Scopri come i cybercriminali sfruttano la stagione delle tasse per frodi e attacchi phishing, e come difendersi.
La stagione fiscale rappresenta un periodo di particolare attività per i criminali informatici, che sfruttano questa occasione per condurre campagne fraudolente sofisticate. Questi malintenzionati si appoggiano a tecniche di ingegneria sociale, implementando strategie come la pesca via email (phishing), il phishing tramite messaggi di testo (smishing), la pubblicità malevola e la frode vocale (vishing). Le ricerche effettuate da Microsoft Threat Intelligence mettono in luce il modo in cui attori minacciosi imitano i processori dei pagamenti fiscali nelle email phishing, cercando di carpire informazioni riservate agli utenti, promuovendo servizi fasulli o inducendo all’installazione di codice malevolo.
I criminali informatici mirano soprattutto a categorie di cittadini meno informate riguardo le procedure e i metodi fiscali del governo, come i detentori di green card, i proprietari di piccole imprese, i nuovi contribuenti sotto i 25 anni e i contribuenti più anziani, sopra i 60 anni.
Un esempio di tale attività criminale è stato osservato a fine gennaio 2024, quando veniva condotta una campagna che utilizzava esche travestite da documenti fiscali forniti dai datori di lavoro. In particolare, gli allegati HTML in queste email conducevano a pagine di destinazione fittizie progettate per somigliare a servizi legittimi, e al click del pulsante “Scarica Documenti” veniva installato un malware sul computer della vittima.
Il file eseguibile malevolo depositato sul computer della vittima aveva capacità di furto di informazioni, cercando di raccogliere dati come credenziali di accesso. La campagna phishing sfruttava la fiducia dei destinatari nel mittente percepito per indurli a interagire con gli allegati nocivi e i link fraudolenti al fine di distribuire il malware.
La prima linea di difesa contro queste minacce è data dall’educazione e da una buona igiene informatica. L’educazione prevede la conoscenza delle tentate frodi phishing e delle appropriate reazioni. L’igiene informatica, invece, implica l’adozione di misure di sicurezza fondamentali come l’autenticazione a più fattori per gli account finanziari e di posta elettronica, riducendo significativamente il rischio di attacchi.
Per proteggersi dal phishing si dovrebbero seguire alcuni accorgimenti come ispezionare l’indirizzo email del mittente, stare in guardia da email con saluti generici che sollecitano a un’azione urgente, e cercare informazioni di contatto verificabili del mittente. È inoltre raccomandabile non inviare informazioni sensibili tramite email e pensare due volte prima di cliccare su link inaspettati; meglio accedere direttamente dal sito ufficiale.
Per una maggiore comprensione delle recenti campagne di phishing e per imparare a proteggersi da questi attacchi durante la stagione fiscale e altre festività, si consiglia di consultare il rapporto sulla stagione fiscale di Microsoft Threat Intelligence.
- Microsoft Threat Intelligence e la relativa analisi delle minacce fiscali.
- Strategie dei criminali informatici per truffare i contribuenti.
- Metodi di protezione efficaci contro attacchi di phishing.