Proofpoint araştırmacıları, vergi dosyalama sezonundan yararlanmak için tasarlanmış kimlik avı kampanyalarında ve kötü niyetli alan kayıtlarında belirgin bir artış tespit etmişlerdir.
Bu operasyonlar, İngiltere, ABD, İsviçre ve Avustralya gibi hedefleyen ülkeler, vergi ile ilgili temalardan kurbanları hassas bilgileri ifşa etmek veya hileli ödemeler yapmak için kullanıyor.
Etkinlikteki bu artış, işletmeler ve bireyler vergi dosyalarını hazırlarken, Aralık -Nisan ayları arasında görülen yıllık kalıplarla uyumludur.
Saldırganlar genellikle vergi ile ilgili katılımlarla bağlantılı vergi kurumlarını veya finansal kurumları taklit eder.
Bu kimlik avı cazibesi, bu kuruluşların algılanan otoritesini kullanır ve onları kimlik hırsızlığı, finansal sahtekarlık ve kötü amaçlı yazılım teslimi için etkili araçlar haline getirir.
Bölgeye özgü kampanyalar: İngiltere, ABD, İsviçre ve Avustralya Odak
Birleşik Krallık’ta, birden fazla kampanya HM Gelir ve Gümrük (HMRC) ile taklit eden ortaya çıktı.
12 Ocak 2025’ten bu yana aktif olan önemli bir kampanya, alıcıları sahte HMRC markalı kimlik bilgisi hasat sitelerine yönlendiren “Hesap Güncellemesi” kimlik avı e-postaları kullandı.
Çaba, meşru görünmek için sofistike markalaşma ve dili kullanarak çeşitli kuruluşları hedef aldı.
ABD’de yüzlerce kötü niyetli alan bu Ocak ayında vergi temalı kimlik avı kampanyalarıyla ilişkilendirildi.
Dikkate değer bir örnek, kullanıcıların vergi formlarını yanlış iddia eden e -postalarla Intuit’in hızlı kitaplarını taklit eden saldırganları içeriyordu.
Mağdurlar, kimlik bilgilerini çalmak için sezonu taklit eden kimlik avı sayfalarına yönlendirildi.
Sadece bu kampanya, 2.000’den fazla kuruluşu hedefleyen 40.000’den fazla hileli e -posta gönderdi.
İsviçre kuruluşları da Aralık 2024’te Federal Vergi İdaresi’nden olduğu iddia edilen hileli e -postalarla hedeflendi.
Bu mesajlar, meşru bir Revolut ödeme bağlantısı aracılığıyla ödeme talep etti.
Diğer kampanyalardan farklı olarak, bu çaba, kimlik hırsızlığı yerine finansal sahtekarlığı vurguladı ve alıcıları CHF 102.50’yi saldırgan kontrolündeki bir hesaba aktarmaya zorladı.
Avustralya’da, Avustralya Hükümet Hizmetleri Portalı Mygov’dan iletişim olarak gizlenen kampanyalar, Ocak 2025’in başından beri aktif.
Bu kimlik avı çabaları, kurbanları sahte Mygov portallarına yönlendirerek kullanıcı adları, şifreler ve çok faktörlü kimlik doğrulama (MFA) detaylarını çalmayı amaçladı.
Saldırganlar ayrıca gelişmiş BOT karşıtı koruma önlemlerini kullanarak algılama sistemlerini atlamaya çalıştılar.
Vergi temalı tehditler kötü amaçlı yazılım sunmak için gelişir
Kimlik bilgisi hırsızlığı ve sahtekarlığın ötesinde, gelişmiş kötü amaçlı yazılımlar sunmak için vergi temalı yemler de kullanılmıştır.
16 Ocak 2025’te bir kampanya, Rhadamanthys ve ZGRAT kötü amaçlı yazılımları dağıtmak için sahte vergi yazılımı e -postaları kullandı.
Microsoft Azure’da barındırılan bu saldırılar, sistemleri tehlikeye atmak için kötü niyetli PowerShell komut dosyaları yürüttü.
Diğer son kampanyalar, Metastealer, Xworm, Asyncrat ve Venomrat gibi kötü amaçlı yazılımlar sundu ve tehdit aktörleri tarafından kullanılan çeşitli teknikleri daha da vurguladı.
Yetkili markalaşmaya güvenmek ve vergi ile ilgili iletişimin zamana duyarlı doğası bu kampanyaları özellikle etkili kılmaktadır.
Proofpoint, kimlik avı girişimlerini ve ortak saldırgan taktiklerini tanımak için örgütsel eğitimin önemini vurgulamaktadır.
Etki alan taklit etme çabalarının izlenmesi ve e -posta güvenlik sistemlerinin desteklenmesi gibi proaktif önlemler, bu büyüyen tehditlerin azaltılmasında çok önemlidir.
Vergi sezonu devam ettikçe, bu gelişen tehditlere karşı uyanıklık, duyarlı bilgi ve finansal kaynakları sömürüden korumak için hayati önem taşır.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin. Run Sandox -> Ücretsiz dene