A medida que los cibercriminales intensifican sus esfuerzos para defraudar a individuos y empresas, Microsoft está viendo un aumento en sofisticadas campañas de phishing diseñadas para explotar la mayor ansiedad durante la temporada de impuestos.
Según la empresa, los delincuentes envían correos electrónicos fraudulentos disfrazados de reembolsos de impuestos, documentos de nómina, recordatorios de presentaciones y solicitudes de profesionales de impuestos. Estos mensajes están diseñados para engañar a los destinatarios para que abran archivos adjuntos maliciosos, hagan clic en enlaces sospechosos o escaneen códigos QR dañinos.
El alcance de estos ataques es enorme. En una campaña a gran escala detectada el mes pasado, se dirigieron a más de 29.000 usuarios de industrias que incluyen servicios financieros, tecnología y comercio minorista.
Los investigadores de Microsoft dijeron que las campañas estaban dirigidas no sólo a individuos sino también a profesionales que frecuentemente manejan datos financieros confidenciales. Los contadores y puestos similares son objetivos particularmente atractivos porque están acostumbrados a recibir comunicaciones relacionadas con impuestos y, a menudo, pueden obtener información valiosa.
Cada año convence más
Las tácticas de phishing se han vuelto más sofisticadas y los atacantes aprovechan herramientas avanzadas para crear mensajes más personales y convincentes, lo que hace que la amenaza sea más sofisticada.
“Gran parte es inteligencia artificial generativa, lo que hace que estos correos electrónicos sean más convincentes”, dijo Suzanne Sando, analista senior de fraude y seguridad de Javelin Strategy & Research. “El consumidor medio va a decir: ‘No creo que esto sea cierto, pero tal vez lo sea'”.
El IRS continúa enfatizando que no se comunicará con los contribuyentes por correo electrónico, mensajes de texto o redes sociales, ni exigirá el pago inmediato ni amenazará con arrestarlos por teléfono. Las comunicaciones oficiales generalmente se envían por correo de EE. UU., y cualquier desviación de esto es una fuerte señal de fraude.
“Enfatizamos que el IRS nunca lo llamará para pedirle información”, dijo Sandow. “Nunca te enviarán un correo electrónico pidiendo información, pero la gente aun así se da por vencida”.
fraude relacionado con impuestos
Para ilustrar cómo se llevan a cabo estos ataques en la práctica, Microsoft destacó varias tácticas comunes que han surgido en actividades recientes, que incluyen:
- Sitio web con temática fiscal diseñado para engañar a los usuarios para que hagan clic en enlaces con el pretexto de acceder a formularios actualizados.
- Mensaje falso del IRS promueve el “Formulario de impuesto sobre criptomonedas 1099”, dirigido específicamente al sector educativo
- Correos electrónicos que se hacen pasar por clientes que buscan ayuda para archivar y conducen a enlaces maliciosos
- Los señuelos dirigidos a la CPA son kits de phishing diseñados para robar los correos electrónicos y las contraseñas de las víctimas.
