Исследователи компании Proofpoint заметили увеличение активности фишинговых атак, связанных с налоговыми темами.
Описание
В особенности, было отмечено увеличение отправки фишинговых писем, представляющихся от имени налоговых агентств и связанных с ними финансовых организаций.
Такая активность была замечена с декабря по апрель, что является временем наибольшего интереса к налоговым вопросам, особенно в Великобритании и США. Фишинговые атаки, связанные с налогами, обычно выдавали себя за государственные учреждения или финансовые организации, в которые пользователи обращаются для уплаты налогов или предоставления документации.
Компания Proofpoint обнаружила несколько кампаний, выдающих себя за британское налоговое агентство HM Revenue & Customs (HMRC). Злоумышленники использовали в таких кампаниях язык и брендинг, связанный с HMRC, чтобы убедить пользователей в подлинности полученных сообщений. В одной из кампаний использовалась ложная просьба об обновлении учетной записи, представляемая как HMRC. Фишинговые письма содержали URL-адреса, которые вели на контролируемые злоумышленниками сайты для сбора информации о пользователях. Такие письма и сайты выдавали себя за представителей HMRC и использовались для кражи личных данных, которые могут быть использованы в мошеннических целях.
Атака на Intuit была еще одной из замеченных фишинговых кампаний. Злоумышленники выдавали себя за компанию Intuit и отправляли сообщения, представляемые как от Intuit QuickBooks, содержащие ложные уведомления о отклонении налоговой декларации. Письма включали URL-адреса, ведущие на фальшивые страницы аутентификации Intuit, предназначенные для сбора пользовательских данных. Кампания была ориентирована на организации, вовлеченные в процесс заполнения налоговых деклараций и платежей. Proofpoint также заметила активность фишинга в Швейцарии, где злоумышленники использовали сообщения, выдающие себя за Федеральное налоговое управление, чтобы собрать платежи от организаций на фальшивые счета Revolut.
В Австралии выявлена активность фишинга, связанная с порталом государственных услуг myGov. Злоумышленники отправляли письма, выдающие себя за myGov, содержащие темы, связанные с налоговыми обновлениями, и включали URL-адреса, ведущие на фальшивые страницы myGov, используемые для сбора информации пользователей. Proofpoint регулярно обнаруживает подобные фишинговые активности, связанные с налоговыми агентствами и организациями, и обычно такая активность возрастает в первом квартале каждого года.
Indicators of Compromise
URLs
- https://185.208.159.170:8654
- https://7fasl.ir/gov/
- https://a-line.top/admin/gov/
- https://bitbucket.org/!api/2.0/snippets/nippleschusu/o7rE59/a424483e2d592dcf896a00c8c104be8d1de41925/files/cpa1-26newramayan.txt
- https://clearlivate.com/xxx/rest.html
- https://cpa01-14-25.blogspot.com///////nunuchabutra.pdf
- https://cpa01-14-25.blogspot.com/atom.xml
- https://drakesoftware.blob.core.windows.net/drakesoftware/Invoice%2352223.html?sp=r&st=2025-01-16T16:09:33Z&se=2025-02-08T00:09:33Z&spr=https&sv=2022-11-02&sr=b&sig=LCXYvo386dH3YpoXy2j6l%2BkIKQyCRFTt1nW3VLhIwko%3D
- https://fotolap.com/.wp-admin/cgi-/intuit/inuit4//
- https://fotolap.com/.wp-admin/cgi-/intuit/inuit4//panel.php
- https://fotolap.com/.wp-admin/cgi-/intuit/inuit4//res.php
- https://pub-cbdc9a06673740a6aae9a5c61db6da30.r2.dev/indexqu.html
- https://revolut.me/swisstaxadm
- https://t.co/DL9vqURq7G
- https://www.houzhenkun.com/gov/
- https://yungbucksbbq.com/wen/approve/