Laboratorium Antyspamowe Bitdefender ostrzega przed oszustwami podatkowymi

Sezon podatkowy zawsze wiąże się ze zwiększonym ryzykiem oszustw zarówno po stronie specjalistów podatkowych, jak i osób fizycznych. Każdy podatnik może być celem oszustów podatkowych, którzy stosują różnych środków, w tym poczty e-mail i telefonu, aby nakłonić użytkowników do przekazania danych uwierzytelniających, kodów PIN i innych poufnych informacji.

Oszustwa podatkowe – kluczowe dane

W 2023 r. do amerykańskich urzędów skarbowych wpłynęło 294 138 skarg podatników dotyczących kradzieży tożsamości podatkowej. Ofiary musiały czekać średnio 19 miesięcy, aż agencja przetworzyła i wysłała zwrot pieniędzy.

Niektóre z najbardziej przekonujących i skutecznych oszustw w okresie składania zeznań podatkowych opierają się na kilku czynnikach, które sprawiają, że ludzie są na nie bardziej bezbronni lub podatni. Do najpopularniejszych z nich należy:

• Brak indywidualnej świadomości oszustw podatkowych.
• Zdolność podmiotów stwarzających zagrożenie do manipulowania ofiarami i oszukiwania ich.
• Idealnie synchronizowane ataki i wykorzystanie wyzwalaczy emocjonalnych.
• Budowanie zaufania poprzez podszywanie się pod legalne władze.

Badacze z Bitdefender Antispam Lab zachowali w tym tygodniu czujność wobec schematów opartych na e-mailach, których celem są podatnicy i postanowili przygotować krótki poradnik, w jaki sposób chronić się przed oszustwami podatkowymi.

Wyłudzanie informacji w ramach fałszywych kontroli podatkowych

W wielu oszustwach podatkowych cyberprzestępcy podszywają się pod agentów IRS i pracowników rządowych. Od około tygodnia badacze zajmujący się antyspamem zauważają falę oszustw związanych z kontrolą podatkową, których celem jest kradzież danych logowania i przejmowanie kont.

W poniższej próbie oszuści ostrzegają przed osobistą kontrolą w miejscu prowadzenia działalności i proszą odbiorcę o pobranie dokumentów w celu przygotowania się do wizyty „zespołu kontroli podatkowej”.

Link umieszczony w wiadomości e-mail kieruje użytkowników do fałszywej strony WeTransfer, na której użytkownicy muszą podać swoje dane uwierzytelniające.

Chociaż audyty US nie są niczym nowym i niekoniecznie sugerują problem z rachunkami osoby fizycznej lub organizacji, wiadomość phishingowa związana z naszym rozliczeniem PIT może spowodować panikę nieświadomej osoby i zmusić ją do „pobrania” „Zawiadomienia o żądaniu podatku” i przekazania danych logowania oszustom.

Należy pamiętać, że IRS początkowo powiadomi poszczególne osoby o audycie wyłącznie pocztą. Pisemny wniosek powinien zawierać listę konkretnych zapisów, które IRS chciałby sprawdzić. Do pisma należy załączyć dalsze instrukcje dotyczące sposobu, w jaki agencja przeprowadzi audyt oraz dane kontaktowe. IRS nigdy nie inicjuje audytu przez telefon.

Uzasadnione i oficjalne wnioski o audyt należy zawsze przesyłać w formie oficjalnego pisma pocztą.

A co z zaświadczeniem podatkowym, które przyjdzie do Twojej skrzynki odbiorczej?

Sezon podatkowy może być stresującym okresem dla wszystkich podatników, którzy mogą nieświadomie mieć kontakt z fałszywą korespondencją, która wydaje się pochodzić z urzędu skarbowego.

W innej kampanii oszustwa wykrytej przez badaczy Bitdefender oszuści wabią odbiorców fałszywymi załącznikami, które rzekomo zawierają zaświadczenie podatkowe.

Zaświadczenie podatkowe jest bardzo ważnym dokumentem wydawanym przez urząd skarbowy i stanowi dowód zapłaty podatku oraz zgodności z lokalnymi przepisami podatkowymi. Załącznik HTML kieruje odbiorców do fałszywej strony programu Excel, która wymaga od nich podania adresu e-mail, hasła i numeru telefonu.

W innej wersji oszustwa podatkowego cyberprzestępcy podszywają się pod legalnego podatnika zarejestrowanego w IRS w celu kradzieży danych uwierzytelniających.

