В преддверии налогового сезона в США эксперты Microsoft зафиксировали серию целевых фишинговых кампаний, направленных на кражу учетных данных и установку вредоносного программного обеспечения. Злоумышленники используют тему налоговых возвратов, отчетности и проверок IRS, чтобы вызвать чувство срочности и вынудить получателей открыть вложения, перейти по ссылкам или сканировать QR‑коды.
Как работают фишинговые кампании в налоговый сезон
По данным Microsoft Threat Intelligence и Microsoft Defender Security Research, атакующие рассылают письма, маскируясь под уведомления о возврате налогов, формы по заработной плате, напоминания о подаче деклараций и запросы от налоговых консультантов. Такое содержание выглядит вполне ожидаемо в разгар отчетного периода и значительно повышает вероятность того, что пользователь не заметит подмену.
Часть кампаний ориентирована на обычных граждан и нацелена на хищение персональных и финансовых данных. Однако особый интерес злоумышленников вызывают бухгалтеры, аудиторы и налоговые консультанты, которые обрабатывают конфиденциальные документы, имеют доступ к финансовым системам и регулярно получают налоговую корреспонденцию. Компрометация их аккаунтов дает атакующим точку входа сразу в инфраструктуру компаний‑клиентов.
Для упрощения и масштабирования атак активно используются сервисы класса Phishing-as-a-Service (PhaaS), позволяющие быстро создавать правдоподобные фишинговые страницы, имитирующие интерфейсы банков, налоговых сервисов и облачных хранилищ.
Крупная кампания 10 февраля 2026 года: подмена IRS и вредоносный ScreenConnect
10 февраля 2026 года Microsoft зафиксировала крупномасштабную фишинговую волну, затронувшую более 29 000 пользователей в 10 000 организаций. Около 95% жертв находились в США. Наиболее пострадавшими отраслями стали финансовые услуги (19%), технологии и ПО (18%), а также розничная торговля и товары народного потребления (15%).
В рамках этой кампании злоумышленники рассылали письма от имени Налоговой службы США (IRS). В сообщениях утверждалось, что под электронным идентификатором получателя (EFIN, Electronic Filing Identification Number) якобы были поданы подозрительные декларации. Адресатам предлагалось проверить эти декларации, загрузив якобы легитимный инструмент «IRS Transcript Viewer».
Рассылка осуществлялась через Amazon Simple Email Service (SES), что помогало письмам проходить базовые фильтры спама и выглядеть более достоверно. Кнопка «Download IRS Transcript View 5.1» перенаправляла жертву на домен smartvault[.]im, маскирующийся под известную платформу SmartVault для обмена и хранения документов.
Фишинговый сайт был защищен с помощью Cloudflare, что позволяло отфильтровывать автоматические сканеры и ботов, показывая основной вредоносный контент только реальным пользователям. В качестве полезной нагрузки скачивался специально упакованный клиент ConnectWise ScreenConnect — легитимный инструмент удаленного мониторинга и управления (RMM), который в данном случае использовался как средство скрытого удаленного доступа к системе жертвы.
После установки ScreenConnect предоставлял атакующим устойчивый доступ к скомпрометированному устройству, позволяя похищать данные, перехватывать учетные записи, устанавливать дополнительное ПО и проводить дальнейшие пост‑эксплуатационные действия в сети организации.
Злоупотребление легитимными RMM‑инструментами: растущая тенденция
В рамках описанных и других кампаний злоумышленники активно внедряют не только ScreenConnect, но и другие законные решения удаленного администрирования, такие как Datto и SimpleHelp. По данным недавнего отчета Huntress, злоупотребление RMM‑инструментами выросло на 277% год к году, что свидетельствует о переходе атакующих к более «малозаметным» и трудно детектируемым методам.
Основная проблема заключается в том, что подобные средства широко используются легитимными IT‑подразделениями и сервисными компаниями. Как отмечают исследователи Elastic Security Labs, такие приложения во многих корпоративных средах автоматически считаются «доверенными», а потому их активность нередко остается вне поля зрения средств защиты. В результате злоумышленники получают возможность маскировать вредоносную деятельность под обычное администрирование.
Рекомендации по защите от фишинга и атак через RMM
Для снижения рисков Microsoft рекомендует организациям включить многофакторную аутентификацию (2FA/MFA) для всех пользователей, особенно для административных и финансовых аккаунтов, а также применять политики условного доступа, ограничивающие вход с подозрительных устройств и геолокаций.
Критически важно усилить защиту почты и веб‑трафика: использовать современные фильтры, анализирующие вложения и ссылки, проверять репутацию доменов, внедрять и корректно настраивать SPF, DKIM и DMARC. Дополнительно следует отслеживать переходы на недавно зарегистрированные или слабо репутационные домены, связанные с налоговой тематикой.
Отдельное внимание стоит уделить контролю за RMM‑инструментами. Рекомендуется вести инвентаризацию всех средств удаленного администрирования, разрешать их установку только из доверованных источников, ограничивать права на установку пользователям без админ-доступа и регулярно проводить аудит на предмет несанкционированного использования ConnectWise ScreenConnect, Datto, SimpleHelp и аналогичных решений.
Не менее значима и подготовка персонала. Сотрудники финансовых и бухгалтерских подразделений, а также внешние налоговые консультанты должны проходить регулярное обучение по выявлению фишинга, включая проверку доменов отправителей, осторожное отношение к вложениям и ссылкам, особенно если речь идет о якобы срочных запросах от IRS или других регуляторов.
Фишинговые кампании в налоговый сезон демонстрируют, насколько эффективно преступники используют комбинацию социальной инженерии, легитимных облачных сервисов и RMM‑инструментов. Организациям, работающим с финансовыми и персональными данными, стоит проактивно пересмотреть свои процессы безопасности, усилив аутентификацию, мониторинг и управление удаленным доступом. Чем раньше будут внедрены комплексные меры защиты и обучение сотрудников, тем ниже вероятность, что очередное «налоговое» письмо станет началом серьезного инцидента кибербезопасности.
