This is the Trace Id: d2f57746de3f68c8f6b5a100864a69b1

Cybersikkerhet i skattesesongen: Hva nettkriminelle vil ha og hvem de i hovedsak retter seg mot. Er det deg?

Del
Grafisk illustrasjon som viser en bærbar datamaskin med skattedokumenter på skjermen, og papirdokumenter som flyr inn i en mappe merket med «skatt»

I dagens trussellandskap er phishing-angrep, som død og skatt, uunngåelig. For økonomisk motiverte trusselaktører skaper tidsfristpresset og den desperate utvekslingen av skjemaer og dokumenter som skjer i løpet av skattesesongen, en tiltalende mulighet til å distribuere phishing-kampanjer som retter seg mot data med høy risiko, fra millioner av stressede og distraherte enkeltpersoner og bedrifter.

Selv om alle kan være et mål for skattesesong-phishing, er enkelte grupper mennesker mer sårbare enn andre. Hovedmålene inkluderer enkeltpersoner som er mindre informert om Skatteetatens kommunikasjonsmetoder – Green Card-innehavere, eiere av småbedrifter, nye skattebetalere under 25 år og eldre skattebetalere over 60.

Denne spesielle trusselinformasjonrapporten for skattesesongen kartlegger taktikker, teknikker og prosedyrer (TTP-er) som trusselaktører bruker mest i de følgende delene:

  • Microsoft trusselinformasjon avdekker en phishing-kampanje for skattesesongen 2024, hvor detaljer om en ny phishing-taktikk for skattesesongen, som bruker agn maskert som skatterelaterte dokumenter fra arbeidsgivere, blir beskrevet.
  • Trusselaktører etterligner skattebetalingsbehandlere i phishing-e-post, som beskriver hvordan Microsoft trusselinformasjon har observert trusselaktører som bruker tredjeparts føderale logoer for skattebetalingsbehandling.
  • Dette ønsker de nettkriminelle når skatteoppgjøret kommer, hvor vi identifiserer ulike typer data med høy risiko som ofte blir angrepet når skatteoppgjøret kommer.
  • Slik får de nettkriminelle tak i dataene dine, der vi beskriver skattesesongen – temaene for de sosiale manipuleringsteknikkene som trusselaktørene bruker mest.
  • Anbefalte fremgangsmåter for cybersikkerhet i skattesesongen, hvor vi oppgir anbefalte fremgangsmåter og handlingskrevende råd om å være årvåken mot angrep med sosial manipulering.

Microsoft trusselinformasjon har allerede observert phishing-aktivitet i skattesesongen, herunder en kampanje fra slutten av januar 2024, som brukte agn maskert som skatterelaterte dokumenter fra arbeidsgivere.

Følgende figurer viser (1) phishing-e-postagnet, (2) det skadelige nettstedet (3) og to skadelige kjørbare filer – den skadelige programvaren – fra denne kampanjen:

En phishing-e-post for skattesesongen observert av Microsoft trusselinformasjon i januar 2024.
Figur 1: En phishing-e-post inneholder et HTML-vedlegg som dirigerer brukeren til en falsk målside
Skjermbilde av et skadelig nettsted
Figur 2: Brukere har blitt dirigert til en nettside, som trusselaktørene med hensikt har gjort uskarp – en sosial manipuleringsteknikk som har som hensikt å øke sannsynligheten for et klikk. Når målene klikker på ledeteksten «Last ned dokumenter», blir skadelig programvare installert på datamaskinen.
Skjermbilde av en windows-filutforsker som viser to filer i «programmer»-mappen: «deepvau", et program
Figur 3: En skadelig kjørbar fil med egenskaper som stjeler informasjon, er sluppet på målets maskin. Når den først er i miljøet, vil den prøve å samle inn informasjon, blant annet påloggingsinformasjon.

Trusselaktører etterligner offisielle instanser

I andre kampanjer har Microsoft observert trusselaktører som bruker bilder som er tatt fra legitime tredjeparts føderale nettsteder for skattebetalingsbehandling, i phishing-e-poster i et forsøk på å fremstå som overbevisende.

Selv om disse e-postene ser legitime ut, må skattebetalerne være oppmerksomme på at offisielle instanser som Skatteetaten, ikke tar kontakt om skattemeldinger eller betalinger via e-post, tekstmelding eller telefonsamtaler.

I sjeldne tilfeller kan en nettkriminell bruke stjålet informasjon til å gjennomføre svindel knyttet til tilbakebetaling av skatt. I denne typen angrep sender de kriminelle en skattemelding i målets navn og krever en tilbakebetaling.1 Denne tilnærmingen har imidlertid liten sannsynlighet for å lykkes med tanke på Skatteetatens sikkerhetskontroller. Et mer sannsynlig utfall er at en nettkriminell som får tilgang til informasjonen din når skatteoppgjøret kommer, høyst sannsynlig gjør det en nettkriminell ville gjort ellers i året – leter etter måter å bruke informasjonen til å generere inntekter på. Dette kan inkludere å åpne et kredittkort i ditt navn, selge dataene eller tilgangen til en annen nettkriminell, åpne bankkontoen din direkte for å starte en pengeoverføring, eller handle på nettet.

