1. Канада (CRA)
2. США (IRS)
3. Англія (HMRC)
4. Франція (DGFiP, impots.gouv.fr)
5. Інші країни
6. Не тільки податки
7. висновок

Щороку у всьому світі величезна кількість людей виявляються залучені в «захоплюючий» процес заповнення податкових декларацій, заяв на повернення податків і т. П. З огляду на, що все частіше взаємодія з податковими службами відбувається за допомогою онлайн-сервісів, немає нічого дивного, що в процес включилися кіберзлочинці. Підробляючи користуються довірою сайти держструктур і заманюючи на них користувачів, фішери намагаються отримати достатньо інформації, щоб вкрасти не тільки гроші з рахунку жертви, а й її цифрову особистість .

Прийоми зловмисників типові і в основному зводяться до створення фішингових сайтів і веб-сторінок. Такі ресурси можуть запитувати паролі до особистого кабінету на сайті місцевої податкової служби, відповіді на секретні питання, імена найближчих родичів, дати їх народження, інформацію про банківські картки та багато іншого. Крім інформації, яку користувач, по суті, сам передає шахраям, зловмисники також часто отримують «супутню» інформацію: IP-адреса і місце розташування жертви, дані про назву і версії браузера, операційної системи комп'ютера. Тобто все, що може підвищити шанси на отримання доступу до акаунтів жертви в обхід захисних систем.

Фішингові сторінки також можуть поширювати шкідливе ПЗ під різними приводами. Не гребують шахраї і прямим вимаганням грошей від імені співробітників податкових служб; подібні атаки вони проводять в США, Франції, Канаді, Ірландії і в інших країнах. Розглянемо найбільш популярні схеми «податкового фішингу».

Канада (CRA)

У Канаді за збір та адміністрування податків відповідає Податкова служба Канади (Canada Revenue Agency, CRA). Крайній термін подачі податкових декларацій за попередній фінансовий рік - 30 квітня. На наведеному нижче графіку можна побачити, що в 2016 році найбільша активність фішерів була зафіксована саме в період подання податкових декларацій і пішла на спад лише в травні.

Графік спрацьовувань компоненти «Антифішинг» на комп'ютерах користувачів при спробах переходу на фішингові сайти, які використовують бренд CRA, 2016 р

Трохи іншу картину ми можемо спостерігати на графіку 2017 року:

Графік спрацьовувань компоненти «Антифішинг» на комп'ютерах користувачів при спробах переходу на фішингові сайти, які використовують бренд CRA 2017 р

Стрибок припав на період, коли більшість канадців очікує повернення частини сплачених податків. Ми зафіксували величезну кількість фішингових сторінок, що розповідають одержувачу, що він має право на повернення певної суми грошових коштів. В основному саме в таких листах поширювалися посилання на підроблені сторінки CRA, де жертві пропонували заповнити веб-форму.

Приклад фішингових листи нібито від Податкової служби Канади з помилковим оповіщенням про можливість повернення частини сплачених коштів.

Зазвичай такі сторінки практично повністю копіюють оформлення офіційного сайту CRA і запитують великий обсяг персональної інформації. Якщо користувач не засумнівається в достовірності веб-сторінки, кількість запитуваної інформації його також не збентежить, а це значить, що, швидше за все, він заповнить поля. В результаті зловмисники отримують цінні відомості, а користувач - повідомлення про успішну відправку даних і пропозиція почекати кілька днів, які нібито потрібні на обробку його запиту. Для більшої правдоподібності жертва може бути перенаправлено на оригінальний сайт CRA.

Серед інформації, яку збирають шахраї - дані банківської картки (включаючи її PIN-код), номер соціального страхування і водійських прав, адреса, телефон, дата народження, прізвище матері, роботодавець. Також зловмисники отримують IP-адреса і дані про систему.

