È in arrivo la stagione delle tasse, dove una notifica di rimborso o richieste di pagamento da parte dell’Ageniza delle Entrate o delle istituzioni potrebbero comparire nella casella postale degli utenti.Questo rappresenta un momento importante per gli hacker, che ne approfittano, distribuendo file malevoli mascherati da documenti ufficiali. Il fenomeno è talmente diffuso che l’Internal Revenue Service (IRS), il corrispettivo statunitense dell’Agenzia delle Entrate, pubblica ogni anno l’elenco “Dirty Dozen” (la black list della “maledetta dozzina”), in cui vengono descritte le truffe fiscali più diffuse.L’anno scorso Check Point ha scoperto come ChatGPT possa creare e-mail di phishing legate alle tasse. Quest’anno non è diverso.In Italia, ad esempio, è stata diffusa una truffa segnalata dalla Polizia Postale relativa alla diffusione da parte di criminali infomatici di falsi sms (smishing) dell’INPS in cui viene richiesto l’aggiornamento dei propri dati per impossessarsi dei dati sensibili degli utenti che cadono nella truffa cliccando il link indicato e allegando copia del documento d’identità, della tessera sanitaria e selfie con il proprio documento per ricevere, ad esempio, un rimborso.Nel Regno Unito, ancora, l’HM Revenue and Customs (HMRC) ha segnalato oltre 130.000 casi di truffa fiscale nell’anno che porta a settembre 2023, tra cui 58.000 false offerte di sconti fiscali. Il dipartimento governativo ha persino inviato un avviso in vista della scadenza di gennaio per i 12 milioni di persone che hanno presentato la dichiarazione dei redditi, avvertendo che i truffatori si spacciano sempre più spesso per l’HMRC, con truffe che variano dalla promessa di sconti, alla richiesta di aggiornamenti dei dati fiscali, fino alla minaccia di arresto per evasione fiscale.Check Point Research ha rilevato numerosi casi di phishing e malware legati alle tasse con l’obiettivo di indurre l’utente finale a fornire informazioni sensibili o denaro. L’attacco fiscale tramite QR CodeIn questo attacco, gli attori della minaccia si spacciano per l’Agenzia delle Entrate. In allegato a un’e-mail c’è un PDF dannoso, con un oggetto del tipo {NOME} dichiarazione annuale delle imposte3x{nome azienda}.pdfIl file PDF sembra impersonare una corrispondenza ufficiale dell’Agenzia delle Entrate, che informa la vittima che ci sono dei documenti in attesa.Nella parte inferiore del documento è presente un QR Code che indirizza a diversi siti web dannosi.Questi siti sono tutti siti di verifica, alcuni con lo schema 1w7g1[.]unisa0[.]com/6d19/{USEREMAIL} che ora portano a siti malevoli inattivi.Il QR Code subisce quello che chiamiamo instradamento condizionale. In questi attacchi, la richiesta iniziale è simile, ma la catena di reindirizzamento è molto diversa. Il collegamento osserva il luogo in cui l’utente interagisce con esso e si regola di conseguenza. Se l’utente utilizza un Mac, ad esempio, appare un link; se l’utente utilizza un telefono Android, ne appare un altro. L’obiettivo finale è lo stesso: installare il malware sull’endpoint dell’utente finale, sottraendo anche le credenziali. Adattando la destinazione in base al modo in cui l’utente finale vi accede, la percentuale di successo è molto più alta. La truffa fiscale “Rimborso in arrivo”In Australia si è assistito a una truffa di phishing presumibilmente inviata dall'”ATO Taxation Office”. In realtà, è partita da un indirizzo iCloud. In questa e-mail, l’oggetto è “Rimborso per te – registra i tuoi dati bancari oggi stesso”. L’e-mail guida l’utente al seguente link, hxxp://gnvatmyssll[.]online, dove viene chiesto all’utente di inserire le proprie credenziali.Campagne simili sono state rilevate anche in altri Paesi. Questo esempio proviene da un sito web di phishing che si spaccia per il governo del Regno Unito, utilizzando il dominio dannoso ukrefund[.]tax.Sono anche state osservate campagne simili che utilizzavano una serie di domini, tra cui:compliance-hmrc[.]co[.]ukhmrc-cryptoaudit[.]comhmrc-financial[.]teamhmrc-debito[.]ukhmrcguv[.]sitoRimborsi in venditaSul dark web, i ricercatori di Check Point hanno scoperto un mercato fiorente di documenti fiscali sensibili. Sono stati scoperti hacker vendere moduli W2 e 1040 reali, provenienti da persone