Kiedy sezon podatkowy zamienia się w katastrofę bezpieczeństwa

Nie ma nic bardziej bolesnego niż naruszenie bezpieczeństwa Twojego urządzenia osobistego lub służbowego przez cyberprzestępców w sezonie podatkowym. Badacze Bitdefender zauważyli kampanię phishingową, której celem było infekowanie urządzeń odbiorców za pomocą Kutaki Stealer.

Kutaki to program rejestrujący naciskanie klawiszy umożliwiający kradzież informacji, w tym przechwytywanie danych uwierzytelniających użytkownika, naciśnięć klawiszy, ruchów myszką oraz udostępnianie danych atakującym.

Cyberprzestępcy stojący za tą kampanią kusili użytkowników złośliwymi załącznikami, które rzekomo zawierały szczegółowe informacje dotyczące nieudanej płatności podatków. Chociaż treść wiadomości e-mail może wydawać się nieco nietrafiona, myśl o konieczności poniesienia dodatkowych opłat lub kar może wystarczyć, aby przekonać nawet najbardziej ostrożnych odbiorców do działania.

Jak walczyć z oszustwami związanymi z sezonem podatkowym?

Sezon podatkowy zapewnia oszustom doskonałe tło do prowadzenia bardzo skutecznych programów przeciwko osobom fizycznym, przedsiębiorstwom, a nawet zawodowym podmiotom sporządzającym sprawozdania podatkowe.

Pomimo mnóstwa taktyk i metod dostarczania oszustw związanych z okresem podatkowym, istnieją proste sposoby zabezpieczenia się przed takimi próbami oszustwa.

Bycie na bieżąco z najnowszymi taktykami oszustw podatkowych i utrzymywanie sceptycznego nastawienia może być bardzo skuteczną ochroną przed wszelkimi oszustwami. Jeśli wiesz, jak zidentyfikować potencjalną złośliwą aktywność, możesz wyprzedzić oszustów, którzy stale dostosowują swoje podstępy. Ważne jest, aby pozbyć się postawy „mnie to nie spotka” i mieć świadomość, że cyberprzestępca może oszukać każdego, nawet najinteligentniejszego internautę.

Oszustwa podatkowe – kluczowe wnioski

• Urzędnicy skarbowi nie kontaktują się z podatnikami za pośrednictwem e-maili, SMS-ów ani mediów społecznościowych i nigdy nie będą żądać poufnych informacji za pośrednictwem tych nieoficjalnych kanałów.
• Żadna agencja rządowa, łącznie z urzędem skarbowym, nigdy nie będzie kazała swoim pracownikom nękać, grozić ani żądać płatności od osób fizycznych.
• Nigdy nie odpowiadaj na niechciane wiadomości z prośbą o podanie kodów PIN, danych uwierzytelniających, informacji bankowych lub przelewu pieniędzy.
• W razie wątpliwości korzystaj z oficjalnych kanałów i oficjalnej strony internetowej US.
• Zachowaj szczególną ostrożność w przypadku niechcianych załączników i nie pobieraj ich ani nie otwieraj ich na swoim urządzeniu.
• Utrzymuj dobry poziom cyberbezpieczeństwa, używając unikalnych haseł do swoich kont i włączając 2FA, a także korzystaj z rozwiązania zabezpieczającego w celu ochrony przed próbami phishingu, fałszywymi witrynami internetowymi i atakami złośliwego oprogramowania.
• Zgłaszaj próby phishingu za pośrednictwem usługi zgłaszania oszustw Urzędowi Skarbowemu.
• W razie wątpliwości zapytaj Bitdefender Scamio, wykrywacza oszustw opartego na sztucznej inteligencji. Scamio pomaga w ciągu kilku minut określić, czy jakakolwiek niechciana korespondencja jest potencjalnym oszustwem. Opisz sytuację Scamio w języku angielskim, wyślij link, SMS lub zrzut ekranu. Scamio przeanalizuje informacje i odpowie. Możesz uzyskać dostęp do Scamio za darmo na dowolnym urządzeniu i systemie operacyjnym za pośrednictwem przeglądarki internetowej lub Facebook Messenger.
• Zawsze korzystaj ze skutecznego systemu antywirusowego, który został wyposażony w moduł antyphishingowy, np. Bitdefender Total Security.