Приклад фішинговою сторінки, маскується під сайт CRA. Після введення персональної інформації і відправки форми вказаний скрипт формує лист з усіма введеними даними (а також IP-адресою жертви і даними, отриманими з User Agent) і відправляє його на вказану адресу.

Шахраї не обмежують свою активність періодами подання декларацій та повернення податків. Протягом року вони роблять і інші спроби виманити дані від імені CRA. Так, наприклад, в одному з виявлених нами листів користувачеві пропонували ознайомитися з інформацією про податковий інцидент. Для цього йому потрібно ввести логін і пароль від свого облікового запису Dropbox або надати аутентифікаційні дані електронної пошти. Після цього жертва, клацнула кнопку «скачати», отримує загальнодоступний PDF-файл з інформацією про зміни в податковому законодавстві. Введені ж дані відправляються на пошту шахраям.

Приклад фішингу з використанням теми податків і CRA для збору аутентифікаційних даних до поштових сервісів і сервісу Dropbox.

Шахраї не обмежуються підробкою сайтів і листів. Вони також розсилають SMS і навіть дзвонять жертвам від імені CRA, вимагаючи термінового погашення заборгованості шляхом переказу грошей на певний рахунок. Такі дзвінки часто супроводжуються різного роду погрозами (в хід йде залякування санкціями, штрафами і навіть тюремним ув'язненням).

Платникам податків в Канаді слід пам'ятати, що CRA ніколи не буде відправляти електронні листи з посиланнями і проханнями надати особисті дані, за винятком випадків, коли лист відправляється безпосередньо під час телефонної розмови з представниками податкової служби.

З рекомендаціями CRA про те, як уникнути обману, можна ознайомитися на офіційному сайті в розділі Security .

США (IRS)

У Сполучених Штатах за податки відповідає Податкове управління США (Internal Revenue Service, IRS), а останній день подання декларації припадає зазвичай на 18 квітня (дата може трохи змінюватися з року в рік). У 2016 році один з великих сплесків активності шахраїв, як і в Канаді, можна було спостерігати безпосередньо перед крайнім терміном подачі декларації:

Графік спрацьовувань компоненти «Антифішинг» на комп'ютерах користувачів при спробах переходу на фішингові сайти, які використовують бренд IRS, 2016 р

Однак сплески активності шахраїв ми спостерігали протягом всього року. Так, у 2017 році було складно виділити якийсь певний момент, за винятком помітного передноворічного піку:

Графік спрацьовувань компоненти «Антифішинг» на комп'ютерах користувачів при спробах переходу на фішингові сайти, які використовують бренд IRS 2017 р

При атаках на платників податків США шахраї використовують різну тематику: повернення податків, оновлення персональної інформації, підтвердження облікового запису і т. П.

Приклади підроблених листів від імені Податкового управління США.

Заповнення форми для повернення податків - дуже популярна тема у фішерів в США, і шахрайські ресурси, які експлуатують її, з'являються в момент початку періоду прийому податкових декларацій . Кількість даних, які вони намагаються вкрасти при цьому, вражає: їм потрібно все, що тільки можна собі уявити. Мабуть, розрахунок будується на дуже великому бажанні користувача отримати гроші назад.

Підроблені сторінки IRS, що пропонують заповнити форму для повернення грошей.

Витік такої кількості інформації може обернутися для жертви не тільки спустошенням банківських рахунків, а й безліччю інших проблем, серед яких і наступні цільові атаки, і спроби доступу до різних акаунтів. Якщо скомпрометовану банківську карту легко заблокувати і перевипустити, то адреса, номер соціального страхування, дату народження і дівоче прізвище матері змінити проблематично.

Ще один спосіб ввести жертву в оману - фальшиві листи від імені податкової служби з проханням перейти по посиланню і підтвердити аккаунт, оновити інформацію про себе або відновити пароль:

Приклади фішингових сторінок з використанням бренду IRS.