reali ignare di quanto sta avvenendo.Questi documenti vengono venduti fino a 75 dollari l’uno. In alcuni casi vengono fatti sconti importanti nel caso in cui se ne acquistino grandi quantità: il prezzo in questo caso arriva anche a 10 dollari l’uno. Un hacker ha persino offerto un omaggio di 50 moduli 1040 e W2.Un’altra tattica utilizzata dagli hacker è quella di offrire conti bancari per depositare i rimborsi. L’attore della minaccia offre un numero di conto bancario su cui depositare il rimborso; a sua volta, l’hacker invia il denaro ad altri hacker, prendendone una piccola percentuale.L’ultima tattica è più preoccupante: gli hacker acquistano e regalano l’accesso a popolari servizi fiscali con i privilegi di un amministratore remoto. Tra questi vi è per esempio una società di servizi fiscali con 8.000 clienti, con informazioni complete sui loro rimborsi e i numeri di routing bancario. Il prezzo di questo “prodotto” è di 15.000 dollari.Per un importo relativamente basso, gli hacker sono in grado di presentare rimborsi per conto di persone comuni e di trarne vantaggio.L’assistente fiscale di ChatGPTL’anno scorso, i ricercatori di Check Point hanno chiesto a ChatGPT di produrre il testo di un’e-mail che conteneva un linguaggio tipico da truffa fiscale. Il risultato è stato un’e-mail convincente sul credito per il mantenimento dei dipendenti. Un’altra richiesta ha creato un’e-mail proveniente dall’IRS (Internal Revenue Service) relativa a un rimborso.Come proteggersi dalle truffe durante la stagione fiscaleÈ molto importante ricordare che la maggior parte delle agenzie fiscali comunica direttamente attraverso la posta ordinaria e non via email o telefono.Tuttavia, con la proliferazione di campagne di phishing e malware generate dall’intelligenza artificiale, può diventare quasi impossibile identificare quelle legittime da quelle illegittime.Ciononostante, esistono ancora dei trucchi per riuscire a identificare le e-mail di phishing. Bisogna fare attenzione a:
- Allegati insoliti. Meglio diffidare delle e-mail con allegati sospetti, come file ZIP o documenti che richiedono l’attivazione di macro.
- Grammatica o tono non corretti. Sebbene l’intelligenza artificiale abbia migliorato la qualità delle e-mail di phishing, le incongruenze nel linguaggio o nel tono possono ancora essere segnali di allarme.
- Richieste sospette. Tutte le e-mail che richiedono informazioni sensibili o che fanno richieste insolite devono essere trattate con scetticismo.
Rimanere al sicuro
- Non rispondere, non cliccare sui link e non aprire gli allegati. L’interazione con un’e-mail sospetta non fa che aumentarne il rischio.
- Segnalare e cancellare. Segnalare le e-mail sospette prima di cancellarle può aiutare a proteggere gli altri dal rischio di cadere vittime di truffe simili.
- Investire in soluzioni anti-phishing. Strumenti come Check Point Harmony Email & Collaboration Suite Security offrono una protezione completa contro i tentativi di phishing, salvaguardando le vostre comunicazioni digitali.
La consapevolezza di queste campagne fiscali svolge un ruolo importante nella protezione delle informazioni e dei dati. Inoltre, le soluzioni anti-phishing possono bloccare i tentativi di campagne di phishing dalle caselle di posta elettronica. Check Point Harmony Email & Collaboration Suite Security offre una protezione completa per Microsoft 365, Google Workspace e tutte le applicazioni di collaborazione e condivisione di file.”Stiamo già iniziando a vedere la formazione di uno tsunami di truffe fiscali. Gli hacker stanno sfruttando l’intelligenza artificiale, schemi di phishing avanzati e persino i QR code per sottrarre agli utenti i rimborsi fiscali che gli spettano. Stiamo anche rilevando documenti fiscali e finanziari in vendita sul dark web, mentre gli hacker cercano di presentare le tasse per conto di persone comuni, al fine di sottrarre loro i rimborsi. Noi di Check Point Research invitiamo le persone a rimanere vigili, a presentare la dichiarazione fiscale in anticipo e a ricordare che la maggior parte delle agenzie fiscali comunicherà direttamente attraverso la posta ordinaria, non tramite e-mail, telefono o sms“, afferma Sergey Shykevich, Threat Intelligence Group Manager, Check Point Research.
