Trace Id is missing

Verotuskauden kyberturvallisuus: Mitä kyberrikolliset haluavat ja keihin he kohdistavat hyökkäyksiään eniten. Oletko se sinä?

Jaa
Graafinen kuva kannettavasta tietokoneesta, jonka näytöllä näkyy veroasiakirjoja, paperiasiakirjat lentävät kansioon, jossa on merkintä ”vero”

Nykyisessä uhkamaisemassa tietojenkalasteluhyökkäykset, kuten myös kuolema ja verot, ovat väistämättömiä. Taloudellisesti motivoituneille uhkaaville toimijoille verotuskauden aikaiset määräajat sekä lomakkeiden ja asiakirjojen nopea vaihtaminen tarjoavat houkuttelevan tilaisuuden toteuttaa tietojenkalastelukampanjoita, jotka kohdistuvat miljoonien stressaantuneiden ja hajamielisten yksityishenkilöiden ja yritysten riskialttiisiin tietoihin.

Vaikka kaikki voivat joutua verokauden tietojen kalastelun kohteeksi, tietyt ihmisryhmät ovat haavoittuvampia kuin toiset. Ensisijaisia kohderyhmiä ovat henkilöt, jotka saattavat olla vähemmän perillä IRS:n menetelmistä -–vihreän kortin haltijat, pienyritysten omistajat, uudet alle 25-vuotiaat veronmaksajat ja vanhemmat yli 60-vuotiaat veronmaksajat.

Tässä erityisessä verotuskauden uhkatietämysraportissa tarkastellaan seuraavissa osioissa uhkaavien toimijoiden eniten käyttämiä taktiikoita, tekniikoita ja menettelyjä (TTP:t):

  • Microsoft Threat Intelligence paljastaa vuoden 2024 verotuskauden tietojenkalastelukampanjan, jossa kuvataan yksityiskohtia uudesta verotuskauden tietojenkalastelutekniikasta, jossa käytetään houkuttimena asiakirjoja, jotka on naamioitu työnantajien toimittamiksi verotukseen liittyviksi asiakirjoiksi.
  • Uhkaavat toimijat esiintyvät veromaksujen käsittelijöinä tietojenkalastelusähköpostiviesteissä, jossa kuvataan, miten Microsoft Threat Intelligence on havainnut uhkaavien toimijoiden käyttävän kolmannen osapuolen liittovaltion veromaksujen käsittelijän logoja.
  • Mitä tietoverkkorikolliset haluavat verotuksen aikaan, jossa yksilöidään erityyppiset riskialttiit tiedot, jotka ovat yleisesti kohteena verotuksen aikaan.
  • Miten tietoverkkorikolliset saavat tietosi, jossa kuvaamme verotuskausiaiheisia käyttäjän manipuloinnin tekniikoita, joita uhkaavat toimijat käyttävät eniten.
  • Verotuskauden kyberturvallisuuden parhaat käytännöt, jossa kerromme parhaista käytännöistä ja toimivista neuvoista, joiden avulla voi pysyä valppaana käyttäjän manipulointia hyödyntävien hyökkäysten varalta.

Microsoft Threat Intelligence on jo havainnut verotuskauden tietojenkalastelutoimintaa, mukaan lukien kampanja tammikuun 2024 lopulla, jossa käytettiin työnantajien toimittamiksi veroasiakirjoiksi naamioituja houkuttimia.

