Спам и фишинг

Возврат налога, или Как потерять оставшиеся деньги

Каждый год во всем мире огромное количество людей оказываются вовлечены в «увлекательный» процесс заполнения налоговых деклараций, заявлений на возврат налогов и т. п. Учитывая, что все чаще взаимодействие с налоговыми службами происходит с помощью онлайн-сервисов, нет ничего удивительного, что в процесс включились киберпреступники. Подделывая пользующиеся доверием сайты госструктур и заманивая на них пользователей, фишеры пытаются получить достаточно информации, чтобы украсть не только деньги со счета жертвы, но и ее цифровую личность.

Приемы злоумышленников типичны и в основном сводятся к созданию фишинговых сайтов и веб-страниц. Такие ресурсы могут запрашивать пароли к личному кабинету на сайте местной налоговой службы, ответы на секретные вопросы, имена ближайших родственников, даты их рождения, информацию о банковских картах и многое другое. Помимо информации, которую пользователь, по сути, сам передает мошенникам, злоумышленники также часто получают «сопутствующую» информацию: IP-адрес и местоположение жертвы, данные о названии и версии браузера, операционной системе компьютера. То есть все, что может повысить шансы на получение доступа к аккаунтам жертвы в обход защитных систем.

Фишинговые страницы также могут распространять вредоносное ПО под различными предлогами. Не гнушаются мошенники и прямым вымогательством денег от имени сотрудников налоговых служб; подобные атаки они проводят в США, Франции, Канаде, Ирландии и в других странах. Рассмотрим наиболее популярные схемы «налогового фишинга».

Канада (CRA)

В Канаде за сбор и администрирование налогов отвечает Налоговая служба Канады (Canada Revenue Agency, CRA). Крайний срок подачи налоговых деклараций за предыдущий финансовый год – 30 апреля. На приведенном ниже графике можно увидеть, что в 2016 году наибольшая активность фишеров была зафиксирована именно в период подачи налоговых деклараций и пошла на спад только в мае.

График срабатываний компоненты «Антифишинг» на компьютерах пользователей при попытках перехода на фишинговые сайты, использующие бренд CRA, 2016 г.

Немного другую картину мы можем наблюдать на графике 2017 года:

График срабатываний компоненты «Антифишинг» на компьютерах пользователей при попытках перехода на фишинговые сайты, использующие бренд CRA, 2017 г.

Скачок пришелся на период, когда большинство канадцев ожидает возврата части уплаченных налогов. Мы зафиксировали огромное количество фишинговых страниц, рассказывающих получателю, что он имеет право на возврат определенной суммы денежных средств. В основном именно в таких письмах распространялись ссылки на поддельные страницы CRA, где жертве предлагали заполнить веб-форму.

Пример фишингового письма якобы от Налоговой службы Канады с ложным оповещением о возможности возврата части уплаченных средств.

Обычно такие страницы практически полностью копируют оформление официального сайта CRA и запрашивают большой объем персональной информации. Если пользователь не засомневается в подлинности веб-страницы, количество запрашиваемой информации его также не смутит, а это значит, что, скорее всего, он заполнит поля. В результате злоумышленники получают ценные сведения, а пользователь – сообщение об успешной отправке данных и предложение подождать несколько дней, которые якобы нужны на обработку его запроса. Для большей правдоподобности жертва может быть перенаправлена на оригинальный сайт CRA.

Среди информации, которую собирают мошенники – данные банковской карты (включая ее PIN-код), номер социального страхования и водительских прав, адрес, телефон, дата рождения, фамилия матери, работодатель. Также злоумышленники получают IP-адрес и данные о системе.

Пример фишинговой страницы, маскирующейся под сайт CRA. После ввода персональной информации и отправки формы указанный скрипт формирует письмо со всеми введенными данными (а также IP-адресом жертвы и данными, полученными из User Agent) и отправляет его на указанный адрес.

Мошенники не ограничивают свою активность периодами подачи деклараций и возврата налогов. В течение года они предпринимают и другие попытки выманить данные от лица CRA. Так, например, в одном из обнаруженных нами писем пользователю предлагали ознакомиться с информацией о налоговом инциденте. Для этого ему нужно ввести логин и пароль от своего аккаунта Dropbox либо предоставить аутентификационные данные электронной почты. После этого жертва, щелкнувшая кнопку «скачать», получает общедоступный PDF-файл с информацией об изменениях в налоговом законодательстве. Введенные же данные отправляются на почту мошенникам.


Пример фишинга с использованием темы налогов и CRA для сбора аутентификационных данных к почтовым сервисам и сервису Dropbox.

Мошенники не ограничиваются подделкой сайтов и писем. Они также рассылают SMS и даже звонят жертвам от лица CRA, требуя срочного погашения задолженности путем перевода денег на определенный счет. Такие звонки часто сопровождаются различного рода угрозами (в ход идет запугивание санкциями, штрафами и даже тюремным заключением).

Налогоплательщикам в Канаде следует помнить, что CRA никогда не будет отправлять электронные письма со ссылками и просьбами предоставить личные данные, за исключением случаев, когда письмо отправляется непосредственно во время телефонного разговора с представителями налоговой службы.

