовують грошові перекази, і це може коштувати дуже дорого".

Як кіберзлочинці отримують ваші дані

Хоча методи фішингу, які використовують кіберзлочинці, не є новими, вони все ще надзвичайно ефективні. Незалежно від різновидів, фішингові атаки на окремих осіб під час податкового сезону призводять до одного з двох результатів: завантаження програм для крадіжки інформації (різновид зловмисних троянських програм) або введення користувачами облікових даних на підроблених цільових сторінках. У рідкісних випадках шахраї можуть спробувати отримати доступ, щоб завантажити зловмисну програму з вимогою викупу.

Кампанії з фішингу податкового сезону намагаються обманом переконати користувачів повірити, що повідомлення надходять із законних джерел, таких як роботодавці та фахівці з кадрів, Федеральна податкова служба, державні податкові організації або постачальники податкових послуг, як-от бухгалтери й укладачі податкових декларацій (часто використовують великі бренди, що заслуговують на довіру, і емблеми).

Поширена тактика, що використовується кіберзлочинцями для обману цілей, передбачає підробку цільових сторінок справжніх служб або веб-сайтів, використання URL-адрес,які на перший погляд здаються правильними (омогліфічні домени), і налаштування фішингових посилань для окремих користувачів.

Дрон пояснює: "Причина, через яку ці кампанії з фішингу податкового сезону все ще працюють – і вже багато років, – полягає в тому, що ніхто не хоче нічого отримувати від Федеральної податкової служби". Дрон зазначає, що отримання повідомлення, пов’язаного з податками, може викликати занепокоєння, щойно з’явиться в поштовій скриньці.

Далі він каже: "Люди безперечно не хочуть упустити відшкодування або щоб його в них украли". "Злочинці використовують ці страхи й емоції в методах соціотехніки, щоб викликати занепокоєння, змусити жертву терміново натиснути певний елемент і виконати потрібну дію".

Хоча джерела загроз використовують різноманітні приманки, видаючи себе за різні організації, фішингові електронні листи мають деякі спільні риси.

  • Елемент А – брендинг. Риса, спрямована послабити пильність жертви. Злочинці використовують брендинг, який ви знаєте й очікуєте побачити в цей період року (наприклад, Федеральної податкової служби або компаній і служб із підготовки податкових декларацій).
  • Елемент Б – емоційний вміст. Найефективнішими фішинговими приманками є ті, чиї повідомлення викликають емоції. Під час податкового сезону злочинці грають на почуттях надії (повідомлення на кшталт "Ви отримали несподівано велике відкодування!") і страху ("Ваше відшкодування утримується" або "Вам потрібно заплатити великий штраф").
  • Елемент В – терміновість. Кіберзлочинці часто змушують людей вживати дій під тиском терміновості, які вони інакше не зробили б. Коли використовується відчуття терміновості, у жертви створюється враження, що станеться протилежне тому, що вона хоче або ні, якщо вона не почне діяти до встановленого терміну.
  • Елемент Г – клік. Злочинці зрештою спробують обманом змусити вас натиснути посилання, кнопку чи QR-код, щоб вийти з поштової скриньки та перейти на зловмисний веб-сайт.
На ноутбуці показано приклад фішингового електронного листа з піктограмами, що позначають аспекти зображення, які буде пояснено в статті.
Рисунок 6. Виносками з літерами виділено деякі характерні ознаки приманки у фішинговому електронному листі.

Найкращий захист від кіберзлочинців, як під час податкового сезону, так і протягом усього року, – це знання та належна кібергігієна. Знання означає поінформованість про фішинг – те, як виглядають спроби фішингу й що робити, якщо ви з ним зіштовхнетеся. Належна кібергігієна полягає у впровадженні базових заходів безпеки, таких як багатофакторна автентифікація для фінансових облікових записів і облікових записів електронної пошти.

Оскільки в США наближається день сплати податків (15 квітня), нижче наведено кілька додаткових рекомендацій, які допоможуть користувачам і фахівцям із безпеки залишатися пильними щодо загроз, пов’язаних із податками.

7 способів захисту від фішингу

Фішингова атака може призвести до витоку конфіденційної інформації, зараження мереж, грошових вимог, пошкодження даних або гірших наслідків. Нижче описано, як не стати жертвою таких атак.3
  • Перевіряйте адресу електронної пошти відправника. Чи все гаразд? Неправильне розташування символу або незвичне написання можуть свідчити про підробку.
  • Остерігайтесь електронних листів із загальним формулюванням привітання (наприклад, "Шановний клієнте"), у яких вас просять вжити термінових дій.
  • Знайдіть контактну інформацію відправника, яку можна перевірити. Якщо маєте сумніви, не відповідайте на лист. Натомість створіть новий лист, щоб надіслати відповідь.
  • Ніколи не надсилайте делікатну інформацію електронною поштою. У разі необхідності передавайте приватну інформацію телефоном.
  • Не спішіть натискати неочікувані посилання, зокрема якщо вони спрямовують вас на вхід в обліковий запис. Задля безпеки ввійдіть натомість на офіційному веб-сайті.
  • Не відкривайте вкладення від невідомих відправних або друзів, які зазвичай їх вам не надсилають.
  • Інсталюйте фільтр фішингу для програм електронної пошти й увімкніть фільтр спаму в облікових записах електронної пошти.

Увімкніть багатофакторну автентифікацію

Хочете зменшити ймовірність успішних атак на ваші облікові записи? Увімкніть багатофакторну автентифікацію (БФА). Багатофакторна автентифікація, як випливає з назви, вимагає використовувати принаймні два фактори перевірки.

Якщо ввімкнено БФА, зловмисник не зможе отримати доступ до облікових записів і персональних даних, навіть маючи ваше ім’я користувача та пароль. Порушення безпеки кількох факторів автентифікації – непросте завдання для зловмисників, оскільки недостатньо лише знати (або зламати) пароль, щоб отримати доступ до системи. Завдяки ввімкнутій багатофакторній автентифікації можна  запобігти 99,9% атак на облікові записи.4

Пов’язані статті

Базова кібергігієна запобігає 99% атак

Базова кібергігієна як і раніше є найкращим способом захисту ідентичностей, пристроїв, даних, програм, інфраструктури та мереж організації від 98% усіх кіберзагроз. Перегляньте практичні поради в цьому докладному посібнику.
Дізнатися більше

Огляд порушень безпеки корпоративної електронної пошти

Експерт із кіберзлочинів Метт Ланді наводить приклади порушень безпеки корпоративної електронної пошти та описує одну з найпоширеніших і найдорожчих форм кібератак.
Дізнатися більше

Наживання на довірі: шахрайство з використанням соціотехніки

Дізнайтеся про цифрове середовище, яке постійно розвивається й у якому довіра – це одночасно і валюта, і вразливість. Ознайомтеся із шахрайськими методами соціотехніки, якими найчастіше послуговуються зловмисники, і розгляньте стратегії, які допомагають виявляти подібні загрози, призначені для маніпулювання людською природою, а також уникати їх.
Дізнатися більше

Підпишіться на новини про Захисний комплекс Microsoft