IRS:n veroasiakirjojen sähköpostihaittaohjelma

On tärkeää pysyä valppaana odottamattomien sähköpostien käsittelyssä. Kyberrikolliset naamioivat usein haitallisia viestejä luotettavien tahojen virallisiksi viesteiksi varastaakseen tietoja tai tartuttaakseen laitteita. Niin kutsuttu IRS:n veroasiakirjojen sähköpostikampanja on yksi tällainen esimerkki. Näitä viestejä ei ole liitetty mihinkään lailliseen yritykseen, organisaatioon, valtion virastoon tai todelliseen Yhdysvaltain verovirastoon (IRS).

Mikä on IRS:n veroasiakirjoja koskeva sähköpostihaittaohjelmahuijaus?

IRS:n veroasiakirjat lähettävät sähköpostit ovat eräänlaista roskapostia eli roskapostia, joka on luotu erityisesti haittaohjelmien levittämistä varten. Ne tekeytyvät IRS:n edustajaksi ja antavat vastaanottajille virheellisesti tietoa, että viralliset veroasiakirjat verovuodelta 2025 ovat ladattavissa turvallisesti.

Valheellisen oikeellisuuden tunteen luomiseksi sähköpostit alkavat usein sanoilla "Hyvä veronmaksaja" ja sisältävät tietoja, kuten oikean IRS-puhelinnumeron ja Washington DC:n postiosoitteen. Niissä on myös näkyvä Lataa suojattu katseluohjelma -painike ja väitetään, että asiakirjat ovat salattuja ja niiden avaamiseen tarvitaan erityinen katseluohjelma.

Nämä väitteet ovat vilpillisiä ja niiden tarkoituksena on huijata vastaanottajia napsauttamaan annettua linkkiä.

Miten tartuntaketju toimii

Painikkeen napsauttaminen ohjaa käyttäjät kolmannen osapuolen verkkosivustolle, joka on suunniteltu muistuttamaan virallista Adobe Acrobat -lataussivua. Sivu saattaa väittää, että Adobe Reader puuttuu tai on vanhentunut ja että päivitys vaaditaan ennen kuin verotiedostoja voi tarkastella.

Tämän jälkeen ladataan tiedosto nimeltä 'Adobe_Install.msi'. Nimestään huolimatta tällä asennusohjelmalla ei ole laillista yhteyttä Adobeen.

Suoritettaessa tiedosto ei asenna Adoben ohjelmistoa. Sen sijaan se ottaa hiljaisesti käyttöön TiFluxin, brasilialaisen yrityksen kehittämän aidon etätyöpöytä- ja IT-hallinta-alustan. Tässä kampanjassa ohjelmistoa kuitenkin käytetään haitallisena etäkäyttötyökaluna. On myös mahdollista, että jaettavaa versiota on muokattu lisäämällä siihen haitallisia ominaisuuksia.

Asennuksen jälkeen ohjelma saattaa rekisteröityä Windowsiin nimellä Ti Service And Agent julkaisijan nimellä TiFLUX ja toimia samalla hiljaa taustalla.

Miksi tämä haittaohjelma on vaarallinen

Kun hyökkääjät saavat etäyhteyden vaarantuneeseen järjestelmään, he voivat mahdollisesti valvoa sen toimintaa, käsitellä tiedostoja ja asentaa lisäuhkia. Onnistunut tietomurto voi paljastaa sekä henkilökohtaisia että taloudellisia tietoja.

Mahdollisia seurauksia ovat:

• Asiakirjojen, salasanojen, selaintietojen tai pankkitietojen varastaminen
• Lisää haittaohjelmia, kuten kiristysohjelmia, vakoiluohjelmia tai tunnistetietojen varastajia, asennetaan

• Tietokoneen luvaton käyttö rikolliseen toimintaan

• Pitkäaikainen valvonta tai pysyvyys tartunnan saaneella laitteella

Jokaisen, joka on ajanut asennusohjelman, tulisi olettaa, että järjestelmä on saattanut vaarantua.

Mitä tehdä, jos tiedosto avattiin

Välittömät toimet ovat kriittisiä, jos ladattu asennusohjelma suoritettiin. Laitteen irrottaminen internetistä voi auttaa rajoittamaan hyökkääjien toimintaa, kun tietoturvatarkistuksia suoritetaan.

Suositeltuja toimenpiteitä ovat täydellisen virustorjunta- tai päätelaitteiden tietoturvaskannauksen suorittaminen, epäilyttävien ohjelmistojen poistaminen, salasanojen vaihtaminen puhtaalta laitteelta, pankki- ja sähköpostitilien tarkistaminen luvattoman toiminnan varalta sekä ammattimaisen avun hakeminen tapausten käsittelyyn, jos arkaluonteisia tietoja on paljastunut.

Miten roskapostit yleensä levittävät haittaohjelmia

Kyberrikolliset käyttävät roskapostikampanjoissaan kahta pääasiallista toimitustapaa:

Haitalliset liitteet, kuten suoritettavat tiedostot, Office-asiakirjat, ZIP-arkistot, PDF-tiedostot, ISO-levykuvat tai komentosarjat. Jotkut tartuttavat järjestelmiä välittömästi, kun taas toiset vaativat käyttäjiä ottamaan käyttöön makrot tai käynnistämään upotetun sisällön.

Upotetut linkit, jotka ohjaavat uhrit väärennetyille ohjelmistosivuille, väärennetyille portaaleille tai harhaanjohtaville tiedostonjakosivustoille, joilla haittaohjelmia ladataan manuaalisesti tai automaattisesti.

Kuinka tunnistaa samanlaisia huijauksia

Odottamattomiin veroilmoituksiin, kiireellisiin taloudellisiin pyyntöihin, pyyntöihin asentaa katseluohjelmia tai päivityksiä, yleisluontoisiin tervehdyksiin, epäilyttäviin linkkeihin ja pyytämättömiin liitteisiin tulee suhtautua varoen. Viranomaiset eivät yleensä lähetä yllätysohjelmistojen asennusohjelmia pyytämättömien sähköpostikampanjoiden kautta.

Loppuarviointi

IRS:n veroasiakirjasähköpostit ovat haittaohjelmien levityshuijaus, joka käyttää väärin IRS:n nimeä vastaanottajien harhauttamiseksi. Uhrit ohjataan väärennetylle Adoben lataussivulle, jossa naamioitu asennusohjelma asentaa etäkäyttöohjelmiston, joka voi siirtää järjestelmän hallinnan hyökkääjille. Nämä sähköpostit tulee poistaa välittömästi, eikä linkkejä tai liitteitä tule avata.