Security

Microsoft advarer om phishing i skattesæsonen

3 min læsning

Resumé

Microsoft advarer om en bølge af skatte-relaterede phishing- og malwarekampagner, der udnytter emner som W-2, 1099, refusioner og kontakt med revisorer til at stjæle legitimationsoplysninger og omgå 2FA. Det er vigtigt, fordi angrebene i stigende grad er målrettede og bruger teknikker som QR-koder, flertrins-omdirigeringer, cloud-hostede filer og legitime administrationsværktøjer, hvilket gør dem sværere at opdage med traditionelle sikkerhedskontroller.

Brug for hjælp med Security?Tal med en ekspert

Introduktion

Skattesæsonen viser sig endnu en gang at være højsæson for cyberkriminelle. Microsoft rapporterer en tydelig stigning i phishing- og malwarekampagner, der udnytter hastværket omkring skatteindberetninger, refusionsmeddelelser, lønformularer og kommunikation med revisorer for at narre brugere til at udlevere legitimationsoplysninger eller starte malware.

For IT- og sikkerhedsteams er dette vigtigt, fordi disse kampagner ikke blot er generisk spam. Mange er højt målrettede, personaliserede og bygget til at omgå traditionelle detektioner via QR-koder, flertrins-linkkæder, cloud-hostede filer og misbrug af legitime RMM-værktøjer (remote monitoring and management).

Hvad er nyt

Microsoft fremhævede flere angrebsmønstre med skat-tema, som blev observeret i begyndelsen af 2026:

  • CPA-tema-phishing med Energy365
    E-mails med emnelinjer som "See Tax file" brugte Excel-vedhæftninger, der linkede til OneNote-filer hostet på OneDrive, og som til sidst omdirigerede brugere til sider, der høstede legitimationsoplysninger, drevet af Energy365 phishing-as-a-service-kittet.

  • W-2 QR-kode-phishing med SneakyLog
    Beskeder med titlen "2025 Employee Tax Docs" indeholdt Word-dokumenter med personaliserede QR-koder. Når koden blev scannet, blev brugere sendt til falske Microsoft 365-loginsideer, der blev kørt gennem SneakyLog/Kratos phishing-kittet, designet til at stjæle legitimationsoplysninger og 2FA-oplysninger.

  • 1099-lokkemidler, der leverer ScreenConnect
    Domæner med skatteformular-tema udgav sig for at være finans- og skattebrands og fik brugere til at downloade 1099-FR2025.exe, som installerede ScreenConnect. Selvom ScreenConnect er legitimt, kan det misbruges af angribere som et værktøj til fjernadgang.

  • IRS- og krypto-tema-phishing
    En anden kampagne brugte falsk IRS-kommunikation og cryptocurrency-relateret social engineering, herunder copy-and-paste-URL'er i stedet for klikbare links for at reducere automatisk detektion.

Hvorfor dette er vigtigt for administratorer

Disse kampagner viser, hvordan angribere kombinerer:

  • overbevisende sæsonbestemt forretningskontekst
  • phishing-as-a-service-platforme, der hurtigt kan skaleres
  • personaliserede vedhæftninger og landingssider
  • teknikker til omgåelse af MFA
  • legitime signerede RMM-værktøjer til vedvarende adgang og hands-on-keyboard-adgang

Organisationer inden for finansielle tjenester, sundhedssektoren, uddannelse, produktion, detailhandel og IT blev alle observeret som mål, og roller inden for regnskab og finansrelaterede funktioner var særligt udsatte.

Anbefalede næste skridt

IT-administratorer bør straks tage følgende handlinger:

  • Styrk brugernes opmærksomhed omkring e-mails med skat-tema, især uventede W-2-, 1099-, CPA- og IRS-beskeder.
  • Bloker eller inspicér nøje QR-kode-baseret phishing og flertrins-kæder med vedhæftninger, der involverer Excel, OneNote og links til cloudlagring.
  • Gennemgå politikker for e-mailsikkerhed for beskyttelse mod efterligning, scanning af vedhæftninger og URL-detonation.
  • Undersøg misbrug af RMM-værktøjer såsom ScreenConnect og SimpleHelp, især når de installeres uden for godkendte kanaler.
  • Styrk identitetsbeskyttelsen med phishing-resistent MFA, hvor det er muligt, og overvåg mistænkelig Microsoft 365-sign-in-aktivitet.
  • Brug vejledning til detektion og hunting i Microsoft Defender fra advisory'en til at identificere relaterede indikatorer på kompromittering.

