Zarejestruj się teraz, aby obejrzeć seminarium internetowe na żądanie poświęcone szczegółowym informacjom zawartym w raporcie firmy Microsoft na temat ochrony zasobów cyfrowych za 2024 r.

Okres rozliczeń podatkowych i cyberbezpieczeństwo: czego chcą cyberprzestępcy i kogo najczęściej atakują. Czy przypadkiem nie Ciebie?

Udostępnij

Ilustracja graficzna przedstawiająca laptop z dokumentami podatkowymi na ekranie i dokumenty papierowe wlatujące do koperty oznaczonej jako podatkowa

W obliczu współczesnego krajobrazu zagrożeń ataki mające na celu wyłudzanie informacji są — tak jak śmierć i podatki — nieuniknione. Dla motywowanych finansowo źródeł zagrożeń presja terminów oraz gorączkowa wymiana formularzy i dokumentów w okresie rozliczeń podatkowych stanowią atrakcyjną okazję do przeprowadzania kampanii wyłudzania informacji, których celem jest zdobycie danych wysokiego ryzyka pochodzących od milionów zestresowanych i rozproszonych osób i firm.

Każdy może stać się celem próby wyłudzenia informacji w okresie rozliczeń podatkowych, ale pewne grupy osób są bardziej narażone niż inne. Głównymi celami ataków są osoby mniej poinformowane o metodach kontaktu i postępowania stosowanych przez Urząd podatkowy Stanów Zjednoczonych (IRS, Internal Revenue Service), na przykład posiadacze Zielonej Karty, właściciele małych firm, nowi podatnicy poniżej 25 roku życia i starsi podatnicy powyżej 60 roku życia.

W kolejnych sekcjach tego raportu dotyczącego analizy zagrożeń w okresie rozliczeń podatkowych przedstawiono przegląd taktyk, technik i procedur najczęściej używanych przez źródła zagrożeń:

Centrum analizy zagrożeń Microsoft ujawnia kampanię wyłudzania informacji w okresie rozliczeń podatkowych w 2024 roku. Przedstawiono tu szczegóły nowej techniki wyłudzania informacji w okresie rozliczeń podatkowych, w ramach której wykorzystywane są przynęty udające dokumenty podatkowe dostarczane przez pracodawców.
Źródła zagrożeń podszywają się pod podmioty przetwarzające płatności podatków w wiadomościach e-mail służących do wyłudzania informacji. Opisano tu, jak Centrum analizy zagrożeń Microsoft zaobserwowało używanie przez źródła zagrożeń znaków logo podmiotów zewnętrznych zajmujących się przetwarzaniem płatności podatków federalnych.
Czego chcą cyberprzestępcy w okresie rozliczeń podatkowych. Zidentyfikowaliśmy tu różne typy danych wysokiego ryzyka, które są zwykle celami ataków w okresie rozliczeń podatkowych.
Jak cyberprzestępcy uzyskują Twoje dane. W tej sekcji opisaliśmy techniki inżynierii społecznej związane z okresem rozliczeń podatkowych, które najczęściej stosują cyberprzestępcy.
Najlepsze rozwiązania w zakresie cyberbezpieczeństwa w okresie rozliczeń podatkowych. Opisaliśmy tu najlepsze rozwiązania i praktyczne porady dotyczące zachowywania czujności na wypadek ataków z użyciem inżynierii społecznej.

Centrum analizy zagrożeń Microsoft zaobserwowało już działania mające na celu wyłudzanie informacji w okresie rozliczeń podatkowych, w tym kampanie trwającą od początku stycznia 2024 roku, w której wykorzystywane są przynęty udające dokumenty podatkowe dostarczane przez pracodawców.

Na poniższych ilustracjach przedstawiono (1) wiadomość e-mail z przynętą służącą do wyłudzania informacji, (2) złośliwą witrynę internetową oraz (3) dwa złośliwe pliki wykonywalne — złośliwe oprogramowanie — pochodzące z tej kampanii:

Wiadomość e-mail służąca do wyłudzania informacji w porze składania zeznań podatkowych zaobserwowana przez Analizę zagrożeń Microsoft w styczniu 2024 roku.