С рекомендациями CRA о том, как избежать обмана, можно ознакомиться на официальном сайте в разделе Security.

США (IRS)

В Соединенных Штатах за налоги отвечает Налоговое управление США (Internal Revenue Service, IRS), а последний день сдачи декларации приходится обычно на 18 апреля (дата может немного меняться из года в год). В 2016 году один из крупных всплесков активности мошенников, как и в Канаде, можно было наблюдать непосредственно перед крайним сроком подачи декларации:

График срабатываний компоненты «Антифишинг» на компьютерах пользователей при попытках перехода на фишинговые сайты, использующие бренд IRS, 2016 г.

Однако всплески активности мошенников мы наблюдали в течение всего года. Так, в 2017 году было сложно выделить какой-то определенный момент, за исключением заметного предновогоднего пика:

График срабатываний компоненты «Антифишинг» на компьютерах пользователей при попытках перехода на фишинговые сайты, использующие бренд IRS, 2017 г.

При атаках на налогоплательщиков США мошенники используют различную тематику: возврат налогов, обновление персональной информации, подтверждение учетной записи и т. п.

Примеры поддельных писем от имени Налогового управления США.

Заполнение формы для возврата налогов – очень популярная тема у фишеров в США, и мошеннические ресурсы, эксплуатирующие ее, появляются в момент начала периода приема налоговых деклараций. Количество данных, которые они пытаются украсть при этом, впечатляет: им нужно все, что только можно себе представить. Видимо, расчет строится на очень большом желании пользователя получить деньги назад.

Поддельные страницы IRS, предлагающие заполнить форму для возврата денег.

Утечка такого количества информации может обернуться для жертвы не только опустошением банковских счетов, но и множеством других проблем, среди которых и последующие целевые атаки, и попытки доступа к различным аккаунтам. Если скомпрометированную банковскую карту легко заблокировать и перевыпустить, то адрес, номер социального страхования, дату рождения и девичью фамилию матери сменить проблематично.

Еще один способ ввести жертву в заблуждение – фальшивые письма от имени налоговой службы с просьбой перейти по ссылке и подтвердить аккаунт, обновить информацию о себе или восстановить пароль:

Примеры фишинговых страниц с использованием бренда IRS.

После успешной передачи данных мошенникам жертву обычно перенаправляют на оригинальный сайт для усыпления бдительности:

Пример фишингового скрипта, отправляющего данные пользователя на указанный мошенниками адрес. В случае успешной передачи информации жертва перенаправляется на оригинальный сайт налоговой службы.

Кроме бренда IRS мошенники используют в рассылках имя компании Intuit, которая занимается разработкой программы TurboTax, помогающей в заполнении налоговой декларации.

Пример фишингового письма с использованием бренда Intuit.

Мошенники пытаются заполучить аутентификационные данные к аккаунту пользователя на сайте Intuit, а также логин и пароль его электронной почты:

Примеры фишинговых страниц с использованием бренда Intuit.

Ссылки на фишинговые страницы в США распространяются не только по электронной почте, но и с помощью SMS, а также в социальных сетях. Стоит помнить, что IRS никогда не инициирует общение с налогоплательщиками через эти средства коммуникации для запроса персональной информации.

С официальными рекомендациями IRS по защите от фишинга можно ознакомиться на сайте ведомства.

Англия (HMRC)

В Великобритании налоговый год (Tax Year или Fiscal Year) начинается 6 апреля и заканчивается 5 апреля следующего года. Благодаря системе PAYE (Pay as you earn) большинство налогоплательщиков не заполняют какие-либо формы к определенной дате (данные в налоговую службу ежемесячно предоставляет работодатель). Однако если доход жителя страны изменился, он должен произвести обновление налогового кода в соответствии с новым уровнем дохода. И в случае если налогоплательщик оказывается что-то должен или, наоборот, имеет право на возмещение, HMRC (Her Majesty’s Revenue and Customs – Управление Её Величества по налогам и таможенным пошлинам) может связаться с ним для дальнейшего урегулирования. Вот тут-то мошенники и расставляют свои ловушки, сообщая потенциальной жертве о возможности вернуть часть уплаченных ранее средств либо (реже) о долге.

В 2016 году в Англии активность фишеров в этом сегменте была очень высока и возрастала к концу календарного года:

График срабатываний компоненты «Антифишинг» на компьютерах пользователей при попытках перехода на фишинговые сайты, эксплуатирующие название налоговой службы Великобритании, 2016 г.

В 2017 году фишеры взялись за дело в мае (в этом месяце произошли в т. ч. два серьезных всплеска активности) и практически не покладали рук до конца календарного года.

График срабатываний компоненты «Антифишинг» на компьютерах пользователей при попытках перехода на фишинговые сайты, эксплуатирующие название налоговой службы Великобритании, 2017 г.

