Oszustwa typu phishing podatkowy są niezwykle powszechne w Wielkiej Brytanii do tego stopnia, że HMRC publikuje przewodnik po najpopularniejszych typach. Choć najczęściej pojawiają się w okolicach kluczowych terminów podatkowych (np. samoocena w styczniu, złożenie sprawozdania finansowego w marcu), mogą mieć miejsce przez cały rok. O autorze Richard Meeus jest dyrektorem ds. technologii i strategii bezpieczeństwa w firmie Akamai. Ataki phishingowe mogą być bardzo satysfakcjonujące dla przestępców, nie tylko finansowo, ale także jeśli chodzi o naruszenie poufnych danych, co może skutkować oszustwem lub kradzieżą tożsamości, a ofiarą może stać się każdy: od niezależnego specjalisty IT po małą firmę wartą miliony funtów . w dochodach. Phishing jest często postrzegany jako rodzaj cyberataku opartego na „inżynierii społecznej”, który polega na nakłonieniu użytkownika końcowego do ujawnienia poufnych informacji, udając, że pochodzą z zaufanego źródła. Cyberprzestępcy często korzystają również z technicznych „zestawów narzędzi”, które pomagają im w przeprowadzaniu oszustw. Atakujący nie muszą być doświadczonymi hakerami, aby odnieść sukces w ataku phishingowym, ponieważ istnieje ogromny ekosystem przestępczy składający się z gotowych zestawów narzędzi, które można kupić w ciemnej sieci. Śledzenie ewolucji wykorzystania tych zestawów narzędzi może nam wiele powiedzieć o podstawowych trendach w cyberbezpieczeństwie. Aby lepiej zrozumieć naturę tych powtarzających się oszustw, prześledziliśmy pięć największych zestawów narzędzi do phishingu, które zostały poddane recyklingowi i ponownie wdrożone w ciągu ostatnich dwóch lat. W tym miejscu dzielimy się najważniejszymi wnioskami płynącymi z danych, aby pomóc lepiej chronić, informować i wzmacniać pozycję konsumentów.
Oszuści wykorzystują niepewność i strach
W ciągu ostatnich 18 miesięcy byliśmy świadkami fali oszustw związanych z phishingiem podatkowym, które zostały dostosowane do nawiązania do Covid-19 i prawie wszystkie z nich zawierały wiadomości związane z pandemią. Nie jest to zjawisko nowe, ponieważ kampanie mają na celu uwzględnienie priorytetów i obaw konsumentów, ale ta technika inżynierii społecznej okazała się szczególnie skuteczna w sezonie 2020/21. Wiele oszustw wspomina o programach pomocy rządowej i zmianach w terminach składania wniosków, imitując legalne strony internetowe. Na przykład dwa dobrze znane oszustwa naśladują HMRC, rzekomo oferując programy pomocy w związku z Covid-19, w tym „program wsparcia w związku z blokadą” i „zwrot pieniędzy w związku z Covid-19”. Z naszych badań wynika, że liczba oszustw wzrosła tuż po wybuchu pandemii w kwietniu 2020 r. Wykorzystując istniejące obawy i obawy związane z niepewnością finansową, oszuści zwiększają wolumen tego typu kampanii typu „joyride”.
Oszustwa podatkowe wciąż się pojawiają
Wyśledziliśmy trzy oszustwa w Wielkiej Brytanii, które łącznie utworzyły ponad 1000 domen phishingowych, przy czym jedno konkretne oszustwo wykorzystywało 650 domen. Znaleźliśmy zestawy narzędzi, które pojawiają się w różnym czasie, korzystają z setek domen i mają wpływ na wiele organizacji. Chociaż niektóre z nich były obecne przez cały czas naszego monitorowania, prawdopodobnie przed 2019 r., po raz pierwszy oszustwo wykryto w lipcu 2020 r. Jeśli chodzi o rozszerzanie istniejących oszustw, odkryliśmy, że przestępcy często wykorzystują określony wektor ataku, który z biegiem czasu zmieniają się i udoskonalają; Czasem zmian tych dokonuje się w aparacie technicznym, a czasem w zespole redakcyjnym. Przestępcy zajmujący się phishingiem wykorzystują doniesienia prasowe, wykorzystują i wzbudzają strach oraz przestrzegają ścisłych terminów, aby zmaksymalizować skuteczność ataków phishingowych i stworzyć poczucie pilności. Na przykład w grudniu 2020 r., dzień po ogłoszeniu przez Borisa Johnsona programu wdrażania szczepionek, dystrybuowano już e-maile phishingowe oferujące szczepionkę. Atak ten był gotowy do przeprowadzenia i został przeprowadzony, gdy tylko obecny harmonogram pozwolił na to. Gdy zestaw phishingowy stanie się przestarzały, jest on odzyskiwany lub usuwany, ustępując miejsca nowym i udoskonalonym zestawom narzędzi, które wyciągnęły wnioski z sukcesów i porażek swoich poprzedników. W ten sposób zestawy narzędzi do uchylania się od płacenia podatków mają podobny cykl życia jak zwykły produkt, co oznacza, że żadne dwa lata śledzenia oszustw nie są takie same.
Przygotuj się na następny krok
Jak widzieliśmy, oszustwa podatkowe są z natury podstępne, manipulacyjne i niezwykle szkodliwe. Wykorzystują nasze lęki i priorytety, aby wykorzystywać, kraść i naśladować swoje ofiary. Przestępcy będą nadal uderzać w nas, gdy będziemy najbardziej bezbronni, i zrobią wszystko, co w ich mocy, abyśmy skłonili nas do udziału w ich oszustwach, korzystając z inżynierii społecznej i wykorzystując nastroje związane z wydarzeniami o zasięgu globalnym, takimi jak Covid-19. Kluczowym obszarem, w którym spodziewamy się wzrostu liczby ataków, są urządzenia mobilne. Ofiary są tu szczególnie bezbronne, a przestępcy będą w coraz większym stopniu skupiać się na tym medium. Będzie to prawdopodobnie miało miejsce zarówno poprzez wyraźnie prowadzone kampanie skierowane do użytkowników telefonów komórkowych, jak i, bardziej pośrednio, poprzez sposób, w jaki coraz częściej korzystamy z usług internetowych na naszych smartfonach. Przemieszczenie dużej liczby pracowników zwiększa również atrakcyjność ataków mobilnych, ponieważ z tych urządzeń można uzyskać dostęp do większej liczby aplikacji i usług związanych z pracą. Tworzy to trwałą powierzchnię ataku, z której niewątpliwie skorzystają przestępcy i która w dalszym ciągu będzie stanowić wyzwanie, gdy będziemy wprowadzać nowe hybrydowe sposoby pracy.