Trace Id is missing

Het belastingseizoen en cyberbeveiliging: Wat cybercriminelen willen en wie ze het meest aanvallen. Ben jij het?

Deel
Grafische illustratie van een laptop met belastingdocumenten op het scherm en papieren documenten die een map met de titel 'Belasting' invliegen

In het moderne bedreigingslandschap zijn phishingaanvallen zo onvermijdelijk als de dood en belastingen. Voor bedreigingsactoren met financiële drijfveren is het belastingseizoen, met de druk om deadlines te halen en de hectische uitwisseling van formulieren en documenten, een aantrekkelijke gelegenheid om phishingcampagnes uit te voeren. Deze campagnes zijn gericht op gegevens met een hoog risico van miljoenen gestreste en afgeleide individuen en bedrijven.

Hoewel iedereen een doelwit van phishing tijdens het belastingseizoen kan zijn, zijn bepaalde groepen personen kwetsbaarder dan andere groepen. Belangrijke doelwitten zijn individuen die minder kennis hebben van de communicatieprocedures van de IRS: Green Card-houders, eigenaren van kleine bedrijven, nieuwe belastingbetalers jonger dan 25 en belastingbetalers ouder dan 60.

Dit speciale rapport over bedreigingsinformatie tijdens het belastingseizoen onderzoekt de tactieken, technieken en procedures (TTP's) die bedreigingsactoren het meest gebruiken in de volgende secties:

  • Microsoft Bedreigingsinformatie ontdekt een phishingcampagne tijdens het belastingseizoen van 2024, waarin details over een nieuwe phishingtechniek tijdens het belastingseizoen worden beschreven. Deze techniek maakt gebruik van lokmiddelen die zich voordoen als aan de belasting gerelateerde documenten die zijn aangeleverd door werkgevers.
  • Bedreigingsactoren imiteren verwerkers van belastingbetalingen in phishing-e-mails, waarin wordt beschreven hoe Microsoft Bedreigingsinformatie heeft waargenomen dat bedreigingsactoren gebruikmaken van logo's van derden die betalingen van overheidsbelastingen verwerken.
  • Wat cybercriminelen willen in het belastingseizoen, waarin we de verschillende typen gegevens met hoog risico identificeren. Deze gegevens zijn vaak het doelwit in het belastingseizoen.
  • Hoe cybercriminelen je gegevens verkrijgen, waarin we social engineering-technieken beschrijven die tijdens het belastingseizoen het meest worden gebruikt door bedreigingsactoren.
  • Best practices voor cyberbeveiliging tijdens het belastingseizoen, waarin we best practices en praktisch advies geven om waakzaam te blijven tegen aanvallen via social engineering.

Microsoft Bedreigingsinformatie heeft al phishingactiviteit in het belastingseizoen waargenomen, waaronder een campagne van eind januari 2024 waarin gebruik wordt gemaakt van lokmiddelen die zich voordoen als aan de belasting gerelateerde documenten die zijn aangeleverd door werkgevers.

In de volgende afbeeldingen zie je (1) de phishing-e-mail als lokmiddel, (2) de kwaadaardige website en (3) de twee kwaadaardige uitvoeringen (de malware) van deze campagne:

Een phishing-e-mail tijdens het belastingseizoen, waargenomen door Microsoft Bedreigingsinformatie in januari 2024.
Afbeelding 1: Een phishing-e-mail bevat een HTML-bijlage die de gebruiker naar een nep-landingspagina leidt
Schermopname van een schadelijke website
Afbeelding 2: Gebruikers zijn omgeleid naar een webpagina die opzettelijk vaag is gehouden door de bedreigingsactoren. Dit is een social engineering-techniek die bedoeld is om de kans op een klik te vergroten. Zodra doelwitten klikken op de prompt 'Documenten downloaden',wordt er malware geïnstalleerd op hun computer.
Schermopname van een Windows-bestandenverkenner met twee bestanden in de map 'programs': 'deepvau", een toepassing
Afbeelding 3: Een schadelijk uitvoerbaar bestand met mogelijkheden voor gegevensdiefstal is geplaatst op de machine van het doelwit. Zodra het bestand in de omgeving is geplaatst, wordt het gebruikt om informatie te verzamelen, waaronder aanmeldingsgegevens.