Ilustracja 1. Wiadomość e-mail służąca do wyłudzania informacji zawiera załącznik HTML, który kieruje użytkownika do fałszywej strony docelowej

Zrzut ekranu przedstawiający złośliwą witrynę internetową

Ilustracja 2. Użytkownicy zostali przekierowani do strony sieci web, która została celowo utworzona jako rozmyta przez źródła zagrożenia, co jest techniką inżynierii społecznej służącej do zwiększania prawdopodobieństwa kliknięcia. Gdy atakowani klikną monit „Pobierz dokumenty”, na ich komputerze zostanie zainstalowane złośliwe oprogramowanie.

Zrzut ekranu przedstawiający eksploratora plików systemu Windows, na którym widać dwa pliki w folderze „Programy”: deepvau", aplikacja

Ilustracja 3: Złośliwy plik wykonywalny z funkcjami wykradania informacji został upuszczony na maszynie atakowanego. Gdy będzie on już w środowisku, będzie usiłował zebrać informacje, w tym poświadczenia logowania.

Źródła zagrożeń podszywają się pod oficjalne instytucje

W innych kampaniach firma Microsoft zaobserwowała, że źródła zagrożeń wykorzystują w wiadomościach e-mail służących do wyłudzania informacji obrazy pobrane z witryn wiarygodnych podmiotów zewnętrznych zajmujących się przetwarzaniem płatności podatków federalnych, aby nadać im przekonujący wygląd.

Mimo że te wiadomości e-mail wyglądają na wiarygodne, podatnicy powinni mieć świadomość, że oficjalne instytucje, takie jak IRS, nie inicjują kontaktu w sprawie zwrotów ani płatności podatków za pośrednictwem poczty e-mail, wiadomości SMS ani rozmów telefonicznych.

W rzadkich przypadkach cyberprzestępca może wykorzystać skradzione informacje do przeprowadzenia oszustwa związanego ze zwrotem podatku. W tym konkretnym schemacie przestępcy składają zeznanie podatkowe w imieniu ofiary ataku i zwracają się o zwrot podatku¹. Jednak ze względu na mechanizmy zabezpieczeń IRS to podejście ma niewielkie szanse powodzenia. Bardziej prawdopodobne jest, że cyberprzestępca, który uzyska dostęp do informacji ofiary w okresie rozliczeń podatkowych, zrobi to samo, co zrobiłby o każdej innej porze roku — poszuka sposobu na zarobienie na tych informacjach. Może to obejmować założenie karty kredytowej na nazwisko ofiary ataku, sprzedanie danych lub dostępu innemu cyberprzestępcy, uzyskanie bezpośredniego dostępu do konta bankowego ofiary w celu przelania środków albo zrobienie zakupów online.

Na poniższych ilustracjach przedstawiono (1) wiadomość e-mail z przynętą służącą do wyłudzania informacji i (2) autentyczną witrynę podmiotu zewnętrznego przetwarzającego dane podatkowe:

Wiadomość e-mail służąca do wyłudzania informacji z obrazem nagłówka Authorized IRS pobranym z autentycznej witryny internetowej podmiotu przetwarzającego płatności.

Ilustracja 4. W wiadomości e-mail służącej do wyłudzania informacji jest używany obraz nagłówka (Authorized IRS) wzięty od ACI Payments, Inc., podmiotu przetwarzającego płatności wymienionego w witrynie internetowej urzędu skarbowego.

Zrzut ekranu przedstawiający stronę sieci web, na której jest używany obraz nagłówka „Authorized IRS” pobrany z rzeczywistej witryny internetowej ACI Payments, Inc

Ilustracja 5. Przykład tego, jak autentyczny obraz „Authorized IRS” (Autoryzowany przez urząd skarbowy) jest wyróżniony w rzeczywistej witrynie internetowej ACI Payments, Inc. 

Czego chcą cyberprzestępcy w okresie rozliczeń podatkowych

W okresie rozliczeń podatkowych ogromne ilości poufnych danych finansowych i danych tożsamości przepływają tam i z powrotem między użytkownikami indywidualnymi i organizacjami, takimi jak IRS, oraz różnymi dostawcami usług podatkowych, takimi jak oprogramowanie do składania zeznań podatkowych lub marki przygotowujące zeznania podatkowe albo lokalne firmy księgowe i podatkowe, a także osobami prowadzącymi jednoosobową działalność gospodarczą.

