Check Point Research avverte di fare attenzione ai QR code, ai rimborsi fasulli e ai truffatori dell’IA, perché sta arrivando un’ondata di truffe fiscali. Infatti è in arrivo la stagione delle tasse. Una notifica di rimborso o richieste di pagamento da parte dell’Ageniza delle Entrate o delle istituzioni potrebbero comparire nella casella postale degli utenti. Un momento importante per gli hacker, che ne approfittano, distribuendo file malevoli mascherati da documenti ufficiali. Il fenomeno è talmente diffuso che l’Internal Revenue Service (IRS), pubblica ogni anno l’elenco “Dirty Dozen”, in cui vengono descritte le truffe fiscali più diffuse.
Dirty Dozen della truffa
L’anno scorso Check Point ha scoperto come ChatGPT crei e-mail di phishing legate alle tasse. Quest’anno non è diverso. In Italia, ad esempio, è diffusa una truffa segnalata dalla Polizia Postale relativa alla diffusione da parte di criminali infomatici di falsi sms (smishing) dell’INPS. Dove è richiesto l’aggiornamento dei propri dati per impossessarsi dei dati sensibili degli utenti che cadono nella truffa cliccando il link indicato e allegando documenti e selfie con il proprio documento per ricevere, ad esempio, un rimborso.
In questo attacco, gli attori della minaccia si spacciano per l’Agenzia delle Entrate. In allegato a un’e-mail c’è un PDF dannoso, con un oggetto del tipo {NOME} dichiarazione annuale delle imposte3x{nome azienda}.pdf. Il file PDF sembra impersonare una corrispondenza ufficiale dell’Agenzia delle Entrate, che informa la vittima che ci sono dei documenti in attesa.
Attenzione ai PDF
Nella parte inferiore del documento è presente un QR Code che indirizza a diversi siti web dannosi. Questi siti sono tutti siti di verifica, alcuni con lo schema 1w7g1[.]unisa0[.]com/6d19/{USEREMAIL} che ora portano a siti malevoli inattivi. Il QR Code subisce quello che chiamiamo instradamento condizionale. In questi attacchi, la richiesta iniziale è simile, ma la catena di reindirizzamento è molto diversa.
Il collegamento osserva il luogo in cui l’utente interagisce con esso e si regola di conseguenza. Se l’utente utilizza un Mac, ad esempio, appare un link; se l’utente utilizza un telefono Android, ne appare un altro. L’obiettivo finale è lo stesso: installare il malware sull’endpoint dell’utente finale, sottraendo anche le credenziali. Adattando la destinazione in base al modo in cui l’utente finale vi accede, la percentuale di successo è molto più alta.
La truffa fiscale “Rimborso in arrivo”
In Australia si è assistito a una truffa di phishing presumibilmente inviata dall'”ATO Taxation Office”. In realtà, è partita da un indirizzo iCloud. In questa e-mail, l’oggetto è “Rimborso per te – registra i tuoi dati bancari oggi stesso”. L’e-mail guida l’utente al seguente link, hxxp://gnvatmyssll[.]online, dove viene chiesto all’utente di inserire le proprie credenziali. Campagne simili sono state rilevate anche in altri Paesi. Questo esempio proviene da un sito web di phishing che si spaccia per il governo del Regno Unito, utilizzando il dominio dannoso ukrefund[.]tax.
I domini che devono allarmare
Sono anche state osservate campagne simili che utilizzavano una serie di domini, tra cui:
compliance-hmrc[.]co[.]uk
hmrc-cryptoaudit[.]com
hmrc-financial[.]team
hmrc-debito[.]uk
hmrcguv[.]sito
Rimborsi in vendita
Sul dark web, i ricercatori di Check Point hanno scoperto un mercato fiorente di documenti fiscali sensibili. Sono stati scoperti hacker vendere moduli W2 e 1040 reali, provenienti da persone reali ignare di quanto sta avvenendo. Questi documenti vengono venduti fino a 75 dollari l’uno. In alcuni casi vengono fatti sconti importanti nel caso in cui se ne acquistino grandi quantità: il prezzo in questo caso arriva anche a 10 dollari l’uno. Un hacker ha persino offerto un omaggio di 50 moduli 1040 e W2.
