2025 ABD vergi sezonu zirveye ulaştıkça, siber güvenlik analistleri, IRS ve federal vergi temalarından yararlanan kimlik avı kampanyalarında dramatik bir yükseliş bildiriyor.
1 Ocak ve 18 Şubat arasında, tehdit aktörleri “IRS.GOV” gibi resmi IRS alt alanını taklit eden 158 benzersiz alan kaydetti ve SMS kimlik avı (Smishing) ve sosyal medya platformları aracılığıyla gelişmiş sosyal mühendislik taktiklerini dağıttı.
Saldırılar, vergi dosyalama sistemleriyle artan halkın katılımıyla çakışarak, kimlik bilgisi hasat ve finansal sahtekarlık için ideal koşullar yaratıyor.
Broadcom’un WebPulse’den yeni telemetri, sadece Ocak ayında kimlik avı veya kötü niyetli olarak kategorize edilen 3.500 benzersiz kötü niyetli alan ortaya çıkarır ve saldırı altyapısı geleneksel algılama yöntemlerini atlamak için günlük olarak gelişir.
Saldırı zincirleri, hxxps: //www.irs.gov.tax-initial gibi URL’ler içeren mesajlarla başlar.[.]Com, kurbanları ekonomik etki ödemeleri veya geri ödeme işleme kisvesi kapsamında hassas veriler isteyen IRS portallarına yönlendirmek.
.webp)
Etki Alanı Sahtekarlık Teknikleri benzeri görülmemiş bir sofistike olur
Pasif DNS kayıtlarının analizi, çok katmanlı subdomain sahtekarlığı kullanan saldırganları gösterir ve “IRS.GOV.Tax-Private gibi iç içe yapılar oluşturur[.]com ”meşru IRS yollarını görsel olarak taklit eden.
Hileli portallar, aşağıdakileri içeren resmi IRS düzeni öğelerini çoğaltır:-
- “Ödememi Al” ve “Stopajı Kontrol Edin” gibi seçeneklerle etkileşimli vergi araçları bölümü
- İspanyolca, Çince ve Korece çok dilli destek panelleri
- Altbilgi navigasyonu Yansıtma Orijinal IRS Site Mimarisi
.webp)
Tehdit aktörleri bu sahte alanları dinamik içerik üretimi ile birleştirerek her kurban için benzersiz kimlik avı sayfaları oluşturuyor ve “DRTF5PE gibi parametreler kullanarak[.]biz ”ve“ Eljungle[.]Ben”.
Altyapı, “FederalTaxrebat-Programlar da dahil olmak üzere günlük 150’den fazla yeni gözlemlenen alanda dönen alan kayıtları kullanır.[.]tıklayın ”ve“ Taxirs-gov[.]com ”.
Symantec’in Web Güvenlik Motoru (WebPulse) verileri, bu alanların en yoğun dönemlerde günlük 50.000’den fazla arama talebi oluşturduğunu ve büyük kampanya erişimini gösterdiğini göstermektedir.
Koruyucu önlemler artık şüpheli sertifika modellerini gerçek zamanlı olarak işaretlerken onaylanmış kötü amaçlı alanlara erişimi otomatik olarak engellemektedir.
Güvenlik ekipleri, vergi mükelleflerini resmi IRS iletişim kanalları aracılığıyla URL’leri doğrulamaya ve tüm vergi hazırlama hesaplarında çok faktörlü kimlik doğrulamasını etkinleştirmeye çağırır.
Alan adı kayıt kalıpları, azaltma belirtisi göstermesiyle, 2025 vergi sezonu hem meşru dosyalama hem de ilişkili siber suç faaliyeti için kayıtları kırmaya hazır görünmektedir.
Ücretsiz Web Semineri: Olay Yanıtı ve Tehdit Avı için Etkileşimli Kötü Yazılım Sandbox ile Better SOC – Buraya Kaydolun