Киберпрестъпници използват данъчния сезон в САЩ, за да провеждат мащабни фишинг кампании, които имитират съобщения от IRS и други данъчни институции. Microsoft съобщава, че само една от тези кампании е достигнала до над 29 000 потребители и 10 000 организации, като в много случаи е доставян зловреден софтуер чрез легитимни инструменти за дистанционно управление.
Microsoft Threat Intelligence описва рязък ръст на данъчно‑тематични атаки, които използват познати документи като W‑2, 1099 и фалшиви известия от IRS, за да подмамят жертвите да отворят прикачени файлове, да сканират QR кодове или да последват линкове към фишинг страници. Част от кампаниите са насочени към широк кръг потребители, но други таргетират конкретно счетоводители и данъчни специалисти, които работят с чувствителни финансови данни.
Как изглеждат атаките през данъчния период
През последните месеци Microsoft е наблюдавала множество различни кампании, които използват персонализирани примамки. Част от тях разчитат на популярни phishing‑as‑a‑service платформи като Energy365 и SneakyLog, които позволяват кражба на идентификационни данни и заобикаляне на MFA. Други кампании използват фалшиви документи, QR кодове или многоетапни линкове, които водят до страници, имитиращи Microsoft 365 или други легитимни услуги.
В някои случаи атакуващите използват реални имена на счетоводители, логота на компании и документи, които изглеждат напълно автентични. Това значително затруднява автоматичните системи за откриване и увеличава вероятността потребителят да се подведе.
RMM инструментите като ново оръжие на атакуващите
Една от тревожните тенденции е злоупотребата с легитимни инструменти за дистанционно управление като ScreenConnect, SimpleHelp и Datto. Тези програми по принцип се използват от IT екипи за поддръжка, но в ръцете на нападателите се превръщат в ефективни RAT инструменти, които позволяват пълен контрол над заразената система.
В няколко кампании фалшиви IRS имейли подканват жертвите да изтеглят „IRS Transcript Viewer“, който всъщност е модифициран ScreenConnect. След инсталиране атакуващите могат да крадат данни, да инсталират допълнителен зловреден софтуер или да извършват ръчни атаки.
Най‑масовата кампания: 29 000 засегнати потребители
На 10 февруари 2026 г. Microsoft засича голяма IRS‑тематична кампания, изпратена в рамките на девет часа. Имейлите твърдят, че са открити нередности в данъчни декларации, подадени чрез EFIN номера на получателя. Съобщенията използват ротация на подателите и темите, за да избегнат филтри, а линковете преминават през Amazon SES и Cloudflare, преди да доведат до фалшив сайт, който разпространява ScreenConnect.
Тази кампания е насочена към счетоводители, данъчни подготвители и професионалисти, които работят с чувствителни документи – група, която е особено уязвима през данъчния сезон.
Какво препоръчва Microsoft
Компанията подчертава, че организациите трябва да активират автоматични механизми за прекъсване на атаки, да изискват MFA навсякъде и да използват защитни функции като Safe Links и Zero‑hour auto purge. Microsoft препоръчва и използването на браузъри с вградена защита като Edge, както и активиране на мрежова защита срещу злонамерени домейни.
Microsoft Defender и Microsoft Sentinel предоставят допълнителни инструменти за откриване на компрометирани домейни, файлови хешове и подозрителни инсталации на RMM софтуер. Компанията публикува и списък с индикатори за компрометиране, които организациите могат да използват за лов на заплахи.
Данъчният сезон като перфектна примамка
Microsoft предупреждава, че данъчният сезон традиционно е период на засилена активност за фишинг групи. Комбинацията от спешност, официален тон и очакване за важни документи прави потребителите по‑податливи на измами. Тази година атаките са по‑сложни, по‑персонализирани и по‑масови, като злоупотребата с RMM инструменти допълнително увеличава риска.