Nedenfor presenteres figurer for (1) phishing-e-postagn og (2) autentisk tredjeparts behandlernettsted:

En phishing-e-post med et autorisert IRS-topptekstbilde tatt fra et autentisk tredjeparts betalingsbehandlernettsted.
Figur 4: En phishing-e-post bruker et topptekstbilde (autorisert IRS) som er tatt fra ACI Payments, Inc,. en betalingsbehandler oppført på IRS-nettstedet.
Et skjermbilde av et nettsted som bruker et Autorisert IRS-topptekstbilde tatt fra et faktisk nettsted for ACI Payments, Inc
Figur 5: Eksempel på hvordan det autentiske «Autorisert IRS»-bildet er fremhever på det faktiske nettstedet for ACI Payments, Inc.

Dette ønsker de nettkriminelle når skatteoppgjøret kommer

I løpet av skattesesongen strømmer store mengder sensitive finans- og identitetsdataflyter frem og tilbake mellom enkeltpersoner og organisasjoner, slik som Skatteetaten og ulike typer leverandører av skattetjenester, for eksempel skatteinnleveringsprogramvare eller varemerker for skatteklargjøring eller lokale regnskaps- og skattefirmaer til selvstendig næringsdrivende.

Noen av dataene med høyest risiko2 omfatter:

  • Identitet: Personnummer, førerkort eller nasjonal ID, passdetaljer, føderalt foretaksnummer (EIN), CAF-nummer (Centralized Authorization File)
  • Finanskontoer: Finanskontonumre, kreditt- og debetkortnumre (med eller uten påkrevd sikkerhetskode)
  • Passord og tilgang: E-postpassord, personlig ID-numre (PIN) og tilgangskoder

Når det gjelder den generelle risikoen til verdifulle personopplysninger som finnes i den gjennomsnittlige persons personlige e-postinnboks, forklarer Microsoft trusselinformasjon-ekspert Wes Drone at «Mange har store digitale samlinger i e-postinnboksene sine, og informasjonen de oppbevarer er svært verdifull for kriminelle.»

Denne risikoen er ikke kun begrenset til når skatteoppgjøret kommer. Drone påpeker at gjennomsnittspersonens e-postkonto har korrespondanse og dokumenter fra nesten hvert eneste aspekt ved privatlivet, og skattesesongen er bare én av mange anledninger for å prøve å stjele dem.

«Alt mellom himmel og jord kommer til e-postadressen din», forklarer Drone. «og dersom en trusselaktør får tilgang til e-postadressen din, kan vedkommende tilbakestille alle passordene til alle kontoene dine.»

Risikoen for enkeltpersoner kan også bli en risiko for bedrifter. Ifølge Drone kan en trusselaktør installere en skadelig programvare i arbeidsgiverens miljø hvis trusselaktøren får tilgang til e-postinnboksen til en ansatt.

«Nå snakker vi om alle typer mulige problemer», sier Drone. «En stor ting er kompromittering av forretnings-e-post», hvor de begynner å kommunisere med leverandørene eller personene som du gjør forretninger med. De endrer numre på fakturaer, sender falske fakturaer og omdirigerer penger, og dette kan være en svært kostbar bestrebelse.»

Slik får de nettkriminelle dataene dine

Selv om phishing-teknikker som brukes av nettkriminelle, ikke er noe nytt, er de fremdeles svært effektive. Uavhengig av variasjonene vil phishing-angrep mot enkeltpersoner i løpet av skattesesongen primært føre til ett av to utfall: «infostealers» (en type skadelig trojaner-programvare) blir lastet ned, eller brukere legger inn legitimasjon på forfalskede målsider. Noe som er mindre vanlig, er at phishere prøver å få tilgang for å kunne laste ned skadelig programvare.

Phishing-kampanjer i skattesesongen prøver å lure brukere til å tro de representerer legitime kilder, slik som arbeidsgivere og HR-personell, Skatteetaten, skattetilknyttede organisasjoner på statlig nivå, eller leverandører av skatterelaterte tjenester som regnskapsførere og skatteklargjøringstjenester (som ofte bruker store, klarerte varemerker og logoer).

Vanlige taktikker som nettkriminelle bruker for å lure målene sine, inkluderer forfalsking av målsider med ekte tjenester og nettsteder, bruk av nettadresser som visuelt ser riktige ut, selv om de ikke er det (homoglyfdomener), og tilpassing av phishing-koblinger for hver bruker.

«Årsaken til at disse phishing-kampanjene i skattesesongen fortsetter å fungere – noe de har gjort i årevis – er at ingen ønsker å få noe fra Skatteetaten.», forklarer Drone. Drone observerer at å få skatterelaterte meldinger kan forårsake angst så fort det havner i innboksen.

«Ingen ønsker naturligvis å gå glipp av tilbakebetalinger eller få dem frastjålet», fortsetter han. «De kriminelle utnytter denne frykten og disse følelsene i den sosiale manipuleringen, for å øke angsten, skape en villighet til å klikke raskt og gjøre det de må gjøre.»

