Microsoft avertizează contabilii că sunt ținte ale atacurilor de tip phishing.
Microsoft a emis un avertisment cu privire la creșterea mai multor noi campanii de phishing care profită de sezonul fiscal pentru a fura credențiale și a planta malware, unele dintre ele vizând în mod specific contabilii. Microsoft a observat că multe dintre aceste campanii utilizează comunicări foarte specifice, spre deosebire de momeli mai generice.
Una dintre campaniile care vizează în mod specific CPA-urile începe cu un e-mail care solicită asistență în depunerea impozitelor, solicitând o ofertă și, de obicei, oferind un istoric. Dacă actorul primește un răspuns, trimite un link malițios care duce la instalarea de malware. Cu toate acestea, Microsoft a observat, de asemenea, campanii care vizează CPA-urile care conțin un istoric similar, dar includ linkul malițios în primul e-mail. Multe dintre aceste e-mailuri au subiectul „SOLICITARE PENTRU DEPUNERE PROFESIONALĂ A IMPOZITELOR”. E-mailul oferă un istoric care include o descriere a unei situații complexe privind declarația de impozit, implicând audit fiscal, taxe de școlarizare universitară, dobânzi la împrumut și venituri imobiliare. Expeditorul încearcă, de asemenea, să explice incapacitatea sa de a vizita fizic biroul din cauza călătoriilor. În cele din urmă, expeditorul solicită o ofertă de preț. Microsoft a observat variații ale istoricului în diferite zile, inclusiv una care susține că expeditorul schimbă CPA-urile din cauza creșterilor de taxe.
O altă campanie care vizează în mod specific contabilii a implicat, din nou, escroci care impersonifică IRS, de data aceasta prin e-mailuri care susțin că au fost depuse declarații fiscale potențial neregulate sub numărul de identificare a depunerii electronice al destinatarului. Destinatarii au fost instruiți să revizuiască aceste declarații descărcând un așa-numit „IRS Transcript Viewer” legitim, care duce la un domeniu malițios cu aspect similar care imită SmartVault, care a folosit chiar și Cloudflare pentru detectarea și blocarea roboților. Utilizatorilor care trec de verificarea roboților li se afișează apoi o animație falsă de verificare și sunt conduși la o pagină de unde pot descărca vizualizatorul de transcriere ostensibil care este, de fapt, un instrument de acces și control la distanță. Liniile de subiect pentru e-mailurile despre care s-a constatat că au acest link malițios includ: IRS Request Transcript Review; IRS Notice Firm Return Review; CPA Compliance Review; IRS Support Firm Filing Review; și Review Requested Compliance.
O altă campanie, mai generală, începe cu un e-mail cu subiectul „See Tax file”, care conține un atașament Excel cu [Numele contabilului] CPA.xlsx, folosind numele unui contabil real (probabil impersonat fără știrea sa). Atașamentul conține un buton „REVIEW DOCUMENTS” pe care se poate face clic, care face legătura cu un fișier OneNote găzduit pe OneDrive. Fișierul, care folosește același nume și siglă CPA, are un link care duce la o pagină de destinație malițioasă care găzduiește kitul de phishing Energy365, care va încerca să colecteze credențiale precum e-mail și parolă.
Alta începe cu subiectul „2025 Employee Tax Docs” și conține un atașament numit 2025_Employee_W-2.docx cu conținut care menționează diverși termeni legați de taxe, cum ar fi Formularul W-2 și prezintă un cod QR care indică o pagină de phishing. Fiecare document este personalizat pentru a conține numele destinatarului, iar adresa URL ascunsă în spatele codului QR conține și adresa de e-mail a destinatarului. Aceasta înseamnă că fiecare destinatar a primit un atașament unic.
Alta este conectată la un set de domenii care au fost înregistrate pentru a fi utilizate în campanii de phishing cu tematică fiscală care impersonifică companii legitime specifice implicate în contabilitate, pregătirea taxelor, finanțe, contabilitate și companii conexe. E-mailuri cu linii de subiect precum „Contul dvs. include acum formulare fiscale actualizate [RF] 1234” sau „Formularul dvs. 1099-R este gata – [RF] 12123123” și un corp care spune lucruri precum „Formularele fiscale 2025 sunt gata” și conține un buton „Vizualizare formulare fiscale” pe care se poate face clic, care merge la unul dintre aceste domenii înregistrate îndoielnice, cum ar fi taxationstatments2025 [punct] com. Aceste site-uri servesc un fișier executabil malware numit 1099-FR2025.exe, care va permite actorilor externi să preia controlul de la distanță asupra dispozitivului.
O altă campanie folosește e-mailuri care impersonifică IRS, cu subiectul „IR-2026-216”. Cu toate acestea, observatorii perspicaci își pot da seama că adresa de e-mail nu provine de la irs.gov, ci de la e-mailurile Eventbrite cu nume precum: „IRS US” „IRS GOV” „Service” „IRS TAX” „.IRS.GOV” E-mailul, cu corpul „Formularul fiscal pentru criptomonede 1099 este gata”, are o adresă URL pe care nu se poate face clic și pe care utilizatorul este instruit să o copieze/lipi în browser. Dacă fac acest lucru, browserul descarcă automat IRS-doc.msi, care este de fapt un alt instrument de acces la distanță.
Microsoft a sugerat o serie de măsuri pe care preparatorii de taxe le pot lua pentru a se proteja pe ei înșiși, pe clienții lor și firmele lor: Configurarea întreruperii automate a atacurilor în Microsoft Defender XDR; Aplicarea autentificării multifactor pe toate conturile, eliminarea utilizatorilor excluși din MFA și solicitarea strictă a MFA de pe toate dispozitivele din toate locațiile în orice moment; Utilizarea aplicației Microsoft Authenticator pentru chei de acces și MFA Complementarea MFA cu politici de acces condiționat, unde solicitările de conectare sunt evaluate folosind semnale suplimentare bazate pe identitate, eventual cu scopul de a consolida conturile privilegiate cu MFA rezistent la phishing; Activarea Zero-hour auto purge (ZAP) în Office 365 pentru a carantina e-mailurile trimise ca răspuns la informații despre amenințări nou dobândite și pentru a neutraliza retroactiv mesajele malițioase de phishing, spam sau malware care au fost deja livrate în căsuțele poștale; Configurarea Microsoft Defender for Office 365 Safe Links pentru a reverifica linkurile la clic; Investiții în soluții avansate anti-phishing care monitorizează și scanează e-mailurile primite și site-urile web vizitate; Încurajarea utilizatorilor să utilizeze Microsoft Edge și alte browsere web care acceptă Microsoft Defender SmartScreen; și activarea protecției rețelei pentru a împiedica aplicațiile sau utilizatorii să acceseze domenii malițioase și alt conținut malițios de pe internet.