Seuraavissa kuvissa näkyvät (1) tietojenkalastelusähköpostiviestin houkutin, (2) haitallinen sivusto ja (3) sekä kaksi haitallista suoritettavaa tiedostoa (haittaohjelma) tästä kampanjasta:

Microsoft Threat Intelligencen tammikuussa 2024 havaitsema verokauden tietojenkalastelusähköpostiviesti.
Kuva 1: Tietojenkalastelusähköpostiviesti sisältää HTML-liitteen, joka ohjaa käyttäjän väärennetylle saapumissivulle
Näyttökuva haitallisesta sivustosta
Kuva 2: Käyttäjät ohjataan verkkosivulle, jonka uhkaavat toimijat ovat tehneet tarkoituksella epäselväksi, mikä on käyttäjän manipuloinnin tekniikka, jonka tarkoituksena on lisätä klikkauksen todennäköisyyttä. Kun kohteet napsauttavat ”Lataa asiakirjat” -kehotetta, haittaohjelma asentuu heidän tietokoneelleen.
Näyttökuva Windowsin resurssienhallinnasta, jossa näkyy kaksi tiedostoa "ohjelmat"-kansiossa: "deepvau", sovellus
Kuva 3: Kohteen koneelle on laitettu haitallinen suoritettava tiedosto, jolla on tietoja varastavia ominaisuuksia. Ympäristöön päästyään se yrittää kerätä tietoja, kuten kirjautumistietoja.

Uhkaavat toimijat esiintyvät virallisina tahoina

Muissa kampanjoissa Microsoft havaitsi, että uhkaavat toimijat käyttivät tietojenkalastelusähköpostiviesteissään kuvia, jotka oli otettu laillisilta kolmannen osapuolen liittovaltion veromaksujen järjestäjän sivustoilta, jotta ne vaikuttaisivat vakuuttavilta.

Vaikka nämä sähköpostiviestit näyttävät laillisilta, veronmaksajien on syytä olla tietoisia siitä, että viralliset tahot, kuten IRS, eivät ota yhteyttä veronpalautuksiin tai veronmaksuun liittyvissä asioissa sähköpostitse, tekstiviestillä tai puhelinsoitolla.

Joissakin harvoissa tapauksissa kyberrikollinen voi käyttää varastettuja tietoja veronpalautuspetokseen. Tässä petoksessa rikolliset tekevät veronpalautusilmoituksen kohteen nimissä ja vaativat veronpalautusta.1 Tämän lähestymistavan onnistumisen todennäköisyys on kuitenkin pieni, kun otetaan huomioon IRS:n suojatoimet. Todennäköisempi lopputulos on, että kyberrikollinen, joka pääsee käsiksi tietoihin verotuksen aikaan, tekee todennäköisesti saman, mitä kyberrikollinen tekee mihin tahansa aikaan vuodesta – etsii keinoja hyödyntää tietoja rahaksi. Tämä voi tarkoittaa esimerkiksi luottokortin avaamista nimelläsi, tietojen tai pääsyn myymistä toiselle kyberrikolliselle, suoraa pääsyä pankkitilillesi varojen siirron käynnistämiseksi tai verkko-ostosten tekemistä.

Seuraavassa esitetään kuvat (1) tietojenkalastelusähköpostiviestin houkutuksesta ja (2) aidosta kolmannen osapuolen järjestäjän sivustosta:

Tietojenkalastelusähköpostiviesti, jossa on Authorized IRS -otsikkokuva, joka on otettu aidolta kolmannen osapuolen maksujen käsittelijän sivustolta.
Kuva 4: Tietojenkalastelusähköpostiviestissä käytetään otsikkokuvaa (Authorized IRS), joka on otettu ACI Payments, Inc:ltä, joka on IRS:n verkkosivustolla mainittu maksujen käsittelijä.
Näyttökuva verkkosivusta, jossa käytetään ACI Payments, Inc:n todellisesta verkkosivustosta otettua Authorized IRS -otsikkokuvaa
Kuva 5: Esimerkki siitä, miten aito ”Authorized IRS” -kuva on korostettu ACI Payments, Inc:n todellisella verkkosivustolla.

Mitä kyberrikolliset haluavat verotuksen aikaan

Verotuskauden aikana valtavat määrät arkaluonteisia talous- ja henkilötietoja liikkuvat edestakaisin yksityishenkilöiden ja organisaatioiden, kuten IRS:n ja erilaisten veropalvelujen tarjoajien, kuten veroilmoitusohjelmistojen tai verovalmistelubrändien tai paikallisten kirjanpito- ja verotoimistojen ja yksityisyrittäjien välillä.

Joitakin kaikkein riskialttiimpia tietoja2 ovat:

  • Identiteetti: Henkilötunnukset, ajokortti tai henkilökortti, passitiedot, työnantajan tunnukset (EIN), CAF-numerot
  • Pankkitilit: Pankkitilien numerot, luotto- ja pankkikorttien numerot (vaaditun turvakoodin kanssa tai ilman sitä)
  • Salasanat ja käyttöoikeus: Sähköpostin salasanat, henkilökohtaiset tunnistenumerot (PIN) ja pääsykoodit

Microsoft Threat Intelligencen tietoverkkorikosasiantuntija Wes Drone kertoo, että tavallisten ihmisten sähköpostilaatikoista löytyvistä henkilökohtaisista tietomääristä aiheutuu yleinen riski: “Ihmiset voivat olla digitaalisia hamstraajia sähköpostilaatikoissaan, ja heidän säilyttämänsä tiedot ovat erittäin arvokkaita rikollisille.”

Tämä riski ei rajoitu vain verotuksen ajankohtaan. Drone huomauttaa, että keskivertoihmisen sähköpostitilillä on kirjeenvaihtoa ja asiakirjoja lähes kaikilta henkilökohtaisen elämän osa-alueilta, ja verotuskausi on vain yksi monista tilaisuuksista yrittää varastaa niitä.

“Kaikki tulee sähköpostiosoitteeseesi”, Drone selittää, “ja jos uhkaava toimija pääsee käsiksi sähköpostiosoitteeseesi, hän voi nollata kaikkien muiden tiliesi salasanat.”

Yksityishenkilöihin kohdistuvasta riskistä voi tulla riski myös yrityksille. Dronen mukaan jos uhkaava toimija pääsee käsiksi työntekijän sähköpostilaatikkoon, hän voi asentaa haittaohjelman työnantajan ympäristöön.

“Nyt puhumme kaikenlaisista mahdollisista ongelmista,” Drone sanoo. “Suuri asia on yrityssähköpostin vaarantuminen, jossa he vain alkavat ottaa yhteyttä tavarantoimittajiinne tai ihmisiin, joiden kanssa teette yhteistyötä. He vaihtavat laskujen numeroita, lähettävät väärennettyjä laskuja ja ohjaavat rahaa uudelleen, mikä voi tulla hyvin kalliiksi.”

Miten kyberrikolliset saavat tietosi

Vaikka kyberrikollisten käyttämät tietojenkalastelutekniikat eivät ole uusia, ne ovat edelleen erittäin tehokkaita. Vaihtoehdoista riippumatta yksityishenkilöihin kohdistuvat tietojenkalasteluhyökkäykset verotuskauden aikana johtavat ensisijaisesti jompaankumpaan seuraavista kahdesta lopputuloksesta: tietojen varastajien (eräänlainen troijalainen haittaohjelma) lataaminen tai se, että käyttäjät syöttävät tunnistetietonsa väärennetyille saapumissivuille. Harvinaisempaa on, että huijarit hakevat pääsyä ladatakseen kiristysohjelmia.

Verotuskauden tietojenkalastelukampanjat yrittävät huijata käyttäjiä uskomaan, että ne edustavat laillisia lähteitä, kuten työnantajia ja henkilöstöhallinnon henkilöstöä, verovirastoa, verotukseen liittyviä osavaltiotason organisaatioita tai verotukseen liittyvien palvelujen tarjoajia, kuten kirjanpitäjiä ja verovalmistelupalveluja (usein käyttäen suuria luotettavia tuotemerkkejä ja logoja).

