Security

Microsoft phishing napadi u poreskoj sezoni 2025

3 min čitanja

Sažetak

Microsoft upozorava na porast sofisticiranih phishing i malware kampanja tokom poreske sezone, koje koriste teme kao što su poreske prijave, W-2 i 1099 dokumenta da bi ukrale akreditive i zaobišle klasičnu detekciju. Ovo je važno jer napadi sve češće koriste QR kodove, cloud-hostovane fajlove i legitimne RMM alate, pa organizacije moraju pojačati obuku korisnika i zaštitu identiteta pre nego što kompromitacija preraste u ozbiljniji incident.

Audio sažetak

0:00--:--
Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod

Poreska sezona se ponovo pokazuje kao idealno vreme za sajber kriminalce. Microsoft prijavljuje jasan porast phishing i malware kampanja koje iskorišćavaju hitnost poreskih prijava, obaveštenja o povraćaju poreza, obrazaca za obračun zarada i komunikacije sa računovođama kako bi naveli korisnike da predaju akreditive ili pokrenu malware.

Za IT i bezbednosne timove, ovo je važno zato što ove kampanje nisu samo generički spam. Mnoge su visoko ciljane, personalizovane i osmišljene da izbegnu tradicionalne metode detekcije pomoću QR kodova, višestepenih lanaca linkova, fajlova hostovanih u cloud-u i zloupotrebe legitimnih alata za remote monitoring and management (RMM).

Šta je novo

Microsoft je istakao nekoliko obrazaca napada sa poreskom tematikom primećenih početkom 2026. godine:

  • CPA-themed phishing with Energy365
    Email poruke sa naslovima poput "Pogledajte poreski fajl" koristile su Excel priloge koji su vodili do OneNote fajlova hostovanih na OneDrive-u, a zatim preusmeravali korisnike na stranice za krađu akreditiva koje pokreće Energy365 phishing-as-a-service kit.

  • W-2 QR code phishing with SneakyLog
    Poruke pod nazivom "2025 Employee Tax Docs" sadržale su Word dokumente sa personalizovanim QR kodovima. Skeniranje koda vodilo je korisnike na lažne Microsoft 365 stranice za prijavu koje su radile preko SneakyLog/Kratos phishing kit-a, dizajniranog za krađu akreditiva i 2FA informacija.

  • 1099 lures delivering ScreenConnect
    Domeni sa tematikom poreskih obrazaca imitovali su finansijske i poreske brendove, navodeći korisnike da preuzmu 1099-FR2025.exe, koji je instalirao ScreenConnect. Iako je legitiman, ScreenConnect napadači mogu zloupotrebiti kao alat za udaljeni pristup.

  • IRS and crypto-themed phishing
    Druga kampanja koristila je lažne IRS poruke i social engineering povezan sa kriptovalutama, uključujući URL adrese za copy-paste umesto klikabilnih linkova kako bi se smanjila automatska detekcija.

Zašto je ovo važno za administratore

Ove kampanje pokazuju kako napadači kombinuju:

  • uverljiv sezonski poslovni kontekst
  • phishing-as-a-service platforme koje se brzo skaliraju
  • personalizovane priloge i landing page stranice
  • tehnike zaobilaženja MFA
  • legitimne potpisane RMM alate za postojanost i hands-on-keyboard pristup

Kao mete su primećene organizacije iz finansijskih usluga, zdravstva, obrazovanja, proizvodnje, maloprodaje i IT sektora, pri čemu su računovođe i uloge bliske finansijama posebno izložene riziku.

Preporučeni sledeći koraci

IT administratori bi trebalo odmah da preduzmu sledeće korake:

  • Ojačaju svest korisnika o email porukama sa poreskom tematikom, posebno o neočekivanim W-2, 1099, CPA i IRS porukama.
  • Blokiraju ili detaljno pregledaju phishing zasnovan na QR kodovima i višefazne lance priloga koji uključuju Excel, OneNote i cloud storage linkove.
  • Pregledaju politike bezbednosti email-a za zaštitu od impersonacije, skeniranje priloga i URL detonation.
  • Istraže zloupotrebu RMM alata kao što su ScreenConnect i SimpleHelp, posebno kada su instalirani van odobrenih kanala.
  • Ojačaju zaštitu identiteta pomoću MFA otpornog na phishing gde je to moguće i prate sumnjive Microsoft 365 aktivnosti prijavljivanja.
  • Koriste Microsoft Defender smernice za detekciju i hunting iz bezbednosnog upozorenja kako bi identifikovali povezane indikatore kompromitacije.

