Security

Phishing podatkowy: Microsoft ostrzega przed atakami

3 min czytania

Podsumowanie

Microsoft ostrzega przed wzrostem zaawansowanych kampanii phishingowych i malware wykorzystujących sezon podatkowy, w tym fałszywych wiadomości o dokumentach podatkowych, zwrotach i komunikacji od księgowych. To ważne, ponieważ ataki są coraz bardziej ukierunkowane i wykorzystują kody QR, wieloetapowe przekierowania, chmurowe pliki oraz legalne narzędzia administracyjne, co utrudnia ich wykrycie i zwiększa ryzyko kradzieży poświadczeń oraz infekcji firmowych systemów.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Wprowadzenie

Sezon podatkowy po raz kolejny okazuje się idealnym czasem dla cyberprzestępców. Microsoft odnotowuje wyraźny wzrost kampanii phishingowych i malware, które wykorzystują pilność związaną ze składaniem deklaracji podatkowych, powiadomieniami o zwrocie, formularzami płacowymi i komunikacją od księgowych, aby skłonić użytkowników do ujawnienia poświadczeń lub uruchomienia malware.

Dla zespołów IT i bezpieczeństwa ma to znaczenie, ponieważ nie są to tylko ogólne wiadomości spamowe. Wiele z tych kampanii jest silnie ukierunkowanych, spersonalizowanych i zaprojektowanych tak, aby omijać tradycyjne mechanizmy wykrywania za pomocą kodów QR, wieloetapowych łańcuchów linków, plików hostowanych w chmurze oraz nadużywania legalnych narzędzi do zdalnego monitorowania i zarządzania (RMM).

Co nowego

Microsoft wskazał kilka wzorców ataków o tematyce podatkowej zaobserwowanych na początku 2026 roku:

  • Phishing o tematyce CPA z Energy365
    Wiadomości e-mail z tematami takimi jak "See Tax file" wykorzystywały załączniki Excel zawierające linki do plików OneNote hostowanych w OneDrive, które ostatecznie przekierowywały użytkowników na strony wyłudzające poświadczenia obsługiwane przez zestaw phishing-as-a-service Energy365.

  • Phishing z kodami QR dotyczący W-2 z SneakyLog
    Wiadomości zatytułowane "2025 Employee Tax Docs" zawierały dokumenty Word z osadzonymi spersonalizowanymi kodami QR. Zeskanowanie kodu prowadziło użytkowników do fałszywych stron logowania Microsoft 365 obsługiwanych przez zestaw phishingowy SneakyLog/Kratos, zaprojektowany do kradzieży poświadczeń i informacji 2FA.

  • Przynęty 1099 dostarczające ScreenConnect
    Domeny o tematyce formularzy podatkowych podszywały się pod marki finansowe i podatkowe, nakłaniając użytkowników do pobrania pliku 1099-FR2025.exe, który instalował ScreenConnect. Chociaż jest to legalne narzędzie, ScreenConnect może być nadużywany przez atakujących jako narzędzie zdalnego dostępu.

  • Phishing o tematyce IRS i kryptowalut
    Inna kampania wykorzystywała fałszywe komunikaty IRS oraz socjotechnikę związaną z kryptowalutami, w tym adresy URL do kopiowania i wklejania zamiast klikalnych linków, aby ograniczyć automatyczne wykrywanie.

Dlaczego ma to znaczenie dla administratorów

Te kampanie pokazują, jak atakujący łączą:

  • wiarygodny, sezonowy kontekst biznesowy
  • platformy phishing-as-a-service, które można szybko skalować
  • spersonalizowane załączniki i strony docelowe
  • techniki omijania MFA
  • legalne, podpisane narzędzia RMM do utrzymania dostępu i interaktywnego działania na systemie

Jako cele zaobserwowano organizacje z sektorów usług finansowych, ochrony zdrowia, edukacji, produkcji, handlu detalicznego i IT, przy czym szczególnie narażone były role związane z księgowością i finansami.