Після успішної передачі даних шахраям жертву зазвичай перенаправляють на оригінальний сайт для усипляння пильності:

Приклад фішингових скрипта, що відправляє дані користувача на вказаний шахраями адресу. У разі успішної передачі інформації жертва перенаправляється на оригінальний сайт податкової служби.

Крім бренду IRS шахраї використовують в розсилках ім'я компанії Intuit, яка займається розробкою програми TurboTax, що допомагає в заповненні податкової декларації.

Приклад фішингових листи з використанням бренду Intuit.

Шахраї намагаються роздобути аутентифікаційні дані до аккаунту користувача на сайті Intuit, а також логін і пароль його електронної пошти:

Приклади фішингових сторінок з використанням бренду Intuit.

Посилання на фішингові сторінки в США поширюються не тільки по електронній пошті, але і за допомогою SMS, а також в соціальних мережах. Варто пам'ятати, що IRS ніколи не ініціює спілкування з платниками податків через ці засоби комунікації для запиту персональної інформації.

З офіційними рекомендаціями IRS щодо захисту від фішингу можна ознайомитися на сайті відомства.

Англія (HMRC)

У Великобританії податковий рік (Tax Year або Fiscal Year) починається 6 квітня і закінчується 5 квітня наступного року. Завдяки системі PAYE (Pay as you earn) більшість платників податків не заповнюють будь-які форми до певної дати (дані в податкову службу щомісяця надає роботодавець). Однак якщо дохід жителя країни змінився, він повинен провести оновлення податкового коду відповідно до новим рівнем доходу. І в разі якщо платник податків виявляється щось повинен або, навпаки, має право на відшкодування, HMRC (Her Majesty's Revenue and Customs - Управління Її Величності з податків і митних зборів) може зв'язатися з ним для подальшого врегулювання. Ось тут-то шахраї і розставляють свої пастки, повідомляючи потенційній жертві про можливість повернути частину сплачених раніше коштів або (рідше) про борг.

У 2016 році в Англії активність фішерів в цьому сегменті була дуже висока і зростала до кінця календарного року:

Графік спрацьовувань компоненти «Антифішинг» на комп'ютерах користувачів при спробах переходу на фішингові сайти, які експлуатують назву податкової служби Великобританії, 2016 р

У 2017 році фішери взялися за справу в травні (в цьому місяці відбулися в т. Ч. Два серйозних сплеску активності) і практично не покладали рук до кінця календарного року.

Графік спрацьовувань компоненти «Антифішинг» на комп'ютерах користувачів при спробах переходу на фішингові сайти, які експлуатують назву податкової служби Великобританії 2017 р

Шахрайські повідомлення нібито від імені HMRC розсилаються жителям Великобританії за допомогою SMS, соціальних мереж, електронної пошти і містять посилання на фішингові сторінки, які виглядають, як оригінальний сайт податкової служби. Зазвичай для «повернення коштів» користувача просять ввести дані банківської картки та іншу важливу інформацію.

Приклади фішингових сторінок з використанням бренду HMRC.

Крім цього, шахраї намагаються вкрасти аутентифікаційні дані від інших сервісів. У прикладі нижче шахраї від імені уряду Великобританії відправили лист з PDF-документом (на ділі - HTML-файл). При спробі відкрити його користувачеві демонструється сторінка, оформлена в стилі онлайн-ресурсів Adobe, яка повідомляє, що для перегляду PDF-файлу він повинен ввести логін і пароль своєї електронної пошти. Ці дані, зрозуміло, відправляються зловмисникам.

Підроблений PDF відправляє жертву на сторінку, за допомогою якої зловмисники намагаються вкрасти аутентифікаційні дані його поштового аккаунта.

З рекомендаціями щодо захисту від фішингу можна ознайомитися на офіційному сайті HMRC .