Selv om trusselaktørene bruker en rekke agn som forestiller ulike organisasjoner, har phishing-e-postene visse felles egenskaper.

  • Element A – varemerking: En egenskap utformet for å senke forsvaret ditt. Kriminelle bruker varemerking du kjenner igjen og forventer å se på denne tiden av året, slik som Skatteetaten eller skatteklargjøringsfirmaer og -tjenester.
  • Element B – følelsesmessig innhold: De meste effektive phishing-agnene er de med meldinger som forsterker følelser. I løpet av skattesesongen spiller de kriminelle på folks håp («Du får en stor uventet tilbakebetaling!») samt frykten («Tilbakebetalingen er satt på vent», eller, «Du må betale et stort gebyr»).
  • Element C – viktighet: For en nettkriminell er viktighet ofte det som får folk til å handle på måter de ikke ville gjort ellers. Med viktighet vil det motsatte av det du vil skal skje eller ikke skje, skje, med mindre du handler før tidsfristen.
  • Element D – klikket: Enten det er en kobling, knapp eller QR-kode, vil den kriminelle til syvende og sist at du skal klikke bort fra innboksen din og over til det skadelige nettstedet deres.
En bærbar datamaskin viser et eksempel på en phishing-e-post med ikoner som angir aspekter ved bildet som blir forklart i artikkelen.
Figur 6: Forklaringene med bokstaver fremhever noen av kjennetegnene til et phishing-e-post-åte.

Det beste forsvaret mot nettkriminelle, både i skattesesongen og gjennom hele året, er utdanning og god cyberhygiene. Utdanning betyr phishing-bevissthet – kunnskap om hvordan phishing-angrep ser ut og hva du skal gjøre når de oppstår. God cyberhygiene betyr implementering av grunnleggende sikkerhetstiltak, slik som godkjenning med flere faktorer for finans og e-postkontoer.

Etter hvert som «Skattedagen» nærmer seg i USA, 15. april, finnes det noen ekstra anbefalinger som kan hjelpe brukere og forsvarere med å være årvåkne mot skattefokuserte trusler.

Syv måter å beskytte deg mot phishing på

Å falle for et phishing-angrep kan føre til lekket konfidensiell informasjon, infiserte nettverk, økonomiske krav, ødelagte data eller det som verre er. Slik kan du forebygge at dette skjer.3
  • Inspiser senderens e-postadresse. Er alt som det skal være? Et feilplassert tegn eller en uvanlig stavemåte kan signalisere at den er falsk.
  • Vær oppmerksom på e-poster med generiske hilsener («Kjære kunde», for eksempel), som ber deg om å handle raskt.
  • Se etter kontaktinformasjon for sender som kan bekreftes. Hvis du er i tvil – ikke svar. Start heller en ny e-post for å svare.
  • Send aldri sensitiv informasjon via e-post. Hvis du formidle privat informasjon, bruk telefonen.
  • Tenk to ganger før du klikker på uventede koblinger, særlig hvis de oppfordrer deg til å logge på kontoen din. For å være sikker bør du logge på fra et offisielt nettsted i stedet.
  • Unngå å åpne e-postvedlegg fra ukjente sendere eller venner som ikke vanligvis sender deg vedlegg.
  • Installer et phishing-filter for e-postappene dine, og aktiver søppelpostfilteret på e-postkontoene dine.

Aktiver godkjenning med flere faktorer (MFA)

Ønsker du å redusere sannsynligheten for vellykkede angrep på kontoene dine? Slå på MFA. Godkjenning med flere faktorer, som navnet indikerer, krever to eller flere bekreftelsesfaktorer.

Ved å aktivere godkjenning med flere faktorer vil ikke angriperen få tilgang til kontoene og personopplysningene dine, selv om vedkommende får brukernavnet og passordet ditt. Å kompromittere mer enn én godkjenningsfaktor utgjør en betydelig utfordring for angripere, fordi å kunne (eller knekke) et passord ikke er nok til å få tilgang til et system. Når godkjenning med flere faktorer er aktivert, kan du forhindre 99,9 % av angrepene på kontoene dine.4

Relaterte artikler

Grunnleggende cyberhygiene forhindrer 99 % av angrepene

Grunnleggende cyberhygiene er fremdeles den beste måten å beskytte organisasjonens identiteter, enheter, data, apper, infrastruktur og nettverk på, mot 98 % av alle datatrusler. Oppdag praktiske tips i en omfattende veiledning.
Mer informasjon

Analyse av kompromittering av e-post

Nettkriminalitetsekspert Matt Lundy gir eksempler på kompromittering av forretnings-e-post, og gir en oversikt over de vanligste og mest kostbare formene for cyberangrep.
Mer informasjon

Svindel gjennom sosial manipulering får næring fra tillitsøkonomien

Utforsk et digitalt landskap i endring, hvor tillit er både en valuta og en sårbarhet. Oppdag svindeltaktikken med sosial manipulering som cyberangripere bruker mest, og se gjennom strategier som kan hjelpe deg med å utmanøvrere trusler fra sosial manipulering, som har til hensikt å lure mennesker.
Mer informasjon

Følg Microsoft Sikkerhet