IRS-i maksudokumentide e-posti pahavara

Ootamatute meilidega tegelemisel on oluline valvsus säilitada. Küberkurjategijad varjavad pahatahtlikke sõnumeid sageli usaldusväärsete institutsioonide ametlikeks teadeteks, et varastada andmeid või nakatada seadmeid. Üks selline näide on nn IRS-i maksudokumentide meilikampaania. Need sõnumid ei ole seotud ühegi seadusliku ettevõtte, organisatsiooni, valitsusasutuse ega tegeliku maksuteenistusega (IRS).

Mis on IRS-i maksudokumentide e-posti pahavara pettus?

IRS-i maksudokumentide e-kirjad on rämpspost ehk rämpspost, mis on loodud spetsiaalselt pahavara levitamiseks. Need teesklevad IRS-i nime ja teavitavad saajaid valesti, et 2025. aasta maksuaasta ametlikud maksudokumendid on turvaliseks allalaadimiseks saadaval.

Vale õiguspärasuse tunde loomiseks algavad e-kirjad sageli sõnadega „Hea maksumaksja“ ja sisaldavad selliseid üksikasju nagu tegelik IRS-i telefoninumber ja Washingtoni postiaadress. Samuti on neil silmapaistev nupp „Laadi alla turvaline vaatur“ ja väidetakse, et dokumendid on krüptitud ja nende avamiseks on vaja spetsiaalset vaaturit.

Need väited on petturlikud ja nende eesmärk on meelitada saajaid lingile klõpsama.

Kuidas nakkusahel toimib

Nupule klõpsamine suunab kasutajad kolmanda osapoole veebisaidile, mis on loodud meenutama ametlikku Adobe Acrobati allalaadimislehte. Lehel võidakse väita, et Adobe Reader puudub või on aegunud ja et enne maksufailide vaatamist on vaja värskendust.

Seejärel laaditakse alla fail nimega „Adobe_Install.msi”. Vaatamata nimele pole sellel installiprogrammil Adobe'iga õigustatud seost.

Käivitamisel ei installi fail Adobe tarkvara. Selle asemel juurutab see märkamatult TiFluxi, mis on Brasiilia ettevõtte loodud ehtne kaugtöölaua ja IT-halduse platvorm. Selles kampaanias aga kuritarvitatakse tarkvara pahatahtliku kaugjuurdepääsu tööriistana. Samuti on võimalik, et levitatavat versiooni on muudetud, et lisada täiendavaid kahjulikke funktsioone.

Pärast installimist võib programm Windowsis registreeruda nime all Ti Service And Agent avaldaja nime TiFLUX all, töötades samal ajal vaikselt taustal.

Miks see pahavara on ohtlik

Kui ründajad on saanud ohustatud süsteemile kaugjuurdepääsu, võivad nad jälgida tegevust, manipuleerida faile ja installida täiendavaid ohte. Edukas rünnak võib paljastada nii isikuandmeid kui ka finantsandmeid.

Võimalike tagajärgede hulka kuuluvad:

• Dokumentide, paroolide, brauseriandmete või pangarekvisiitide vargus
• Rohkemate pahavarade, näiteks lunavara, nuhkvara või volituste varastajate installimine

• Arvuti loata kasutamine kuritegelikul eesmärgil

• Pikaajaline jälgimine või püsivus nakatunud seadmes

Igaüks, kes on installija käivitanud, peaks eeldama, et süsteem võib olla ohustatud.

Mida teha, kui fail avati

Kui allalaaditud installiprogramm käivitati, on viivitamatu tegutsemine kriitilise tähtsusega. Seadme internetiühenduse katkestamine aitab piirata edasist ründajate tegevust turvakontrollide teostamise ajal.

Soovitatavate sammude hulka kuuluvad täieliku viirusetõrje- või lõpp-punkti turvaskannimise käivitamine, kahtlase tarkvara eemaldamine, puhta seadme paroolide vahetamine, panga- ja e-posti kontode ülevaatamine volitamata tegevuse suhtes ning professionaalse intsidentidele reageerimise abi otsimine tundlike andmete lekkimise korral.

Kuidas rämpspostid pahavara tavaliselt levitavad

Küberkurjategijad kasutavad rämpspostikampaaniates kahte peamist edastusmeetodit:

Pahatahtlikud manused, näiteks käivitatavad failid, Office'i dokumendid, ZIP-arhiivid, PDF-id, ISO-kujutised või skriptid. Mõned nakatavad süsteeme kohe, teised aga nõuavad kasutajatelt makrode lubamist või manustatud sisu käivitamist.

Manustatud lingid, mis suunavad ohvreid võltsitud tarkvaralehtedele, võltsitud portaalidele või petlikele failijagamissaitidele, kus pahavara laaditakse käsitsi või automaatselt alla.

Kuidas ära tunda sarnaseid pettusi

Ootamatutesse maksuteadetesse, kiireloomulistesse finantsnõudmistesse, tarkvaravaaturite või värskenduste installimise taotlustesse, üldistesse tervitustesse, kahtlastesse linkidesse ja soovimatutesse manustesse tuleks suhtuda ettevaatusega. Valitsusasutused ei saada tavaliselt ootamatuid tarkvarainstallijaid soovimatute e-posti kampaaniate kaudu.

Lõplik hindamine

IRS-i maksudokumentide meilid on pahavara levitamise pettus, mis kuritarvitab IRS-i nime saajate petmiseks. Ohvrid suunatakse võltsitud Adobe'i allalaadimislehele, kus varjatud installija installib kaugjuurdepääsu tarkvara, mis saab süsteemi juhtimise ründajatele üle anda. Need meilid tuleks viivitamatult kustutada ja linke ega manuseid ei tohiks avada.