Do danych o najwyższym stopniu ryzyka² należą:

Tożsamość: numery ubezpieczenia społecznego (SSN, podobne do numerów PESEL), numery prawa jazdy lub dowodów osobistych, dane paszportowe, numery identyfikacyjne pracodawcy (EIN, podobne do numerów REGON) i numery CAF (Centralized Authorization File)
Konta finansowe: numery kont finansowych oraz numery kart kredytowych i debetowych (z wymaganym kodem zabezpieczającym lub bez niego)
Hasła i dostęp: hasła do kont e-mail, osobiste numery identyfikacyjne (PIN) i kody dostępu

Jeśli chodzi o ogólne ryzyko związane ze skarbnicami danych osobowych, jakie można znaleźć w osobistych skrzynkach e-mail przeciętnych osób, Wes Drone, ekspert ds. cyberprzestępstw Centrum analizy zagrożeń Microsoft, wyjaśnia: „Ludzie często gromadzą duże ilości danych cyfrowych w skrzynkach odbiorczych kont e-mail, a przechowywane przez nich informacje są niesamowicie cenne dla przestępców”.

To zagrożenie nie jest ograniczone tylko do okresu rozliczeń podatkowych. Drone zwraca uwagę na to, że na koncie e-mail przeciętnego człowieka znajdują się korespondencja i dokumenty dotyczące niemal każdego aspektu jego życia osobistego, a okres rozliczeń podatkowych to tylko jedna z wielu okazji, aby spróbować je ukraść.

„Na nasze adresy e-mail przychodzi w zasadzie wszystko” — wyjaśnia Drone — „i jeśli źródło zagrożenia uzyska dostęp do naszego adresu e-mail, może zresetować hasła do wszystkich pozostałych kont”.

Zagrożenie dla użytkowników indywidualnych może stać się też zagrożeniem dla firm. Drone stwierdza, że jeśli źródło zagrożenia uzyska dostęp do skrzynki e-mail pracownika, może zainstalować złośliwe oprogramowanie w środowisku pracodawcy.

„Wtedy mogą wystąpić wszelkiego rodzaju problemy” — stwierdza Drone. „Poważnym problemem jest naruszenie biznesowej poczty e-mail, gdy atakujący po prostu zaczynają komunikować się z dostawcami firmy lub osobami, z którymi prowadzi ona interesy. Zmieniają numery faktur, wysyłają fałszywe faktury i przekierowują przelewy pieniężne, a to może być bardzo kosztowne”.

Jak cyberprzestępcy uzyskują Twoje dane

Mimo że stosowane przez cyberprzestępców techniki wyłudzania informacji nie są nowe, pozostają niezwykle skuteczne. Niezależnie od ich konkretnych odmian ataki mające na celu wyłudzanie informacji skierowane przeciwko użytkownikom indywidualnym w okresie rozliczeń podatkowych mają przede wszystkim doprowadzić do jednego z dwóch rezultatów: pobrania programów kradnących informacje (złośliwego oprogramowania typu koń trojański) lub wprowadzenia przez użytkowników poświadczeń na sfałszowanych stronach docelowych. Rzadziej atakujący próbujący wyłudzić informację mogą chcieć uzyskać dostęp w celu pobrania oprogramowania wymuszającego okup (ransomware).

Kampanie wyłudzania informacji w okresie rozliczeń podatkowych mają na celu przekonanie użytkowników, że atakujący reprezentują wiarygodne źródła, na przykład pracodawców i personel działów kadr, urząd IRS, stanowe organizacje zajmujące się podatkami lub dostawców usług związanych z podatkami, takich jak księgowi i urzędnicy podatkowi oraz usługodawcy przygotowujący zeznania podatkowe (często przez wykorzystywanie dużych zaufanych marek i logo).

Typowe taktyki stosowane przez cyberprzestępców w celu oszukania celów obejmują podszywanie się pod strony docelowe prawdziwych usług lub witryn internetowych, używanie adresów URL, które wyglądają na poprawne, chociaż takie nie są (domeny homoglifowe), oraz dostosowywanie linków wyłudzających informacje pod kątem poszczególnych użytkowników.

