Microsoft waarschuwt accountants- en belastingaangiftebedrijven voor een nieuwe phishing-aanval in de aanloop naar US Tax Day

Benjamin Franklin schreef ooit: “De enige twee zekerheden in het leven zijn dood en belastingen”. Nu de jaarlijkse Amerikaanse belastingdag op dinsdag 18 april nadert, kunnen we een derde zekerheid aan die lijst toevoegen: internetzwendel. Deze week heeft de beveiligingsafdeling van Microsoft een waarschuwing afgegeven over een nieuwe phishing-zwendel die gericht is op accountants- en belastingaangiftebedrijven in de aanloop naar Tax Day.

In de blogpost van Microsoft staat dat het bedrijf de nieuwe zwendel in februari heeft opgemerkt. Ze worden verzonden door hackers die hopen dat ze de Remcos-trojan voor externe toegang op een pc kunnen afleveren. Remcos is ontworpen om Windows-pc’s binnen te gaan en op afstand beheerdersrechten over te nemen. Microsoft zegt:

Hoewel social engineering-lokmiddelen zoals deze veel voorkomen rond Tax Day en andere actuele evenementen met grote onderwerpen, zijn deze campagnes specifiek en gericht op een manier die ongebruikelijk is. De doelwitten voor deze dreiging zijn uitsluitend organisaties die zich bezighouden met belastingvoorbereiding, financiële dienstverlening, CPA- en accountantskantoren, en professionele dienstverleners die zich bezighouden met boekhouding en belastingen.

Natuurlijk hebben dit soort bedrijven het in deze tijd van het jaar voorafgaand aan de Belastingdag erg druk met klanten die hen informatie e-mailen over hun belastingen en financiële informatie. Microsoft zegt dat deze phishing-campagne e-mails heeft verzonden die eruitzien alsof ze afkomstig zijn van een klant van een accountants- of belastingkantoor. Ze bevatten een link naar een echte dienst voor het delen van bestanden, met een echte Amazon Web Services-link voor het volgen van klikken.

Helaas voor de persoon die op die link klikt, wordt deze naar de site voor het delen van bestanden geleid, waar de hacker Windows-snelkoppelingsbestanden (.LNK) heeft geplaatst. Microsoft zegt:

Deze LNK-bestanden genereren webverzoeken aan door actoren gecontroleerde domeinen en/of IP-adressen om schadelijke bestanden te downloaden. Deze kwaadaardige bestanden voeren vervolgens acties uit op het doelapparaat en downloaden de Remcos-payload, waardoor de actor mogelijk toegang krijgt tot het doelapparaat en het netwerk.

Het goede nieuws voor Windows-pc-gebruikers die bij die financiële firma’s werken, is dat Microsoft 365 Defender en Microsoft Defender Antivirus deze schadelijke bestanden kunnen detecteren en de overname op afstand van hun pc’s kunnen voorkomen. Het is duidelijk dat deze gebruikers altijd op hun hoede moeten zijn voor e-mails met links naar sites voor het delen van bestanden, vooral van klanten die ze niet kennen.