Microsoft ostrzega przed nowymi kampaniami phishingowymi związanymi z sezonem podatkowym w USA

Firma Microsoft wystosowała ostrzeżenie dotyczące nowych kampanii phishingowych, które wykorzystują nadchodzący sezon podatkowy w Stanach Zjednoczonych do kradzieży danych uwierzytelniających oraz dostarczania złośliwego oprogramowania.

Te kampanie e-mailowe wykorzystują pilność i czasowy charakter wiadomości, wysyłając fałszywe komunikaty o zwrotach, formularze zasadnicze oraz przypomnienia o składaniu deklaracji, w celu oszukania odbiorców do otwierania złośliwych załączników lub interakcji z podejrzanymi linkami.

„Wiele kampanii skupia się na kradzieży danych osobowych i finansowych, ale inne celują w księgowych i profesjonalistów zajmujących się wrażliwymi dokumentami, którzy mają dostęp do danych finansowych i są przyzwyczajeni do otrzymywania e-maili związanych z podatkami w tym okresie” – powiedziały zespoły Microsoft Threat Intelligence i Microsoft Defender Security Research w opublikowanym w zeszłym tygodniu raporcie.

Niektóre z tych działań kierują użytkowników do podejrzanych stron stworzonych przy pomocy platform Phishing-as-a-service (PhaaS), inne z kolei wiążą się z wdrażaniem legalnych narzędzi zdalnego zarządzania, jak ConnectWise ScreenConnect, Datto czy SimpleHelp, umożliwiając napastnikom uzyskanie stałego dostępu do zainfekowanych urządzeń.

Szczegóły kampanii phishingowych

Oto niektóre szczegóły wybranych kampanii:

• Wykorzystywanie węzłów CPA – Kampanie phishingowe przyciągające ofiary na fałszywe strony związane z zestawem Energy365 PhaaS, mające na celu kradzież e-maili i haseł. Szacuje się, że zestaw ten wysyła dziennie setki tysięcy złośliwych e-maili.
• Wykorzystanie kodów QR i formularzy W2 – Kampanie skierowane na około 100 organizacji, głównie w sektorach produkcyjnym, detalicznym i opieki zdrowotnej w USA, które próbują przekierować użytkowników na strony phishingowe imitujące strony logowania do Microsoft 365.
• Fałszywe domeny podatkowe – Wykorzystanie domen tematycznych do oszustw, które zachęcają użytkowników do klikania w fałszywe linki pod pretekstem dostępu do zaktualizowanych formularzy podatkowych, a ostatecznie rozprowadzają ScreenConnect.
• Imitacja IRS – Kampanie, które polegają na oszukańczych komunikatach dotyczących kryptowalut, skierowane do sektora edukacji wyższej w USA, instruujące odbiorców do pobrania złośliwego formularza „Cryptocurrency Tax Form 1099”.
• Kampanie wymierzone w księgowych – Prośby o pomoc przy składaniu deklaracji podatkowych przez link prowadzący do instalacji Datto.

Ogromna kampania phishingowa

Microsoft zauważył również dużą kampanię phishingową, która miała miejsce 10 lutego 2026 roku, w której dotkniętych zostało ponad 29 000 użytkowników z 10 000 organizacji. Około 95% celów znajdowało się w USA, obejmując różne branże, takie jak usługi finansowe (19%), technologia i oprogramowanie (18%) oraz detal i dobra konsumpcyjne (15%).

„E-maile podszywały się pod IRS, twierdząc, że potencjalnie nieprawidłowe zeznania podatkowe zostały złożone pod numerem identyfikacyjnym e-file (EFIN) odbiorcy. Odbiorcy byli zobowiązani do przeglądania tych zeznań przez pobranie rzekomo legitnego programy 'IRS Transcript Viewer’” – dodał technologiczny gigant.

Jak chronić się przed atakami?

Aby chronić organizacje przed tymi atakami, zaleca się wdrożenie dwuskładnikowego uwierzytelniania (2FA) dla wszystkich użytkowników, wprowadzenie polityki dostępu warunkowego, monitorowanie i skanowanie przychodzących e-maili oraz blokowanie dostępu do złośliwych domen.

Rozwój tego zjawiska zbiegł się z odkryciem kilku kampanii, które dostarczają złośliwe oprogramowanie do zdalnego dostępu lub prowadzą do kradzieży danych. Przykładem może być wykorzystywanie fałszywych stron Google Meet i Zoom do oszustwach wideo, które kończą się dostarczeniem oprogramowania do zdalnego dostępu, jak Teramind, czy też zastosowanie fałszywych stron internetowych podszywających się pod markę Avast w celu wyłudzenia danych kart kredytowych.