Bedreigingsactoren imiteren officiële entiteiten

In andere campagnes heeft Microsoft bedreigingsactoren waargenomen die in hun phishing-e-mails gebruikmaken van afbeeldingen van websites van derden die betalingen van overheidsbelastingen verwerken. Met deze afbeeldingen proberen de actoren om geloofwaardig over te komen.

Hoewel deze e-mails er legitiem uitzien, moeten belastingbetalers weten dat officiële entiteiten zoals de IRS geen contact opnemen over belastingaangiften of belastingbetalingen via een e-mail, sms of telefoongesprek.

In uitzonderlijke gevallen kan een cybercrimineel gestolen gegevens gebruiken voor fraude via belastingteruggaven. In dit specifieke geval doen criminelen de belastingaangifte uit naam van het doelwit en claimen ze een terugbetaling.1 Deze benadering heeft echter weinig kans van slagen vanwege de beveiligingsmaatregelen van de IRS. Het is waarschijnlijker dat een cybercrimineel die tijdens het belastingseizoen toegang tot je gegevens heeft, doet wat die het hele jaar doet: manieren zoeken om de gegevens te monetariseren. Dat kan bijvoorbeeld door een creditcard op jouw naam aan te vragen, de gegevens of toegang te verkopen aan een andere cybercrimineel, rechtstreeks toegang te krijgen tot je bankrekening om geldmiddelen over te schrijven of door online te winkelen.

In de onderstaande afbeeldingen zie je (1) de phishing-e-mail als lokmiddel en (2) de authentieke site van de derde (de verwerker):

Een phishing-e-mail met een afbeelding van Authorized IRS-header, zoals weergegeven op een authentieke website van een externe betalingsverwerker.
Afbeelding 4: Een phishing-e-mail met een afbeelding van een header (Authorized IRS), zoals weergegeven bij ACI Payments, Inc., een betalingsverwerker die op de IRS-website wordt vermeld.
Een schermopname van een webpagina met een afbeelding van een 'Authorized IRS'-header, zoals weergegeven op een werkelijke website van ACI Payments, Inc
Afbeelding 5: Voorbeeld van hoe de authentieke 'Authorized IRS'-afbeelding wordt gemarkeerd op de werkelijke website van ACI Payments, Inc .

Wat cybercriminelen willen tijdens het belastingseizoen

Tijdens het belastingseizoen worden grote hoeveelheden gevoelige financiële en identiteitsgegevens uitgewisseld tussen individuen en organisaties zoals de IRS en verschillende leveranciers van belastingdiensten (bijvoorbeeld voor software voor de belastingaangifte, merken voor de belastingvoorbereiding of lokale boekhouders en belastingadvieskantoren voor zelfstandigen).

Enkele van de gegevens met hoog risico2 omvatten:

  • Identiteit: Sociaal-fiscale nummers, id's van rijbewijzen of de staat, paspoortgegevens, werkgevers-id's en Centralized Authorization File (CAF)-id's
  • Financiële rekeningen: Nummers van financiële rekeningen, nummers van creditcards en betaalkaarten (met of zonder vereiste beveiligingscode)
  • Wachtwoorden en toegang: E-mailwachtwoorden, persoonlijke identificatienummers (PIN's) en toegangscodes

In het Postvak IN van de gemiddelde persoon wordt een schat aan persoonlijke gegevens in e-mails bewaard. Wes Drone, Microsoft Bedreigingsinformatie-expert in cybercriminaliteit, legt het algemene risico van deze verzameling uit: "Mensen kunnen digitaal hamsteren in hun postvakken. De informatie die ze bewaren is enorm waardevol voor criminelen."

Het risico is niet beperkt tot het belastingseizoen. Drone wijst erop dat het e-mailaccount van de gemiddelde persoon correspondentie en documenten bevat van bijna elk aspect van het privéleven. Het belastingseizoen is slechts één van vele gelegenheden om deze informatie te stelen.

"Noem maar wat op en je ontvangt het op je e-mailadres", legt Drone uit. "Als een bedreigingsactor toegang krijgt tot je e-mailadres, kan deze de wachtwoorden voor al je andere accounts opnieuw instellen."