Suština

Poreska sezona napadačima daje predvidiv vremenski okvir za iskorišćavanje hitnosti i poverenja. Najnoviji Microsoft nalazi podsećaju da organizacije treba da tretiraju poruke povezane sa porezima kao phishing kategoriju visokog rizika i da proveravaju i aktivnosti identiteta i alate za udaljeni pristup u celokupnom okruženju.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Threat Intelligence and Microsoft Defender Security Research Team
SecurityphishingMicrosoft Defendertax seasonmalware

Povezani članci

Security

Trivy kompromitacija lanca snabdevanja: Defender

Microsoft je objavio smernice za detekciju, istragu i ublažavanje kompromitacije Trivy lanca snabdevanja iz marta 2026, koja je pogodila Trivy binarni fajl i povezane GitHub Actions. Incident je važan jer je zloupotrebio pouzdane CI/CD bezbednosne alate za krađu akreditiva iz build pipeline-ova, cloud okruženja i developerskih sistema, dok je izgledalo kao da radi normalno.

Security

Upravljanje AI agentima: usklađivanje namere

Microsoft predstavlja model upravljanja za AI agente koji usklađuje korisničku, razvojnu, ulogama zasnovanu i organizacionu nameru. Ovaj okvir pomaže preduzećima da agente održe korisnim, bezbednim i usklađenim tako što definiše granice ponašanja i jasan redosled prioriteta kada dođe do konflikta.

Security

Defender predictive shielding zaustavlja GPO ransomware

Microsoft je opisao stvarni slučaj ransomware napada u kome je Defender predictive shielding otkrio zloupotrebu Group Policy Object (GPO) mehanizama pre početka enkripcije. Ojačavanjem propagacije GPO-a i prekidanjem kompromitovanih naloga, Defender je blokirao oko 97% pokušaja enkripcije i sprečio da bilo koji uređaj bude šifrovan putem GPO kanala isporuke.

Security

Microsoft agentic AI bezbednost na RSAC 2026

Microsoft je na RSAC 2026 predstavio sveobuhvatnu strategiju za bezbednost agentic AI sistema, uključujući skoru opštu dostupnost platforme Agent 365 od 1. maja, uz integraciju sa Defender, Entra i Purview alatima za upravljanje, zaštitu pristupa i sprečavanje prekomernog deljenja podataka. Ovo je važno jer kompanijama donosi bolju vidljivost AI rizika, otkrivanje neovlašćene upotrebe AI aplikacija i jaču zaštitu identiteta i podataka kako se AI agenti sve brže uvode u poslovna okruženja.

Security

Microsoft CTI-REALM open-source benchmark za AI detekciju

Microsoft je predstavio CTI-REALM, open-source benchmark koji proverava da li AI agenti mogu da obavljaju stvaran detection engineering posao, od analize threat intelligence izveštaja do pravljenja i validacije detekcionih pravila. To je važno za SOC i bezbednosne timove jer pomera procenu AI alata sa teorijskog cyber znanja na merljive operativne rezultate u realnim okruženjima poput Linux endpointa, AKS-a i Azure infrastrukture.

Security

Microsoft Zero Trust za AI: radionica i arhitektura

Microsoft je predstavio smernice „Zero Trust for AI“ i proširio svoj Zero Trust Workshop namenskim AI stubom, kako bi organizacije lakše procenile i uvele bezbednosne kontrole za modele, agente, podatke i automatizovane odluke. Ovo je važno jer kompanijama daje strukturisan okvir za zaštitu od rizika kao što su prompt injection, data poisoning i preširoka ovlašćenja, uz bolju usklađenost bezbednosnih, IT i poslovnih timova.