Jak wyjaśnia Drone: „Powodem, dla którego te kampanie wyłudzania informacji w okresie rozliczeń podatkowych nadal działają — a działają od lat — jest to, że nikt nie chce otrzymać niczego od IRS”. Drone zauważa, że odebranie wiadomości związanej z podatkami może wzbudzić niepokój od razu po pojawieniu się jej w skrzynce odbiorczej.

Jak stwierdza on dalej: „Ludzie na pewno nie chcą przegapić zwrotu środków ani zostać z tego zwrotu okradzeni”. „Przestępcy wykorzystują te lęki i emocje w technikach inżynierii społecznej, aby wywołać niepokój, nakłonić do pilnego kliknięcia i zrobienia tego, co konieczne”.

Mimo że źródła zagrożeń wykorzystują różnorodne przynęty, w których posługują się tożsamościami różnych organizacji, wiadomości e-mail służące do wyłudzania informacji mają pewne cechy wspólne.

Pozycja A — znakowanie: cecha mająca osłabić czujność ofiary. Przestępcy używają znakowania podmiotów znanych i oczekiwanych w tym okresie roku, na przykład znakowania urzędu IRS lub firm i usług zajmujących się przygotowywaniem zeznań podatkowych.
Pozycja B — treści wzbudzające emocje: najskuteczniejsze przynęty służące do wyłudzania informacji to takie, których przekaz wzbudza emocje. W okresie rozliczeń podatkowych przestępcy żerują na nadziei (przekazy w stylu „Ma Pan/Pani nieoczekiwany duży zwrot podatku!”) i strachu („Pana/Pani zwrot podatku został wstrzymany” lub „Grozi Panu/Pani ogromna kara”).
Pozycja C — wrażenie pilności: z punktu widzenia cyberprzestępcy to właśnie wrażenie pilności często skłania ludzi do postępowania w sposób odstający od ich normalnego zachowania. W przypadku stosowania „wrażenia pilności” użytkownik dowiaduje się, że jeśli nie podejmie działań przed upływem terminu, wystąpi sytuacja odwrotna do tej, której sobie życzy, lub nie wystąpi sytuacja, której sobie życzy.
Pozycja D — kliknięcie: niezależnie od tego, czy będą używać linku, przycisku, czy kodu QR, przestępcy ostatecznie spróbują nakłonić użytkownika do kliknięcia w celu wyjścia poza skrzynkę odbiorczą i przejścia do ich złośliwej witryny internetowej.

Laptop z wyświetlonym przykładem wiadomości e-mail służącej do wyłudzania informacji z ikonami wskazującymi aspekty obrazu, które zostaną wyjaśnione w artykule.

Ilustracja 6. Literowane wezwania z wyróżnionymi niektórymi z cech charakterystycznych wabienia przez wiadomość e-mail służącą do wyłudzania informacji.

Najlepszą obroną przed cyberprzestępcami, zarówno w okresie rozliczeń podatkowych, jak i przez cały rok, jest edukacja i właściwa higiena cybernetyczna. Edukacja oznacza świadomość na temat wyłudzania informacji — wiedzę na temat tego, jak wyglądają próby wyłudzenia informacji i co należy robić w razie ich napotkania. Właściwa higiena cybernetyczna oznacza wdrożenie podstawowych mechanizmów zabezpieczeń, takich jak uwierzytelnianie wieloskładnikowe dla kont finansowych i e-mail.

Już wkrótce 15 kwietnia — Dzień Podatkowy w Stanach Zjednoczonych — przedstawiamy więc kilka dodatkowych rekomendacji, które pomogą użytkownikom i obrońcom zachować czujność na wypadek zagrożeń związanych z podatkami.

7 sposobów na ochronę przed wyłudzaniem informacji

Padnięcie ofiarą ataku mającego na celu wyłudzenie informacji może skutkować wyciekiem poufnych informacji, zainfekowaniem sieci, żądaniami finansowymi, uszkodzeniem danych lub nawet czymś gorszym. Oto jak temu zapobiec³.