Zalecane kolejne kroki

Administratorzy IT powinni natychmiast podjąć następujące działania:

  • Wzmocnić świadomość użytkowników w zakresie wiadomości e-mail o tematyce podatkowej, zwłaszcza nieoczekiwanych wiadomości dotyczących W-2, 1099, CPA i IRS.
  • Blokować lub dokładnie analizować phishing oparty na kodach QR oraz wieloetapowe łańcuchy załączników obejmujące Excel, OneNote i linki do pamięci masowej w chmurze.
  • Przejrzeć zasady bezpieczeństwa poczty e-mail pod kątem ochrony przed podszywaniem się, skanowania załączników i detonacji URL.
  • Wykrywać nadużycia narzędzi RMM, takich jak ScreenConnect i SimpleHelp, zwłaszcza gdy są instalowane poza zatwierdzonymi kanałami.
  • Wzmocnić ochronę tożsamości za pomocą odpornego na phishing MFA tam, gdzie to możliwe, oraz monitorować podejrzaną aktywność logowania do Microsoft 365.
  • Korzystać ze wskazówek Microsoft Defender dotyczących wykrywania i huntingu z komunikatu doradczego, aby identyfikować powiązane wskaźniki naruszenia.

Najważniejsze

Sezon podatkowy daje atakującym przewidywalne okno do wykorzystywania pilności i zaufania. Najnowsze ustalenia Microsoft przypominają, że organizacje powinny traktować wiadomości związane z podatkami jako kategorię phishingu wysokiego ryzyka oraz weryfikować zarówno aktywność tożsamości, jak i narzędzia zdalnego dostępu w całym środowisku.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Microsoft Threat Intelligence and Microsoft Defender Security Research Team
SecurityphishingMicrosoft Defendertax seasonmalware

Powiązane artykuły

Security

Kompromitacja łańcucha dostaw Trivy: wskazówki Defender

Microsoft opublikował wskazówki dotyczące wykrywania, badania i ograniczania skutków kompromitacji łańcucha dostaw Trivy z marca 2026 r., która dotknęła binarkę Trivy i powiązane GitHub Actions. Incydent jest istotny, ponieważ wykorzystał zaufane narzędzia bezpieczeństwa CI/CD do kradzieży poświadczeń z potoków buildów, środowisk chmurowych i systemów deweloperskich, jednocześnie pozornie działając normalnie.

Security

Governance AI agentów: zgodność intencji i bezpieczeństwo

Microsoft przedstawia model governance dla AI agents, który łączy intencje użytkownika, dewelopera, role-based oraz organizacji. Framework pomaga firmom utrzymać agentów jako użytecznych, bezpiecznych i zgodnych z wymaganiami, definiując granice zachowań oraz jasną hierarchię priorytetów w razie konfliktów.

Security

{{Microsoft Defender predictive shielding blokuje GPO ransomware}}

{{Microsoft opisał rzeczywisty przypadek ransomware, w którym predictive shielding w Defender wykrył złośliwe nadużycie Group Policy Object jeszcze przed rozpoczęciem szyfrowania. Dzięki wzmocnieniu propagacji GPO i zakłóceniu działania przejętych kont Defender zablokował około 97% prób szyfrowania i nie dopuścił do zaszyfrowania żadnych urządzeń przez ścieżkę dostarczania opartą na GPO.}}

Security

Zabezpieczenia agentic AI od Microsoft na RSAC 2026

Microsoft na RSAC 2026 zaprezentował strategię zabezpieczania agentic AI w firmach, obejmującą ochronę agentów, tożsamości, danych i infrastruktury, a także potwierdził premierę Agent 365 w modelu general availability od 1 maja. To ważne, bo wraz z rosnącym wdrożeniem AI w przedsiębiorstwach organizacje potrzebują narzędzi do centralnego zarządzania ryzykiem, wykrywania nieautoryzowanego użycia AI i ograniczania nadmiernego udostępniania danych.

Security

CTI-REALM open source: benchmark AI do detekcji

Microsoft udostępnił open source benchmark CTI-REALM, który sprawdza, czy agenci AI potrafią wykonywać realną pracę z obszaru inżynierii detekcji — od analizy raportów threat intelligence po tworzenie i walidację reguł detekcji. To ważne dla zespołów SOC i bezpieczeństwa, ponieważ zamiast mierzyć wyłącznie wiedzę modelu, narzędzie ocenia jego skuteczność w praktycznych zadaniach operacyjnych w środowiskach takich jak Linux, AKS i chmura Azure.

Security

Zero Trust for AI od Microsoft: warsztaty i ocena

Microsoft wprowadza wytyczne Zero Trust for AI, które przenoszą zasady Zero Trust na modele, agentów, dane i zautomatyzowane decyzje, aby pomóc firmom bezpiecznie wdrażać AI. Firma rozszerzyła też Zero Trust Workshop o dedykowany filar AI oraz rozbudowane oceny i kontrolki, co ma ułatwić zespołom IT i bezpieczeństwa identyfikację ryzyk takich jak prompt injection czy data poisoning oraz lepsze planowanie zabezpieczeń.