QR code, rimborsi, AI: le tattiche utilizzate
Un’altra tattica utilizzata dagli hacker è quella di offrire conti bancari per depositare i rimborsi. L’attore della minaccia offre un numero di conto bancario su cui depositare il rimborso. A sua volta, l’hacker invia il denaro ad altri hacker, prendendone una piccola percentuale. L’ultima tattica è più preoccupante. Gli hacker acquistano e regalano l’accesso a popolari servizi fiscali con i privilegi di un amministratore remoto.
L’assistente fiscale di ChatGPT
L’anno scorso, i ricercatori di Check Point hanno chiesto a ChatGPT di produrre il testo di un’e-mail che conteneva un linguaggio tipico da truffa fiscale. Il risultato è stato un’e-mail convincente sul credito per il mantenimento dei dipendenti. Un’altra richiesta ha creato un’e-mail proveniente dall’IRS (Internal Revenue Service) relativa a un rimborso:
Come proteggersi dalle truffe durante la stagione fiscale
È molto importante ricordare che la maggior parte delle agenzie fiscali comunica direttamente attraverso la posta ordinaria e non via email o telefono. Tuttavia, con la proliferazione di campagne di phishing e malware generate dall’intelligenza artificiale, può diventare quasi impossibile identificare quelle legittime da quelle illegittime.
I trucchi per non cadere nel tranello
Ciononostante, esistono ancora dei trucchi per riuscire a identificare le e-mail di phishing. Bisogna fare attenzione a:
Allegati insoliti. Meglio diffidare delle e-mail con allegati sospetti, come file ZIP o documenti che richiedono l’attivazione di macro.
Grammatica o tono non corretti. Sebbene l’intelligenza artificiale abbia migliorato la qualità delle e-mail di phishing, le incongruenze nel linguaggio o nel tono possono ancora essere segnali di allarme.
Richieste sospette. Tutte le e-mail che richiedono informazioni sensibili o che fanno richieste insolite devono essere trattate con scetticismo.
Non rispondere, non cliccare sui link e non aprire gli allegati. L’interazione con un’e-mail sospetta non fa che aumentarne il rischio.
Segnalare e cancellare. Segnalare le e-mail sospette prima di cancellarle può aiutare a proteggere gli altri dal rischio di cadere vittime di truffe simili.
Investire in soluzioni anti-phishing. Strumenti come Check Point Harmony Email & Collaboration Suite Security offrono una protezione completa contro i tentativi di phishing, salvaguardando le vostre comunicazioni digitali.
Le soluzioni anti-phishing
La consapevolezza di queste campagne fiscali svolge un ruolo importante nella protezione delle informazioni e dei dati. Inoltre, le soluzioni anti-phishing possono bloccare i tentativi di campagne di phishing dalle caselle di posta elettronica. Check Point Harmony Email & Collaboration Suite Security offre una protezione completa per Microsoft 365, Google Workspace e tutte le applicazioni di collaborazione e condivisione di file.
I rimborsi fiscali a rischio
Sergey Shykevich, Threat Intelligence Group Manager, Check Point Research Stiamo già iniziando a vedere la formazione di uno tsunami di truffe fiscali. Gli hacker stanno sfruttando l’intelligenza artificiale, schemi di phishing avanzati e persino i QR code per sottrarre agli utenti i rimborsi fiscali che gli spettano. Stiamo anche rilevando documenti fiscali e finanziari in vendita sul dark web.
Mentre gli hacker cercano di presentare le tasse per conto di persone comuni, al fine di sottrarre loro i rimborsi. Noi di Check Point Research invitiamo le persone a rimanere vigili, a presentare la dichiarazione fiscale in anticipo. Inoltre a ricordare che la maggior parte delle agenzie fiscali comunicherà direttamente attraverso la posta ordinaria, non tramite e-mail, telefono o sms.
