This is the Trace Id: 1712bdbd809a4811a1bc9b3ee52b48ab

Cibersegurança na época de declaração de impostos: O que os cibercriminosos querem e os seus alvos mais comuns. É você?

Partilhar
Ilustração gráfica a mostrar um portátil com documentos de impostos no ecrã, documentos de papel a voar para uma pasta marcada como “tax”

No panorama de ameaças atual, os ataques de phishing são inevitáveis. Para atores de ameaças com motivações financeiras, a pressão do prazo e a troca frenética de formulários e documentos que ocorre durante a época de declaração de impostos cria uma oportunidade atraente para implementar campanhas de phishing que visam dados de alto risco de milhões de indivíduos e empresas stressados e distraídos.

Embora todos possam ser alvo de phishing na época de declaração de impostos, alguns grupos de pessoas são mais vulneráveis que outros. Os principais alvos incluem indivíduos que podem estar menos informados sobre os métodos interação do IRS: detentores de Green Card, proprietários de pequenas empresas, novos contribuintes com menos de 25 anos e contribuintes com mais de 60 anos.

Este relatório especial de informações sobre ameaças da época de declaração de impostos inspeciona as táticas, as técnicas e os procedimentos (TTP) que os atores de ameaças mais utilizam nas seguintes secções:

  • Informações sobre Ameaças da Microsoft desvenda uma campanha de phishing na época de declaração de impostos de 2024, em que são descritos detalhes de uma nova técnica de phishing de temporada de declaração de impostos que utiliza engodos que se fazem passar por documentos relacionados com impostos fornecidos por entidades patronais.
  • Atores de ameaças imitam processadores de pagamento de impostos em e-mails de phishing, que descreve como o Informações sobre Ameaças da Microsoft observou atores de ameaças a utilizar logótipos de processadores de pagamento de impostos federais de terceiros.
  • O que os cibercrimonosos querem na altura dos impostos, onde identificamos os diferentes tipos de dados de alto risco vulgarmente visados na altura dos impostos.
  • Como os cibercriminosos obtêm os seus dados, onde descrevemos as técnicas de engenharia social com foco na época de declaração de impostos que os atores de ameaças mais utilizam.
  • Melhores práticas de cibersegurança para a época de declaração de impostos, onde fornecemos melhores práticas e conselhos acionáveis para manter a vigilância contra ataques de engenharia social.

O Informações sobre Ameaças da Microsoft já observou atividade de phishing de época de declaração de impostos, incluindo uma campanha do final de janeiro de 2024, a utilizar engodos a imitar documentos relacionados com impostos de entidades patronais.

As imagens seguintes mostram (1) o engodo de e-mail de phushing, (2) o site malicioso e (3) os dois executáveis maliciosos, o malware, desta campanha:

Um e-mail de phishing da época de declaração de impostos observado pelas Informações sobre Ameaças da Microsoft em janeiro de 2024.
Figura 1: Um e-mail de phishing contém um anexo de HTML que direciona o utilizador para uma página de destino falsa
Captura de ecrã de um site malicioso
Figura 2: Os utilizadores foram direcionados para uma página Web, que os atores da ameaça tornaram intencionalmente desfocada, uma técnica de engenharia social com o objetivo de aumentar a probabilidade de um clique. Depois de os alvos clicarem em “Transferir Documentos”, malware é instalado no computador.
Captura de ecrã de um explorador de ficheiros do windows a mostrar dois ficheiros na pasta “programs”: "deepvau", uma aplicação
Figura 3: Um ficheiro executável malicioso com capacidades de roubo de informações que foi colocado no computador do alvo. Uma vez no ambiente, tentará recolher informações, incluindo credenciais de início de sessão.

Atores de ameaças imitam entidades oficiais

Noutras campanhas, a Microsoft observou atores de ameaças a utilizar imagens tiradas de sites de processadores de pagamentos de impostos federais de terceiros legítimos nos seus e-mails de phishing para parecerem convincentes.

Embora estes e-mails pareçam legítimos, os contribuintes devem saber que entidades oficiais como o IRS não iniciam contacto em relação a declarações ou pagamentos de impostos por e-mail, SMS ou chamadas.

Em casos raros, um cibercriminoso pode utilizar informações roubadas para realizar fraude de devolução de impostos. Neste esquema específico, os criminosos declaram impostos no nome do alvo e pedem um reembolso.1 Esta abordagem, no entanto, tem uma baixa probabilidade de sucesso devido às salvaguardas do IRS. Num resultado mais provável, um cibercriminoso que aceda às suas informações na altura dos impostos fará o que um cibercriminoso faz a qualquer altura do ano: procurar formas de monetizar essas informações. Isso pode incluir abrir um cartão de crédito em seu nome, vender os dados ou o acesso a outro cibercriminoso, aceder diretamente à sua conta bancária para iniciar uma transferência de fundos ou fazer compras online.