Мошеннические сообщения якобы от имени HMRC рассылаются жителям Великобритании посредством SMS, социальных сетей, электронной почты и содержат ссылки на фишинговые страницы, которые выглядят, как оригинальный сайт налоговой службы. Обычно для «возврата средств» пользователя просят ввести данные банковской карты и другую важную информацию.

Примеры фишинговых страниц с использованием бренда HMRC.

Кроме этого, мошенники пытаются украсть аутентификационные данные от других сервисов. В примере ниже мошенники от имени правительства Великобритании отправили письмо с PDF-документом (на деле – HTML-файл). При попытке открыть его пользователю демонстрируется страница, оформленная в стиле онлайн-ресурсов Adobe, которая сообщает, что для просмотра PDF-файла он должен ввести логин и пароль своей электронной почты. Эти данные, разумеется, отправляются злоумышленникам.

Поддельный PDF отправляет жертву на страницу, с помощью которой злоумышленники пытаются украсть аутентификационные данные его почтового аккаунта.

С рекомендациями по защите от фишинга можно ознакомиться на официальном сайте HMRC.

Франция (DGFiP, impots.gouv.fr)

Во Франции за сбор налогов отвечает Генеральная дирекция государственных финансов (La direction générale des finances publique, DGFiP), а начало налогового года совпадает с началом календарного. У французов нет системы PAYE (ее внедрение планируется в 2019 году), и декларация должна быть подана в срок, установленный в конкретном департаменте, к которому относится налогоплательщик. Подать декларацию можно и в бумажном виде (скоро эта возможность пропадет), и через интернет. При этом принимать бумажные документы налоговая служба заканчивает раньше, чем онлайн-декларации. В среднем крайние сроки их подачи приходятся на промежуток с мая по июнь.

Как мы можем наблюдать на графиках, особенно высокие пики активности фишеров приходятся именно на этот период времени:

График срабатываний компоненты «Антифишинг» на компьютерах пользователей при попытках перехода на поддельные сайты DGFiP, 2016 г.

В 2017 году было два всплеска активности – в период подачи деклараций и в конце года:

График срабатываний компоненты «Антифишинг» на компьютерах пользователей при попытках перехода на поддельные сайты DGFiP, 2017 г.

Самая популярная тема у мошенников все та же – возможность возврата средств:


Пример фишингового письма, эксплуатирующего тему возврата части налогов.

При переходе по ссылкам из таких сообщений пользователь попадает на фишинговые страницы, где ему предлагают указать данные банковской карты и другую персональную информацию:

Примеры подделок страниц налоговой службы Франции.

Официальное предупреждение о мошенниках на сайте DGFiP.

Другие страны

Тема налогов популярна у мошенников и в других странах. Предлоги для получения персональной информации могут быть самые разные: заполнение налоговой декларации, верификация аккаунта, возврат налога, регистрация в системе и прочее.

Пример поддельной страницы Департамента государственных сборов Ирландии.

Целью мошенников могут быть не только персональные данные жертвы, но также и установка вредоносного ПО на компьютер налогоплательщика. К примеру, в одной из спам-рассылок распространялась ссылка на поддельный сайт Федеральной налоговой службы РФ (ФНС), с которого на компьютер жертвы загружался троянец.

Копия сайта ФНС nalog.ru, распространяющая вредоносное ПО.

Не только налоги

Обращаясь к потенциальной жертве якобы от имени государства, злоумышленники не всегда используют тему налогов. Например, в Венгрии мошенники запустили фальшивый розыгрыш призов, выдавая себя за правительство страны:

Розыгрыш смартфонов от «правительства Венгрии».

В Италии мошенники довольно хитроумным способом вымогали деньги от имени министерства обороны: чтобы скрыть свой реальный адрес, сайт открывался (если пользователь ему это разрешал) в полноэкранном режиме, в котором элементы управления и адресная строка скрыты, а затем имитировал эти элементы интерфейса. Разумеется, в поддельной адресной строке значился легитимный адрес сайта министерства.

Поддельные элементы интерфейса итальянского «министерства обороны».

Сайт пугал пользователя блокировкой за распространение им запрещенных материалов (порнография, педофилия, зоофилия) и требовал за ее снятие штраф, который предлагалось оплатить подарочной картой iTunes на €500.

Заключение

Доверие к сайтам государственной власти очень высокое, а заполнение налоговых деклараций всегда требует передачи большого количества персональной информации. Поэтому если убедить пользователя, что он находится на настоящем сайте налоговой службы, он без тени сомнения расстанется с важными данными о себе. Другой важный аспект заключается в том, что в заполнение налоговых форм вовлечены люди, которые не являются постоянными пользователями Сети, не знают даже о самых распространенных уловках мошенников и просто не замечают обман. Но даже регулярные пользователи интернета могут ослабить бдительность, увидев заманчивое (и часто ожидаемое) предложение вернуть часть уплаченных налогов. Всем этим и пользуются мошенники. Поэтому всегда относитесь к обещаниям денег с изрядной долей скепсиса, добавьте официальный сайт вашей налоговой службы в закладки браузера, и тогда у вас появятся все шансы избежать ловушек злоумышленников.

Возврат налога, или Как потерять оставшиеся деньги

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике