Microsoft met en garde contre de nouvelles attaques de phishing basées sur l'IRS

Microsoft a détecté une recrudescence de campagnes de phishing sophistiquées, coordonnées pour exploiter l’anxiété accrue durant la saison fiscale, alors que les cybercriminels intensifient leurs efforts pour tromper individus et entreprises.

Selon la société, les criminels envoient des courriels frauduleux se faisant passer pour des remboursements d’impôts, des documents de paie, des rappels de dépôt ou des demandes de professionnels de la fiscalité. Ces messages visent à inciter les destinataires à ouvrir des pièces jointes malveillantes, cliquer sur des liens suspects ou scanner des codes QR nuisibles.

L’ampleur de ces attaques est considérable. Lors d’une campagne à grande échelle détectée le mois dernier, plus de 29 000 utilisateurs issus de secteurs tels que les services financiers, la technologie et la vente au détail ont été ciblés.

Les chercheurs de Microsoft indiquent que ces campagnes ne visent pas seulement les particuliers, mais aussi les professionnels qui manipulent régulièrement des données financières sensibles. Les comptables et rôles similaires sont des cibles particulièrement attrayantes car ils ont l’habitude de recevoir des communications liées aux impôts et ont souvent accès à des informations précieuses.

Une menace de plus en plus crédible chaque année

En outre, les tactiques de phishing sont devenues plus sophistiquées, les attaquants utilisant des outils avancés pour créer des messages plus personnalisés et convaincants.

« Une grande partie de cela repose sur l’IA générative, qui rend ces emails beaucoup plus crédibles », explique Suzanne Sando, analyste principale en fraude et sécurité chez Javelin Strategy & Research. « Le consommateur moyen dira : “Je ne pense pas que ce soit réel, mais peut-être que si.” »

L’IRS insiste toujours sur le fait qu’il ne contacte pas les contribuables par email, SMS ou réseaux sociaux, et ne demande pas de paiement immédiat ni ne menace d’arrestation par téléphone. La communication officielle se fait généralement par courrier postal, toute déviation étant un indicateur fort d’une arnaque.

« Nous insistons sur le fait que l’IRS ne vous appellera jamais pour demander vos informations », précise Sando. « Ils ne vous enverront jamais un email pour demander des renseignements, mais les gens continuent à les fournir. »

Arnaques liées aux impôts

Pour illustrer comment ces attaques sont menées en pratique, Microsoft a mis en avant plusieurs tactiques courantes observées dans les campagnes récentes, notamment :

• Des sites web à thème fiscal conçus pour tromper les utilisateurs en cliquant sur des liens sous prétexte d’accéder à des formulaires mis à jour

• De faux messages de l’IRS promouvant un « Formulaire 1099 pour la fiscalité des cryptomonnaies », ciblant particulièrement le secteur de l’éducation

• Des emails se faisant passer pour des clients cherchant de l’aide pour déposer leurs déclarations, menant à des liens malveillants

• Des leurres ciblant les CPA, utilisant des kits de phishing pour voler l’email et le mot de passe d’une victime