Het risico voor individuen kan ook een risico voor bedrijven worden. Volgens Drone kan een bedreigingsactor die toegang krijgt tot het postvak van een werknemer, malware installeren binnen de omgeving van de werkgever.

"We praten nu over allerlei mogelijke problemen", zegt Drone. "Een van de grotere problemen is inbreuk op zakelijke e-mail, waarbij de actor bijvoorbeeld begint te communiceren met je leveranciers of personen met wie je zakendoet. Ze veranderen getallen op facturen, verzenden nepfacturen of leiden geld om, allemaal voorbeelden van een zeer dure inspanning."

Hoe cybercriminelen je gegevens verkrijgen

Hoewel de phishingtechnieken die cybercriminelen gebruiken niet nieuw zijn, blijven ze ontzettend effectief. Alle variaties van phishingaanvallen tegen individuen tijdens het belastingseizoen leiden voornamelijk tot één van twee aflopen: het downloaden van infostealers (een soort malware met een Trojaans paard om gegevens te stelen) of gebruikers die hun aanmeldingsgegevens invoeren op vervalste landingspagina's. Het komt minder vaak voor dat phishingaanvallers toegang zoeken om ransomware te downloaden.

Phishingcampagnes tijdens het belastingseizoen proberen om gebruikers te misleiden door ze te laten geloven dat ze legitieme bronnen vertegenwoordigen, bijvoorbeeld werkgevers en HR-personeel, de Internal Revenue Service (IRS), organisaties die gerelateerd zijn aan belastingen op staatsniveau, leveranciers van aan belasting gerelateerde diensten zoals boekhouders en diensten voor de belastingvoorbereiding. Vaak worden grote, vertrouwde merken en logo's gebruikt.

Algemene tactieken die cybercriminelen gebruiken om hun doelwitten te misleiden, zijn onder andere de vervalsing van landingspagina's van echte diensten of websites, het gebruiken van URL's die visueel correct lijken maar dat niet zijn (homogliefdomeinen) en het voor elke gebruiker aanpassen van phishingkoppelingen.

Drone legt uit: "De reden dat deze phishingcampagnes tijdens het belastingseizoen blijven werken, en ze werken al jaren, is dat niemand iets wil ontvangen van de IRS." Drone neemt waar dat aan belasting gerelateerde berichten onrust kunnen veroorzaken op het moment dat ze worden ontvangen in het postvak.

"Mensen willen absoluut niet dat ze een terugbetaling missen of dat de terugbetaling van ze wordt gestolen", vervolgt hij. "Criminelen maken in hun social engineering gebruik van deze angsten en emoties om onrust te stimuleren, waardoor ze bereidheid vinden om snel te klikken en te doen wat ze moeten doen."

Hoewel bedreigingsactoren een verscheidenheid aan lokmiddelen met verschillende organisaties gebruiken, delen phishing-e-mails bepaalde algemene kenmerken.

  • Item A - Huisstijl: Een kenmerk dat is ontworpen om je verdediging te verzwakken. Criminelen gebruiken huisstijlen die je herkent en die je rond deze tijd van het jaar verwacht te zien, zoals de huisstijl van de IRS of van bedrijven en diensten voor de belastingvoorbereiding.
  • Item B - Emotionele inhoud: De meest effectieve lokmiddelen van phishing zijn berichten die emoties opwekken. Tijdens het belastingseizoen richten criminelen zich op hoop ('Je krijgt een grote, onverwachte terugbetaling!') en op angst ('Je terugbetaling staat in de wacht' of 'Je krijgt een hoge boete').
  • Item C - Urgentie: Voor een cybercrimineel is urgentie belangrijk omdat daardoor personen handelen op manieren waarop ze anders niet zouden handelen. Met urgentie wordt er druk uitgeoefend omdat het tegenovergestelde zal gebeuren van wat je wel of niet wilt dat er gebeurt, tenzij je handelt voor de deadline.
  • Item D - De klik: Of het nu op een koppeling, een knop of een QR-code is, criminelen willen uiteindelijk dat je klikt. Weg van je Postvak IN, naar hun kwaadaardige website.
Een laptop toont een voorbeeld van een phishing-e-mail met pictogrammen die verwijzen naar de aspecten van de afbeelding die in het artikel worden uitgelegd.
Afbeelding 6: De beletterde bijschriften lichten enkele van de belangrijkste kenmerken uit van een lokmiddel in een phishing-e-mail.