Франція (DGFiP, impots.gouv.fr)

У Франції за збір податків відповідає Генеральна дирекція державних фінансів (La direction générale des finances publique, DGFiP), а початок податкового року збігається з початком календарного. У французів немає системи PAYE (її впровадження планується в 2019 році), і декларація повинна бути подана в строк, встановлений в конкретному департаменті, до якого належить платник податків. Подати декларацію можна і в паперовому вигляді (скоро ця можливість пропаде), і через інтернет. При цьому приймати паперові документи податкова служба закінчує раніше, ніж онлайн-декларації. В середньому крайні терміни їх подачі припадають на проміжок з травня по червень.

Як ми можемо спостерігати на графіках, особливо високі піки активності фішерів припадають саме на цей період часу:

Графік спрацьовувань компоненти «Антифішинг» на комп'ютерах користувачів при спробах переходу на підроблені сайти DGFiP, 2016 р

У 2017 році було два сплеску активності - в період подання декларацій і в кінці року:

Графік спрацьовувань компоненти «Антифішинг» на комп'ютерах користувачів при спробах переходу на підроблені сайти DGFiP 2017 р

Найпопулярніша тема у шахраїв все та ж - можливість повернення коштів:

Приклад фішингових листи, що експлуатує тему повернення частини податків.

При переході по посиланнях з таких повідомлень користувач потрапляє на фішингові сторінки, де йому пропонують вказати дані банківської картки та іншу персональну інформацію:

Приклади підробок сторінок податкової служби Франції.

офіційне попередження про шахраїв на сайті DGFiP .

Інші країни

Тема податків популярна у шахраїв і в інших країнах. Приводи для отримання персональної інформації можуть бути найрізноманітніші: заповнення податкової декларації, верифікація аккаунта, повернення податку, реєстрація в системі та інше.

Приклад підробленої сторінки Департаменту державних зборів Ірландії.

Метою шахраїв можуть бути не тільки персональні дані жертви, але також і встановлено зловмисне програмне забезпечення на комп'ютер платника податків. Наприклад, в одній з спам-розсилок поширювалася посилання на підроблений сайт Федеральної податкової служби РФ (ФПС), з якого на комп'ютер жертви завантажувався троянець.

Копія сайту ФНС nalog.ru, яка поширює шкідливе ПЗ.

Не тільки податки

Звертаючись до потенційної жертви нібито від імені держави, зловмисники не завжди використовують тему податків. Наприклад, в Угорщині шахраї запустили фальшивий розіграш призів, видаючи себе за уряд країни:

Розіграш смартфонів від «уряду Угорщини».

В Італії шахраї досить хитромудрим способом вимагали гроші від імені міністерства оборони: щоб приховати свій реальний адресу, сайт відкривався (якщо користувач йому це дозволяв) в повноекранному режимі, в якому елементи управління і адресний рядок приховані, а потім імітував ці елементи інтерфейсу. Зрозуміло, в підробленої адресному рядку значився легітимний адреса сайту міністерства.

Підроблені елементи інтерфейсу італійського «міністерства оборони».

Сайт лякав користувача блокуванням за поширення ним заборонених матеріалів (порнографія, педофілія, зоофілія) і вимагав за її зняття штраф, який пропонувалося сплатити подарунковою карткою iTunes на € 500.

висновок

Довіра до сайтів державної влади дуже висока, а заповнення податкових декларацій завжди вимагає передачі великої кількості персональної інформації. Тому якщо переконати користувача, що він знаходиться на цьому сайті податкової служби, він без тіні сумніву розлучиться з важливими даними про себе. Інший важливий аспект полягає в тому, що в заповнення податкових форм залучені люди, які не є постійними користувачами Мережі, не знають навіть про найпоширеніші виверти шахраїв і просто не помічають обман. Але навіть регулярні користувачі інтернету можуть послабити пильність, побачивши привабливу (і часто очікуване) пропозиція повернути частину сплачених податків. Всім цим і користуються шахраї. Тому завжди ставитеся до обіцянок грошей з неабиякою часткою скепсису, додайте офіційний сайт вашої податкової служби в закладки браузера, і тоді у вас з'являться всі шанси уникнути пасток зловмисників.