Yleisiä taktiikoita, joita kyberrikolliset käyttävät huijatakseen kohteitaan, ovat aitojen palveluiden tai verkkosivustojen laskeutumissivujen väärentäminen käyttäen sellaisia URL-osoitteita, jotka näyttävät visuaalisesti oikeilta, vaikka ne eivät olekaan (homoglyfiset verkkotunnukset), ja tietojenkalastelulinkkien mukauttaminen kullekin käyttäjälle.

Drone kertoo: “Syy siihen, miksi nämä verotuskauden tietojenkalastelukampanjat toimivat edelleen (ja ne ovat toimineet jo vuosia) on se, että kukaan ei halua saada mitään IRS:ltä.” Drone huomauttaa, että verotukseen liittyvien viestien saaminen voi aiheuttaa ahdistusta heti, kun ne saapuvat postilaatikkoon.

“Ihmiset eivät todellakaan halua jäädä ilman palautusta tai että heiltä varastetaan palautus”, hän jatkaa. “Rikolliset hyödyntävät näitä pelkoja ja tunteita käyttäjän manipuloinnissa herättääkseen ahdistusta ja luodakseen halukkuuden napsauttaa pikaisesti ja tehdä se, mitä heidän on tehtävä.”

Vaikka uhkaavat toimijat käyttävät erilaisia houkuttimia, joissa on eri organisaatioita, tietojenkalastelusähköposteilla on tiettyjä yhteisiä piirteitä.

  • Kohde A – Brändäys: Ominaisuus, joka on suunniteltu alentamaan puolustustasi. Rikolliset käyttävät brändäystä, jonka tunnistat ja odotat näkeväsi tähän aikaan vuodesta, esimerkiksi IRS:n tai verovalmisteluyritysten ja -palveluiden brändäys.
  • Kohde B – Tunteisiin vetoava sisältö: Tehokkaimmat tietojen kalastelut ovat sellaisia, joiden viestit herättävät tunteita. Verotuskauden aikana rikolliset käyttävät hyväkseen sekä toivoa (sinulle on suuri odottamaton veronpalautus!) että pelkoa (veronpalautuksesi on jäädytetty tai sinulle on määrätty valtava sakko).
  • Kohde C – Kiire: Kyberrikolliselle kiire on usein se, mikä saa ihmiset toimimaan tavalla, jota he eivät muuten tekisi. Kun kyseessä on kiire, tapahtuu päinvastoin kuin mitä haluat, että tapahtuu tai että ei tapahdu, ellet toimi ennen määräaikaa.
  • Kohde D – Napsautus: Olipa kyseessä linkki, painike tai QR-koodi, rikolliset haluavat viime kädessä saada sinut napsauttamaan itsesi pois postilaatikostasi ja siirtymään heidän haitalliselle sivustolleen.
Kannettavassa tietokoneessa näkyy esimerkki tietojenkalastelusähköpostiviestistä, jossa on kuvakkeita, jotka ilmaisevat kuvan osa-alueita, joita selitetään artikkelissa.
Kuva 6: Kirjaimilla merkityt huomautukset korostavat joitakin tietojenkalastelusähköpostien tunnusomaisia piirteitä.

Paras puolustus kyberrikollisia vastaan sekä verotuskaudella että koko vuoden ajan on koulutus ja hyvä kyberhygienia. Koulutus tarkoittaa tietoisuutta tietojen kalastelusta. Sitä, että tiedät, miltä tietojenkalasteluyritykset näyttävät ja mitä tehdä, kun kohtaat niitä. Hyvä kyberhygienia tarkoittaa perusturvatoimien, kuten monimenetelmäisen todentamisen käyttöönottoa pankki- ja sähköpostitileillä.

Verotuspäivän lähestyessä Yhdysvalloissa 15. huhtikuuta on tässä muutamia lisäsuosituksia, jotka auttavat käyttäjiä ja puolustajia pysymään valppaina verotukseen liittyviä uhkia vastaan.

7 tapaa suojata itsesi tietojen kalastelulta

Tietojenkalasteluhyökkäykseen lankeaminen voi johtaa luottamuksellisten tietojen vuotamiseen, saastuneisiin verkkoihin, taloudellisiin vaatimuksiin, vioittuneisiin tietoihin tai pahempaan. Näin estät sen tapahtumisen.3
  • Tarkista lähettäjän sähköpostiosoite. Onko kaikki oikein? Väärässä paikassa oleva merkki tai epätavallinen kirjoitusasu voi olla merkki väärennöksestä.
  • Varo sähköpostiviestejä, joissa on yleinen tervehdys (esim. ”Hyvä asiakas”) ja joissa sinua pyydetään toimimaan kiireellisesti.
  • Etsi lähettäjän yhteystietoja, jotka voit vahvistaa. Jos epäilyttää, älä vastaa. Aloita sen sijaan uusi sähköpostiviesti vastausta varten.
  • Älä koskaan lähetä arkaluonteisia tietoja sähköpostitse. Jos sinun on välitettävä yksityisiä tietoja, käytä puhelinta.
  • Harkitse kahdesti odottamattomien linkkien napsauttamista, varsinkin jos ne ohjaavat sinut kirjautumaan tilillesi. Varmuuden vuoksi kirjaudu sen sijaan virallisella sivustolla.
  • Vältä sähköpostin liitetiedostojen avaamista tuntemattomilta lähettäjiltä tai ystäviltä, jotka eivät yleensä lähetä sinulle liitetiedostoja.
  • Asenna tietojenkalastelusuodatin sähköpostisovelluksiisi ja ota roskapostisuodatin käyttöön sähköpostitileilläsi.

Ota monimenetelmäinen todentaminen käyttöön

Haluatko vähentää tileihisi kohdistuvien onnistuneiden hyökkäysten todennäköisyyttä? Ota monimenetelmäinen todentaminen käyttöön. Monimenetelmäinen todentaminen edellyttää nimensä mukaisesti vähintään kahta todentamistapaa.

Ottamalla monimenetelmäisen todentamisen käyttöön hyökkääjä ei pääse käyttämään tilejä tai henkilötietoja, vaikka hän saisi haltuunsa käyttäjänimen ja salasanan. Useamman kuin yhden todennusmenetelmän murtaminen on merkittävä haaste hyökkääjille, sillä salasanan tietäminen (tai murtaminen) ei yksinään riitä järjestelmään pääsemiseen. Ottamalla monimenetelmäisen todentamisen käyttöön voit estää 99,9 prosenttia hyökkäyksistä tilejäsi kohtaan.4

Aiheeseen liittyviä artikkeleita

Perustietoverkkohygienia estää 99 prosenttia hyökkäyksistä

Perustietoverkkohygienia on edelleen paras tapa puolustaa organisaation käyttäjätietoja, laitteita, tietoja, sovelluksia, infrastruktuuria ja verkkoja 98 prosentilta kaikista verkkouhista. Tutustu käytännön vinkkeihin kattavassa oppaassa.
Lue lisää

Yrityssähköpostin vaarantumisen erittely

Digitaalisten rikosten asiantuntija Matt Lundy antaa esimerkkejä yrityssähköpostin vaarantumisesta ja erittelee yhden yleisimmistä ja kalliimmista kyberhyökkäyksen muodoista.
Lue lisää

Luottamusyhteiskunnan hyödyntäminen: käyttäjän manipulointipetos

Tutustu kehittyvään digitaaliseen ympäristöön, jossa luottamus on sekä valuutta että haavoittuvuus. Tutustu kyberhyökkääjien eniten käyttämiin käyttäjien manipulointitaktiikoihin sekä strategioihin, oiden avulla voit tunnistaa ja torjua käyttäjien manipulointiuhkia, joilla pyritään huijaamaan ihmisiä.
Lue lisää

Seuraa Microsoft Securitya