Фишинг в налоговый сезон: Microsoft о росте атак

Introduction

Налоговый сезон вновь становится горячей порой для киберпреступников. Microsoft сообщает о явном росте числа фишинговых и вредоносных кампаний, которые используют срочность налоговой отчетности, уведомлений о возврате средств, расчетных форм и сообщений от бухгалтеров, чтобы обманом заставить пользователей раскрыть учетные данные или запустить вредоносное ПО.

Для IT- и security-команд это важно, потому что эти кампании — не просто обычный спам. Многие из них являются высокотаргетированными, персонализированными и спроектированы так, чтобы обходить традиционные средства обнаружения с помощью QR-кодов, многоэтапных цепочек ссылок, файлов, размещенных в облаке, а также злоупотребления легитимными инструментами remote monitoring and management (RMM).

What’s new

Microsoft выделила несколько шаблонов атак на налоговую тематику, наблюдавшихся в начале 2026 года:

• Фишинг от имени CPA с Energy365
  Письма с темами вроде "See Tax file" содержали вложения Excel, которые вели к файлам OneNote, размещенным в OneDrive, а затем перенаправляли пользователей на страницы для сбора учетных данных, созданные с использованием phishing-as-a-service-кита Energy365.

• Фишинг с QR-кодами W-2 и SneakyLog
  Сообщения с заголовком "2025 Employee Tax Docs" содержали документы Word с персонализированными QR-кодами. Сканирование кода вело пользователей на поддельные страницы входа Microsoft 365, работавшие через фишинговый kit SneakyLog/Kratos, предназначенный для кражи учетных данных и информации 2FA.

• Приманки с 1099, доставляющие ScreenConnect
  Домены на тему налоговых форм выдавали себя за финансовые и налоговые бренды, побуждая пользователей скачивать 1099-FR2025.exe, который устанавливал ScreenConnect. Хотя ScreenConnect является легитимным инструментом, злоумышленники могут использовать его как средство удаленного доступа.

• Фишинг от имени IRS и на тему криптовалют
  В другой кампании использовались поддельные сообщения от IRS и методы социальной инженерии, связанные с криптовалютой, включая URL-адреса, которые нужно было копировать и вставлять вручную, вместо кликабельных ссылок, чтобы снизить вероятность автоматического обнаружения.

Why this matters for administrators

Эти кампании показывают, как злоумышленники комбинируют:

• убедительный сезонный бизнес-контекст
• phishing-as-a-service-платформы, которые быстро масштабируются
• персонализированные вложения и landing pages
• техники обхода MFA
• легитимные подписанные RMM-инструменты для закрепления и интерактивного доступа

В качестве целей наблюдались организации из финансового сектора, здравоохранения, образования, производства, розничной торговли и IT, при этом бухгалтеры и сотрудники смежных с финансами ролей находились в зоне особого риска.

Recommended next steps

IT-администраторам следует немедленно предпринять следующие действия:

• Усилить осведомленность пользователей о письмах на налоговую тематику, особенно о неожиданных сообщениях с W-2, 1099, CPA и IRS.
• Блокировать или тщательно проверять фишинг на основе QR-кодов и многоэтапные цепочки вложений с использованием Excel, OneNote и ссылок на облачные хранилища.
• Пересмотреть политики email-безопасности в части защиты от impersonation, сканирования вложений и URL detonation.
• Проводить поиск злоупотреблений RMM tools, такими как ScreenConnect и SimpleHelp, особенно если они установлены вне утвержденных каналов.
• Усилить защиту identity с помощью MFA, устойчивой к фишингу, где это возможно, и отслеживать подозрительную активность входа в Microsoft 365.
• Использовать рекомендации по обнаружению и hunting в Microsoft Defender из advisory, чтобы выявлять связанные indicators of compromise.

Bottom line

Налоговый сезон дает злоумышленникам предсказуемое окно для эксплуатации срочности и доверия. Последние выводы Microsoft напоминают, что организациям следует рассматривать сообщения, связанные с налогами, как категорию фишинга высокого риска и проверять как активность identity, так и инструменты удаленного доступа во всей среде.