У розпал податкового сезону в США кіберзлочинці активно експлуатують тему повернення податків і перевірок IRS, щоб викрасти облікові дані та встановити шкідливе ПЗ. За спостереженнями Microsoft Threat Intelligence та Microsoft Defender Security Research, низка цільових кампаній використовує максимально правдоподібні податкові повідомлення, що значно підвищує їхню результативність.
Фішингові кампанії в податковий сезон: тактика та цільові жертви
Зловмисники розсилають листи, замасковані під повідомлення про податкові повернення, форми щодо заробітної плати, нагадування про подання декларацій та запити від «податкових консультантів». У період активної звітності така кореспонденція виглядає очікувано, тому користувачі частіше відкривають вкладення, переходять за посиланнями або навіть сканують QR‑коди без належної перевірки.
Частина кампаній орієнтована на пересічних громадян і спрямована на крадіжку персональних і фінансових даних. Водночас особливий інтерес для атакувальників становлять бухгалтери, аудитори та податкові консультанти. Вони оперують конфіденційною інформацією клієнтів, мають доступ до фінансових систем і регулярно отримують податкову кореспонденцію, що робить їхні облікові записи зручним «містком» до інфраструктури цілих компаній.
Для масштабування атак активно використовуються сервіси класу Phishing‑as‑a‑Service (PhaaS), які дозволяють за лічені хвилини створювати переконливі фішингові сторінки, що імітують інтерфейси банків, податкових сервісів або хмарних сховищ. Це знижує технічний поріг входу для зловмисників і збільшує кількість одночасних кампаній.
Масштабна атака 10 лютого 2026 року: підміна IRS і ScreenConnect
10 лютого 2026 року Microsoft зафіксувала крупну хвилю фішингу, яка торкнулася понад 29 000 користувачів у 10 000 організацій. Близько 95% жертв перебували в США. Найбільше постраждали фінансові послуги (19%), технологічний та програмний сектор (18%), а також роздрібна торгівля та товари широкого вжитку (15%).
Листи маскувалися під офіційні повідомлення Internal Revenue Service (IRS) і містили заяву про нібито підозрілу діяльність, пов’язану з EFIN (Electronic Filing Identification Number) одержувача. Жертві пропонували перевірити сумнівні декларації, завантаживши інструмент «IRS Transcript Viewer».
Ланцюжок компрометації: від Amazon SES до прихованого RMM‑доступу
Розсилка здійснювалася через Amazon Simple Email Service (SES), що допомагало обходити базові спам‑фільтри та додавало листам легітимного вигляду. Кнопка «Download IRS Transcript View 5.1» перенаправляла користувача на домен smartvault[.]im, який імітував відому платформу SmartVault для безпечного обміну документами.
Фішинговий сайт був захищений за допомогою Cloudflare, що дозволяло відсіювати автоматизовані сканери та показувати шкідливий контент лише реальним відвідувачам. У якості корисного навантаження завантажувався спеціально упакований клієнт ConnectWise ScreenConnect — легітимний інструмент віддаленого моніторингу й управління (RMM), який у цьому сценарії перетворювався на прихований канал віддаленого доступу до системи жертви.
Після інсталяції ScreenConnect забезпечував стійкий доступ атакувальників до компрометованого пристрою. Це відкривало можливості для викрадення даних, перехоплення облікових записів, розгортання додаткового шкідливого ПЗ та проведення подальших постексплуатаційних дій у мережі організації.
Зловживання легітимними RMM‑інструментами: новий рівень «тихих» атак
У цій та інших подібних кампаніях зловмисники застосовують не лише ScreenConnect, а й інші легальні рішення віддаленого адміністрування, зокрема Datto та SimpleHelp. За даними нещодавнього звіту Huntress, кількість випадків зловживання RMM‑інструментами зросла на 277% рік до року, що підтверджує тренд на використання «малопомітних» і складних для виявлення механізмів.
Ключовий ризик полягає в тому, що RMM‑рішення широко застосовуються легітимними ІТ‑службами та керованими сервіс-провайдерами. Дослідники Elastic Security Labs відзначають, що в багатьох корпоративних середовищах подібні застосунки апріорі вважаються «довіреними», тому їхня активність часто випадає з фокуса засобів захисту. Як наслідок, шкідлива діяльність маскується під звичайні операції з техпідтримки.
Як захиститися: рекомендації протидії фішингу IRS і атакам через RMM
Посилення аутентифікації та контролю доступу
Організаціям рекомендується увімкнути багатофакторну аутентифікацію (MFA/2FA) для всіх користувачів, приділяючи особливу увагу адміністративним, фінансовим і бухгалтерським обліковим записам. Варто застосовувати політики умовного доступу, що обмежують вхід із підозрілих пристроїв, IP‑адрес та геолокацій.
Захист електронної пошти та веб‑трафіку
Критично важливо впровадити сучасні поштові шлюзи та веб‑фільтри, здатні аналізувати вкладення, посилання та репутацію доменів. Рекомендовано коректно налаштувати SPF, DKIM і DMARC, а також відстежувати переходи на нещодавно зареєстровані або маловідомі домени, пов’язані з податковою тематикою чи брендом IRS.
Інвентаризація та моніторинг RMM‑рішень
Необхідно вести повний реєстр усіх RMM‑інструментів, використовуваних у компанії, дозволяти їхнє встановлення лише з перевірених джерел, обмежити право інсталяції для звичайних користувачів і регулярно проводити аудит на предмет несанкціонованого використання ConnectWise ScreenConnect, Datto, SimpleHelp та аналогічних продуктів.
Постійне навчання бухгалтерів та фінансових служб
Співробітники бухгалтерії, фінансових відділів і зовнішні податкові консультанти мають періодично проходити навчання з виявлення фішингу: перевірка доменів відправників, уважне ставлення до вкладень і посилань, особливо якщо йдеться про нібито термінові запити від IRS чи інших регуляторів.
Фішингові кампанії в податковий сезон демонструють ефективність поєднання соціальної інженерії, легітимних хмарних сервісів і RMM‑інструментів. Організаціям, що працюють із фінансовими та персональними даними, варто проактивно переглянути процеси безпеки, посилити аутентифікацію, моніторинг і контроль віддаленого доступу. Чим раніше буде впроваджено комплексні технічні заходи й системне навчання персоналу, тим нижчі шанси, що черговий «податковий» лист стане відправною точкою серйозного інциденту кібербезпеки.
