Microsoft Cảnh báo về Các Cuộc Tấn công Lừa đảo Mạo danh IRS Mới

Microsoft đã phát hiện sự gia tăng các chiến dịch lừa đảo tinh vi nhằm khai thác sự lo lắng gia tăng trong mùa nộp thuế, khi các tội phạm mạng tăng cường nỗ lực để lừa đảo cả cá nhân lẫn doanh nghiệp.

Theo công ty, các tội phạm đang gửi email giả mạo giả danh hoàn thuế, tài liệu lương, nhắc nhở nộp hồ sơ và yêu cầu từ các chuyên gia thuế. Những tin nhắn này nhằm mục đích dụ người nhận mở các tệp đính kèm độc hại, nhấp vào các liên kết đáng ngờ hoặc quét mã QR có hại.

Phạm vi của các cuộc tấn công này rất lớn. Trong một chiến dịch quy mô lớn được phát hiện vào tháng trước, hơn 29.000 người dùng từ các ngành công nghiệp bao gồm dịch vụ tài chính, công nghệ và bán lẻ đã bị nhắm tới.

Các nhà nghiên cứu của Microsoft cho biết các chiến dịch này không chỉ nhằm vào cá nhân, mà còn nhắm vào các chuyên gia thường xuyên xử lý dữ liệu tài chính nhạy cảm. Các kế toán và các vai trò tương tự là những mục tiêu đặc biệt hấp dẫn vì họ quen thuộc với các thông báo liên quan đến thuế và thường có quyền truy cập vào thông tin quý giá.

Ngày càng thuyết phục hơn mỗi năm

Thêm vào đó, các chiến thuật lừa đảo ngày càng tinh vi hơn, với các kẻ tấn công sử dụng các công cụ tiên tiến để tạo ra các tin nhắn cá nhân hóa và thuyết phục hơn.

“Phần lớn điều này là nhờ trí tuệ nhân tạo sinh tạo, giúp các email này trở nên thuyết phục hơn nhiều,” Suzanne Sando, Chuyên viên phân tích cao cấp về gian lận và an ninh tại Javelin Strategy & Research, cho biết. “Người tiêu dùng trung bình sẽ nghĩ: ‘Tôi không nghĩ đây là thật, nhưng có thể là.’”

IRS tiếp tục nhấn mạnh rằng họ không liên hệ với người nộp thuế qua email, tin nhắn hoặc mạng xã hội, và họ không yêu cầu thanh toán ngay lập tức hoặc đe dọa bắt giữ qua điện thoại. Thông báo chính thức thường được gửi qua thư USPS, khiến bất kỳ sự khác biệt nào đều là dấu hiệu rõ ràng của một trò lừa đảo.

“Chúng tôi nhấn mạnh rằng IRS sẽ không bao giờ gọi điện và yêu cầu thông tin của bạn,” Sando nói. “Họ sẽ không bao giờ gửi email yêu cầu thông tin, nhưng mọi người vẫn sẽ cung cấp.”

Các trò lừa đảo liên quan đến thuế

Để minh họa cách các cuộc tấn công này được thực hiện trong thực tế, Microsoft đã làm nổi bật một số chiến thuật phổ biến trong các chiến dịch gần đây, bao gồm:

• Các trang web liên quan đến thuế được thiết kế để lừa người dùng nhấp vào liên kết dưới vỏ bọc truy cập các mẫu biểu mới nhất

• Tin nhắn giả mạo IRS quảng bá “Mẫu thuế Cryptocurrency 1099,” đặc biệt nhắm vào ngành giáo dục

• Email giả mạo khách hàng tìm kiếm sự giúp đỡ trong việc nộp hồ sơ, dẫn đến các liên kết độc hại

• Các mồi nhử nhắm vào các CPA, là các bộ công cụ lừa đảo để đánh cắp email và mật khẩu của nạn nhân