Abaixo, são apresentadas imagens para o (1) engodo de e-mail de phishing e (2) o site processador de terceiros autêntico:

Um e-mail de phishing com uma imagem de cabeçalho Authorized IRS tirada de um site de processador de pagamentos de terceiros autêntico.
Figura 4: Um e-mail de phishing utiliza uma imagem de cabeçalho (Authorized IRS) tirada da ACI Payments, Inc., um processador de pagamentos listado no site do IRS.
Uma captura de ecrã de uma página Web a utilizar uma imagem de cabeçalho Authorized IRS tirada de um site real da ACI Payments, Inc
Figura 5: Exemplo de como a imagem autêntica “Authorized IRS” está destacada no site real da ACI Payments, Inc.

O que os cibercriminosos querem na altura dos impostos

Durante a temporada de declaração de impostos, quantidades enormes de dados financeiros e de identidade confidenciais fluem em ambas as direções entre indivíduos e organizações como o IRS e diferentes tipos de fornecedores de serviços de impostos, como software de declaração de impostos ou marcas de preparação de impostos ou empresas de impostos.

Alguns dos dados mais de alto risco2 incluem:

  • Identidade: Números de segurança social, carta de condução ou bilhete de identidade estatal, detalhes de passaporte, Números de Identificação do Empregador (EIN), números de Ficheiro de Autorização Centralizado
  • Contas financeiras: Números de contas financeiras, números de cartões de crédito e débito (com ou sem qualquer código de segurança necessário)
  • Palavras-passe e acesso: Palavras-passe de e-mail, números de identificação pessoal (PIN) e códigos de acesso

Em relação ao risco geral dos conjuntos de informações pessoais que podem ser encontrados nas caixas de entrada de e-mail pessoais da maioria das pessoas, o especialista em cibercrime do Informações sobre Ameaças da Microsoft Wes Drone explica, “As pessoas podem ser acumuladoras digitais nas suas caixas de entrada de e-mail, e as informações que guardam são imensamente valiosas para os criminosos.”

O risco não está limitado à altura de impostos. Drone menciona que as contas de e-mail da maioria das pessoas tem correspondência e documentos de quase todos os aspetos das suas vidas pessoais, e a época de impostos é apenas uma das muitas ocasiões para tentar roubá-los.

“Tudo vem parar ao seu endereço de e-mail,” explica Drone, “e se um ator de ameaças obtiver acesso ao seu endereço de e-mail, pode alterar as palavras-passe para todas as suas outras contas.”

O risco para indivíduos pode se tornar também um risco para empresas. De acordo com Drone, se um ator de ameaças obtiver acesso a uma caixa de e-mail de um colaborador, pode instalar malware dentro do ambiente do empregador.

“Agora estamos a falar de todos os tipos de problemas possíveis,” diz Drone. “Algo importante é o comprometimento de e-mail empresarial, em que simplesmente começam a interagir com os seus fornecedores ou pessoas com quem tem relações empresariais. Alteram números em faturas, enviam faturas falsas e desviam dinheiro, e pode ser um empreendimento muito caro.”

Como os cibercriminosos obtêm os seus dados

Embora as técnicas de phishing utilizadas pelos cibercriminosos não sejam novas, continuam a ser tremendamente eficazes. Independentemente das variações, os ataques de phishing contra indivíduos durante a época de declaração de impostos levará principalmente a um de dois resultados: a transferência de software de roubo de informações (um tipo de malware Trojan) ou utilizadores a introduzir as suas credenciais em páginas de destino falsas. Menos frequentemente, os phishers podem procurar obter acesso para transferir ransomware.

As campanhas de phishing da época de declaração de impostos tentam enganar os utilizadores a achar que representam fontes legítimas, como entidades patronais e pessoal de RH, a Direção-geral dos Impostos norte-americana (IRS), organizações relacionadas com impostos de nível estatal ou fornecedores ou serviços relacionados com impostos, como contabilistas e serviços de preparação de impostos (frequentemente utilizando logótipos e marcas grandes e fidedignas).

Táticas comuns que os cibercriminosos utilizam para enganar os seus alvos incluem falsificar as páginas de destino de serviços ou sites genuínos, através de URL que parecem visualmente corretos embora não sejam (domínios homóglifos) e personalizar ligações de phishing para cada utilizador.

Drone explica, “O motivo pelo qual estas campanhas de phishing da época de declaração de impostos continuam a funcionar, e funcionam há anos, é que ninguém quer receber nada do IRS.” Drone observa que receber mensagens relacionadas com impostos pode causar ansiedade assim que chega a uma caixa de entrada.

“Certamente as pessoas não querem perder o seu reembolso ou que este seja roubado,” continua. “Os criminosos tiram partido destes medos e emoções na sua engenharia social para criar ansiedade, criando uma disponibilidade para urgentemente clicar e fazer o que precisam de fazer.”