De beste verdediging tegen cybercriminelen, tijdens het belastingseizoen en gedurende het hele jaar, is educatie en goede cyberhygiëne. Educatie betekent bewustwording van phishing, weten hoe pogingen tot phishing eruitzien en wat je moet doen wanneer je een poging tegenkomt. Goede cyberhygiëne betekent de implementatie van basisbeveiligingsmaatregelen zoals meervoudige verificatie voor financiële rekeningen en e-mailaccounts.

15 april is het Tax Day in de Verenigde Staten (de deadline om de belastingaangifte te doen), daarom volgen hier enkele aanvullende aanbevelingen om gebruikers en verdedigers te helpen om waakzaam te blijven tegen bedreigingen tijdens het belastingseizoen.

Zeven manieren om jezelf te beschermen tegen phishing

Als je het slachtoffer bent van een phishingaanval, kan dat leiden tot gelekte vertrouwelijke informatie, geïnfecteerde netwerken, financiële eisen, beschadigde gegevens of erger. Hier volgt hoe je voorkomt dat dit gebeurt.3
  • Controleer het e-mailadres van de afzender. Is alles in orde? Een teken op de verkeerde plaats of een ongebruikelijke spelling kan het signaal zijn van een vervalsing.
  • Wees voorzichtig met e-mails met algemene begroetingen (bijvoorbeeld 'Beste klant') die je vragen om snel te handelen.
  • Zoek naar verifieerbare contactgegevens van de afzender. Als je twijfelt, beantwoord je niet. Begin in plaats daarvan een nieuwe e-mail om te reageren.
  • Verzend nooit gevoelige informatie per e-mail. Als je privé-informatie moet communiceren, gebruik je de telefoon.
  • Denk twee keer na voordat je op onverwachte koppelingen klikt, vooral als je wordt gevraagd om je aan te melden bij je account. Meld je voor de veiligheid aan via de officiële website.
  • Voorkom het openen van e-mailbijlagen van onbekende afzenders of vrienden die meestal geen bijlagen naar je sturen.
  • Installeer een phishingfilter voor je e-mailapps en schakel het spamfilter van je e-mailaccounts in.

Schakel meervoudige verificatie (MFA) in

Wil je de kans op succesvolle aanvallen op je accounts voorkomen? Schakel meervoudige verificatie in. Zoals de naam al aangeeft, vereist meervoudige verificatie twee of meer verificatiefactoren.

Door meervoudige verificatie in te schakelen, zijn aanvallers zelfs na het verkrijgen van je gebruikersnaam en wachtwoord nog steeds niet in staat om toegang te krijgen tot je accounts en je persoonlijke gegevens. Het compromitteren van meer dan één verificatiefactor is een grote uitdaging voor aanvallers, omdat het weten (of kraken) van een wachtwoord niet genoeg is om toegang te krijgen tot een systeem. Met meervoudige verificatie ingeschakeld, kun je 99,9% van de aanvallen op je accounts voorkomen.4

Verwante artikelen

Fundamentele cyberhygiëne voorkomt 99% van de aanvallen

Fundamentele cyberhygiëne blijft de beste manier om de identiteiten, apparaten, gegevens, apps, infrastructuur en netwerken van een organisatie te beschermen tegen 98% van alle cyberbedreigingen. Ontdek handige tips in een uitgebreide gids.
Meer informatie

De uitsplitsing van inbreuk op zakelijke e-mail

Matt Lundy, expert op het gebied van digitale criminaliteit, geeft voorbeelden van inbreuk op zakelijke e-mail, een uitsplitsing van een van de meest voorkomende en kostbare vormen van cyberaanvallen.
Meer informatie

Misbruik maken van de vertrouwenseconomie: fraude via social engineering

Verken een zich ontwikkelend digitaal landschap waarin vertrouwen zowel een valuta als een beveiligingsprobleem is. Ontdek de fraudetactieken met social engineering die cyberaanvallers het meest gebruiken en bekijk strategieën die je kunnen helpen om bedreigingen met social engineering (ontworpen om personen te misleiden) te identificeren en te slim af te zijn.
Meer informatie

Volg Microsoft Beveiliging