Dane máte hotové, ale podvodníci nespia

Preskúmajte najnovší masívny daňový podvod a zistite, prečo sa očakáva, že tieto útoky budú pokračovať aj po daňovom termíne.

Ďalší rok, ďalší daňový termín – a opäť nová príležitosť pre podvodníkov, ako zneužiť e-mailovú komunikáciu pomocou phishingových útokov s daňovou tematikou. Hoci daňové obdobie býva vždy vrcholom sezóny pre e-mailové podvody, tento rok priniesol zaujímavý posun v taktikách, ktoré využívajú tzv. sociálni inžinieri.

Tento blog rozoberá jednu z najčastejších kampaní založených na sociálnom inžinierstve, ktorú identifikovala spoločnosť Fortra. Zameria sa na najnovšie zmeny v phishingových taktikách a ukáže, ako sa očakáva, že sa tieto kampane budú vyvíjať a pretrvávať aj po skončení daňového obdobia.

Daňový podvod
Analýza obsahu phishingových e-mailov

Spoločnosť Fortra analyzovala viaceré prípady tejto podvodnej kampane a identifikovala nasledujúce vzorce hrozby. Útok sa začína tým, že obeť dostane e-mail so žiadosťou o pomoc s vyplnením daňového priznania. Všetko sa začína všeobecným oslovením ako napríklad „Hello“ (Dobrý deň), čo naznačuje, že nejde o cielený spear phishing. Nedostatok personalizácie a individuálneho oslovenia ukazuje, že tieto správy sú súčasťou širšej phishingovej kampane, v ktorej útočníci recyklujú e-maily s cieľom zasiahnuť čo najväčší počet potenciálnych obetí.

Mená odosielateľov a e-mailové domény sa pri každom pokuse líšia. Fortra zaznamenala, že podvodníci často vystupujú pod falošnými identitami ako „Brenda“ alebo „Susan“, pričom nikdy nie je uvedené priezvisko. Ďalším častým znakom týchto e-mailov je, že adresa pre odpoveď (reply-to) nezodpovedá e-mailovej adrese odosielateľa – ide o bežný znak phishingu. Tento nesúlad umožňuje útočníkom presmerovať odpovede do iných schránok, typicky do tých, ktoré sami ovládajú. Táto taktika sa bežne využíva v phishingových kampaniach, pretože pomáha obísť bezpečnostné kontrolné mechanizmy.

Na obrazovej snímke vyššie je zachytená varianta tejto návnady, ktorá ukazuje najnovší posun v taktikách daňových podvodov. V tejto verzii podvodník rozvíja svoj príbeh tým, že tvrdí, že žiada o pomoc s daňami, pretože jeho predchádzajúca účtovníčka bola zasiahnutá nedávnymi požiarmi v Kalifornii. Ide o výrazný vývoj v taktike týchto podvodov – útočník využíva aktuálne udalosti na zvýšenie dôveryhodnosti obsahu e-mailu. Zakomponovanie emocionálne silných udalostí do inak generického podvodu môže u príjemcu vyvolať citovú reakciu, ktorá mu sťaží rozpoznanie varovných signálov phishingového útoku.

Analýza spoločnosti Fortra taktiež ukázala, že väčšina týchto e-mailov je napísaná pomerne kvalitne, s korektnou gramatikou. Malá časť z nich však môže obsahovať drobné chyby, napríklad preklep, keď bolo slovo „for“ napísané ako „f=r“ – ako je vidieť v prvej vete na snímke vyššie. Celkovo vyššia jazyková úroveň týchto podvodov môže súvisieť s tým, že útočníci čoraz častejšie využívajú generatívnu AI na tvorbu dôveryhodného e-mailového obsahu. Táto rastúca závislosť útočníkov na generatívnych modeloch strojového učenia znepokojuje ako odborníkov na kybernetickú bezpečnosť, tak aj bežných používateľov – pretože eliminuje známe znaky phishingu, ako sú pravopisné a gramatické chyby, ktoré bežne pomáhajú používateľom rozpoznať pokus o sociálne inžinierstvo.

Injekcia malvéru

Keď príjemca odpovie na e-mail a súhlasí s pomocou s daňovým priznaním, podvodník mu pošle prílohu prostredníctvom externého odkazu na stiahnutie. Túto techniku útočník využíva na to, aby skryl škodlivý súbor pod zámienkou zdieľania daňových dokumentov – čím sa snaží prinútiť používateľa, aby si sám stiahol malvér.