Embora os atores de ameaças utilizem uma variedade de engodos incluindo diferentes organizações, os e-mails de phishing partilham certas caraterísticas comuns.

  • Item A – Marca: Uma caraterística pensada para baixar as suas defesas. Os criminosos utilizam marcas que reconhece e espera ver durante esta altura do ano, como a do IRS ou de empresas e serviços de preparação de impostos.
  • Item B – Conteúdo emocional: Os engodos de phishing mais eficazes são aqueles cujas mensagens acentuam emoções. Durante a época de impostos, os criminosos aproveitam-se da esperança (Tem um grande reembolso inesperado!) bem como do medo (O seu reembolso está suspenso, ou Team uma multa enorme).
  • Item C – Urgência: Para um cibercriminoso, urgência é o que muitas vezes faz as pessoas agir de formas de que normalmente não fariam. Com urgência, o oposto do que quer que aconteça ou que não aconteça ocorrerá a menos que aja antes do prazo.
  • Item D – O clique: Quer seja uma ligação, um botão ou um código QR, os criminosos no fim de contas querem que clique para sair da sua caixa de entrada e ir para o site malicioso deles.
Um portátil apresenta um exemplo de um e-mail de phishing com ícones a indicar aspetos da imagem que serão explicados no artigo.
Figura 6: As letras chamam a atenção para algumas das caraterísticas de um engodo de e-mail de phishing.

A melhor defesa contra cibercriminosos, tanto na época de declaração de impostos e durante todo o ano, é educação e boa higiene cibernética. Educação significa consciência de phishing, conhecer o aspeto de tentativas de phishing e o que fazer quando são encontradas. Boa higiene cibernética significa implementar medidas de segurança básicas como autenticação multifator para contas financeiras e de e-mail.

À medida que o Dia dos Impostos se aproxima dos Estados Unidos a 15 de abril, eis algumas recomendações adicionais para ajudar os utilizadores e defensores a manterem-se vigilantes contra ameaças relacionadas com impostos.

7 formas de se proteger de phishing

Deixar-se levar por um ataque de phishing pode levar a fugas de informações confidenciais, redes infetadas, exigências financeiras, dados danificados ou pior, portanto eis como impedir isso de acontecer.3
  • Inspecione o endereço de e-mail do remetente. Está tudo em ordem? Um caráter for de lugar ou ortografia inusitada pode assinalar falsidade.
  • Desconfie de e-mails com saudações genéricas (“Caro cliente,” por exemplo) que lhe peçam para agir com urgência.
  • Procure informações de contacto do remetente verificáveis. Quando em dúvida, não responda. Em vez disso, comece um novo e-mail para responder.
  • Nunca envie informações confidenciais por e-mail. Se tiver de transmitir informações privadas, utilize o telefone.
  • Pense duas vezes antes de clicar em ligações inesperadas, especialmente se o(a) levarem a terminar sessão da sua conta. Para ter a certeza, inicie sessão a partir do site oficial.
  • Evite abrir anexos de e-mail de remetentes desconhecidos ou amigos que normalmente não lhe enviam anexos.
  • Instale um filtro de phishing para as suas aplicações de e-mail e ative o filtro de spam nas suas contas de e-mail.

Ative a autenticação multifator (MFA)

Quer reduzir a probabilidade de ataques bem-sucedidos nas suas contas? Ative a MFA. A autenticação multifator, como o nome sugere, requer dois ou mais fatores de verificação.

Ao ativar a MFA, mesmo que um atacante obtenha o seu nome de utilizador e palavra-passe, continuarão sem poder aceder às suas contas e informações pessoais. Comprometer mais do que um fator de autenticação é um desafio significativo para atacantes, pois saber (ou extrair) uma palavra-passe não será suficiente para obter acesso a um sistema. Com a MFA ativada, pode prevenir 99,9% dos ataques nas suas contas.4

Artigos relacionados

Uma higiene cibernética básica evita 99% dos ataques

A higiene cibernética básica continua a ser a melhor forma de defender as identidades, os dispositivos, os dados, as aplicações, a infraestruturas e as redes de uma organização contra 98% de todas as ciberameaças. Descubra sugestões práticas num guia abrangente.
Saber mais

Analisar o comprometimento de e-mail empresarial

O especialista em crimes digitais Matt Lundy fornece exemplos de comprometimento de e-mail empresarial, explicando uma das formas mais comuns e dispendiosas de ciberataque.
Saber mais

Tirar partido da economia de confiança: fraude de engenharia social

Explore um panorama digital em evolução onde a confiança é ao mesmo tempo uma mais-valia e uma vulnerabilidade. Descubra as táticas de fraude de engenharia social que os ciberatacantes mais utilizam e consulte estratégias que podem ajudar a identificar e derrotar ameaças de engenharia social concebidas para manipular a natureza humana.
Saber mais

Siga o Microsoft Security