Sprawdź adres e-mail nadawcy. Czy wszystko jest w porządku? Znak w niewłaściwym miejscu lub nietypowa pisownia może sygnalizować fałszywą wiadomość.
Uważaj na wiadomości e-mail zawierające ogólnie sformułowane pozdrowienia (na przykład „Szanowny Kliencie”) z prośbami o pilne podjęcie działań.
Szukaj możliwych do zweryfikowania informacji kontaktowych nadawcy. Jeśli masz wątpliwości, nie odpowiadaj. Zamiast odpowiadać na wiadomość, rozpocznij nową wiadomość e-mail.
Nigdy nie wysyłaj poufnych informacji pocztą e-mail. Jeśli musisz przekazać informacje prywatne, użyj telefonu.
Dobrze się zastanów, zanim klikniesz nieoczekiwane linki, szczególnie jeśli przekierowują one do zalogowania się na konto. Zamiast tego w celu zachowania bezpieczeństwa zaloguj się w oficjalnej witrynie internetowej.
Unikaj otwierania załączników do wiadomości e-mail od nieznanych nadawców i znajomych, którzy zwykle nie wysyłają załączników.
Zainstaluj filtr wiadomości służących do wyłudzania informacji dla aplikacji e-mail i włącz filtr spamu na kontach e-mail.

Włączenie uwierzytelniania wieloskładnikowego (MFA)

Chcesz ograniczyć prawdopodobieństwo skutecznych ataków na swoje konta? Włącz uwierzytelnianie wieloskładnikowe. Uwierzytelnianie wieloskładnikowe, tak jak sugeruje jego nazwa, wymaga co najmniej dwóch składników weryfikacji.

Dzięki włączeniu uwierzytelniania wieloskładnikowego nawet jeśli atakujący zdobędzie nazwę użytkownika i hasło, nadal nie będzie mógł uzyskać dostępu do konta ani danych osobowych. Naruszenie więcej niż jednego składnika uwierzytelniania stanowi znaczne wyzwanie dla atakujących, ponieważ znajomość hasła (lub złamanie go) nie wystarczy do uzyskania dostępu do systemu. Włączone uwierzytelnianie wieloskładnikowe pozwala zapobiec 99,9% ataków na konta⁴.

Naruszenie biznesowej poczty e-mail Tożsamość Wyłudzanie informacji Inżynieria społeczna Raporty specjalne

Powiązane artykuły

Podstawowa higiena cybernetyczna zapobiega 99% ataków

Podstawowa higiena cybernetyczna nadal jest najlepszym sposobem na ochronę tożsamości, urządzeń, danych, aplikacji, infrastruktury i sieci organizacji przed 98% wszystkich cyberzagrożeń. Poznaj praktyczne wskazówki zawarte w kompleksowym przewodniku.

Dowiedz się więcej

Omówienie naruszeń biznesowej poczty e-mail

Ekspert ds. cyberprzestępczości Matt Lundy przedstawia przykłady naruszeń biznesowej poczty e-mail i szczegółowo omawia jedną z najczęstszych i najkosztowniejszych form cyberataku.

Dowiedz się więcej

Wykorzystywanie ekonomii zaufania: oszustwo z użyciem inżynierii społecznej

Przyjrzyj się ewoluującemu krajobrazowi cyfrowemu, w którym zaufanie jest zarówno walutą, jak i słabym punktem. Poznaj najczęściej stosowane przez cyberprzestępców metody oszustw z użyciem inżynierii społecznej oraz przeanalizuj strategie pomagające zidentyfikować i przechytrzyć bazujące na inżynierii społecznej zagrożenia, które opierają się na manipulowaniu ludzką naturą.

Dowiedz się więcej

Okres rozliczeń podatkowych i cyberbezpieczeństwo: czego chcą cyberprzestępcy i kogo najczęściej atakują. Czy przypadkiem nie Ciebie?

Źródła zagrożeń podszywają się pod oficjalne instytucje

Czego chcą cyberprzestępcy w okresie rozliczeń podatkowych

Jak cyberprzestępcy uzyskują Twoje dane

7 sposobów na ochronę przed wyłudzaniem informacji

Włączenie uwierzytelniania wieloskładnikowego (MFA)

Powiązane artykuły

Podstawowa higiena cybernetyczna zapobiega 99% ataków

Omówienie naruszeń biznesowej poczty e-mail

Wykorzystywanie ekonomii zaufania: oszustwo z użyciem inżynierii społecznej

Obserwuj rozwiązania zabezpieczające firmy Microsoft