Konklusion

Skattesæsonen giver angribere et forudsigeligt tidsvindue til at udnytte hastværk og tillid. Microsofts seneste resultater er en påmindelse om, at organisationer bør behandle skatterelaterede beskeder som en phishingkategori med høj risiko og validere både identitetsaktivitet og værktøjer til fjernadgang på tværs af miljøet.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Threat Intelligence and Microsoft Defender Security Research Team
SecurityphishingMicrosoft Defendertax seasonmalware

Relaterede indlæg

Security

Trivy supply chain compromise: Defender-guide

Microsoft har udgivet vejledning til detektion, undersøgelse og afhjælpning af Trivy supply chain compromise i marts 2026, som påvirkede Trivy-binæren og relaterede GitHub Actions. Hændelsen er vigtig, fordi den gjorde betroet CI/CD-sikkerhedsværktøj til et våben for at stjæle legitimationsoplysninger fra build-pipelines, cloud-miljøer og udviklersystemer, mens det så ud til at køre normalt.

Security

AI-agentstyring: Afstemning af intention for sikkerhed

Microsoft skitserer en styringsmodel for AI-agenter, der afstemmer bruger-, udvikler-, rollebaseret og organisatorisk intention. Rammeværket hjælper virksomheder med at holde agenter nyttige, sikre og compliant ved at definere adfærdsgrænser og en klar rækkefølge, når konflikter opstår.

Security

Microsoft Defender predictive shielding stopper GPO-ransomware

Microsoft beskrev en reel ransomware-sag, hvor Defenders predictive shielding opdagede ondsindet misbrug af Group Policy Object (GPO), før krypteringen begyndte. Ved at hærdne GPO-udrulning og afbryde kompromitterede konti blokerede Defender cirka 97 % af de forsøgte krypteringsaktiviteter og forhindrede, at nogen enheder blev krypteret via GPO-leveringsvejen.

Security

Microsoft sikkerhed til agentic AI på RSAC 2026

Microsoft præsenterede på RSAC 2026 en samlet sikkerhedsstrategi for agentic AI og annoncerede, at Agent 365 bliver generelt tilgængelig 1. maj som et kontrolplan til at overvåge, beskytte og styre AI-agenter i stor skala. Samtidig udvider virksomheden synligheden i AI-risici med nye og kommende værktøjer som Security Dashboard for AI, Shadow AI Detection i Entra og forbedret Intune-appinventar, hvilket er vigtigt for virksomheder, der vil bruge AI sikkert uden at miste kontrol over data, identiteter og skygge-IT.

Security

Microsoft CTI-REALM benchmark til AI detection engineering

Microsoft har lanceret CTI-REALM, en open-source benchmark, der måler om AI-agenter faktisk kan udføre detection engineering fra ende til anden ud fra threat intelligence-rapporter frem for blot at svare på sikkerhedsspørgsmål. Det er vigtigt for SOC- og sikkerhedsteams, fordi benchmarken tester realistiske workflows, værktøjer og mellemtrin på tværs af Linux, AKS og Azure, hvilket kan give et mere retvisende billede af, hvor moden AI er til operationelt sikkerhedsarbejde.

Security

Zero Trust for AI: Microsofts nye sikkerhedsmodel

Microsoft har lanceret Zero Trust for AI, som overfører de velkendte principper om eksplicit verifikation, mindst mulige privilegier og antagelse om brud til AI-miljøer med modeller, agenter og datakilder. Samtidig udvider virksomheden sin Zero Trust Workshop med en ny AI-søjle og opdaterede vurderingsværktøjer, så organisationer mere systematisk kan identificere og håndtere AI-specifikke trusler som prompt injection og data poisoning. Det er vigtigt, fordi virksomheder får en konkret ramme til at gøre AI-udrulning mere sikker og moden på tværs af IT, sikkerhed og forretning.