Podvodník zároveň využíva externý odkaz na hosťovanie prílohy preto, aby skryl škodlivý obsah pred detekciou bezpečnostnými mechanizmami a filtrami e-mailových služieb. Dôvodom je, že útočníci môžu generovať takmer nekonečné množstvo unikátnych phishingových odkazov, hostovať škodlivé súbory na weboch dôveryhodných poskytovateľov služieb alebo používať skrátené URL adresy, ktoré maskujú skutočné miesto uloženia. Naopak, prílohy pripojené priamo k e-mailu možno omnoho jednoduchšie zachytiť – ak ich odtlačok (hash) zodpovedá známemu podpisu malvéru, sú okamžite identifikovateľné. Preto je presmerovanie používateľov pomocou premenlivých phishingových odkazov na externé úložiská účinnou taktikou, ako obísť bezpečnostné kontroly zamerané na prílohy.

Po stiahnutí podvodného PDF dokumentu dôjde k infikovaniu zariadenia osoby, ktorá pripravuje daňové priznanie, škodlivým spustiteľným súborom, ktorý je schopný kradnúť citlivé finančné údaje a osobné identifikovateľné informácie (PII).

Keďže je tento podvod zameraný na obete, ako sú daňoví poradcovia, účtovníci a ďalší odborníci z oblasti financií, umožňuje injekcia malvéru útočníkovi získať prístup k rozsiahlemu portfóliu PII a finančných údajov od rôznych klientov. Podvodník potom môže túto sadu citlivých informácií využiť napríklad na presmerovanie vrátenia dane klienta na bankový účet, ktorý sám ovláda – čím sa dopúšťa podvodu, krádeže a narušenia identity.

Okrem toho môžu útočníci tieto informácie predať na darknete alebo ďalej využiť PII na vykonanie vysoko cielených spear phishingových kampaní proti obetiam.

Ako môže táto hrozba pretrvávať aj po daňovom termíne?
Aj keď si väčšina používateľov myslí, že po uplynutí termínu na podanie daňového priznania tieto podvody už nepredstavujú hrozbu pre ich e-mailové schránky, analýza spoločnosti Fortra ukazuje opak. Výskum hrozieb, ktorý Fortra vykonala, predpovedá, že táto phishingová kampaň bude pravdepodobne pokračovať aj po skončení daňového obdobia, pretože sa ukázala ako účinná pri oslovovaní širokého publika používateľov e-mailu.

Obsah podvodu sa pravdepodobne bude ďalej vyvíjať, aby zostal dostatočne aktuálny a vyvolal reakciu u príjemcu. Môžeme napríklad očakávať nové verzie e-mailov, v ktorých budú zmienky o požiaroch v Kalifornii nahradené inými aktuálnymi svetovými udalosťami – obzvlášť takými, ktoré môžu vyvolať emocionálnu odozvu.

Podvodníci môžu taktiež zmeniť príbeh v e-maile: namiesto žiadosti o pomoc s podaním daňového priznania môžu žiadať o pomoc s predĺžením lehoty, oneskoreným podaním alebo dokonca s podaním priznania za predchádzajúci rok. Tieto očakávané varianty udržia relevantnosť útoku aj mimo klasického daňového obdobia a zároveň pridajú vrstvu dôveryhodnosti, ktorá môže používateľa ľahko oklamať a prinútiť ho veriť v pravosť tejto podvodnej žiadosti o daňovú pomoc.

Záver
Phishingové útoky sa budú neustále vyvíjať, pretože útočníci pravidelne zdokonaľujú svoje škodlivé techniky a taktiky. Tieto hrozby využívajúce sociálne inžinierstvo prostredníctvom e-mailu sú rozšírené a môžu zasiahnuť vašu schránku v akejkoľvek fáze kybernetického útoku.

Útočníci môžu najprv posielať testovacie phishingové e-maily na overenie aktívnych adries počas prieskumu alebo – ako bolo analyzované v tomto blogu – môžu e-maily použiť na doručenie malvéru.

Spoločnosť Fortra ponúka komplexnú sadu riešení kybernetickej bezpečnosti, ktoré vám pomôžu zostať v strehu tvárou v tvár neustále sa meniacim hrozbám.

Pokročilé portfólio riešení kybernetickej bezpečnosti od Fortra vám môže pomôcť prerušiť reťazec útoku.

Pre viac informácií nás kontaktujte.