E-mailuri de tip phishing „Turbotax” care livrează zeus troian

Sezonul fiscal este în plină desfășurare, iar infractorii cibernetici trimit e-mailuri legate de impozite pentru a-i infecta pe contribuabilii nevăzuți cu Troianul bancar Zeus, potrivit AppRiver.

E-mailurile care se prefac că provin din software-ul de pregătire fiscală TurboTax circulă la „volume foarte mari”, a scris Troy Gill, analist de securitate senior pentru AppRiver, pe blogul AppRiver. Mesajele sunt bine concepute, incluzând aceeași grafică pe care TurboTax le folosește în e-mailurile sale, precum și link-ul la site-ul real. La prima vedere, aceste mesaje răuvoitoare seamănă foarte mult cu cele reale trimise de TurboTax, a spus Gill.

Atacul se bazează pe utilizatorii care deschid fișierul zip atașat mesajului. Fișierul zip începe cu cuvântul „TAX” urmat de un număr aleatoriu. Atunci când este descărcat și executat, această variantă a troianului Zeus colectează toate cookie-urile browserului, istoricul Web și parola Outlook stocate pe computer și instalează un backdoor. „Scopul final” este de a fura acreditări bancare și carduri de credit, a spus Gill. În prezent, toate datele sunt transferate către o adresă IP situată în Malaezia, potrivit AppRiver.

"Cyber-criminalii folosesc o tactică familiară pentru a răspândi infecția", a spus Gill.

Gill a postat o captură de ecran a unui astfel de mesaj de atac, care includea subiectul „TurboTax: State Return Rejected” și părea să provină de la intuit.com. (Intuit deține software-ul TurboTax.) Mesajul a informat destinatarului că returnarea statului a fost respinsă.

"Toate informațiile au fost revizuite și validate de Intuit. Vă rugăm să găsiți mai multe informații atașate", a spus e-mailul atacului.

Fișierul zip conținea un fișier executabil (.exe) numit TAX_3919473. Această variantă particulară Zeus prezintă tehnici evazive de bază, deoarece se termină imediat dacă detectează că este executată într-un depanator sau într-o cutie de nisip.

Cum să stai în siguranță în sezonul fiscal

Dacă primiți un e-mail cu un atașament pe care nu l-ați solicitat, nu îl deschideți, chiar dacă expeditorul pare legitim. Escrocii vor anunța victimele „probleme” cu declarațiile fiscale prin e-mail; amintiți-vă doar, Serviciul de venituri interne nu va iniția niciodată contactul prin e-mail. În același punct, IRS nu va solicita niciodată numere PIN sau numere de cărți de credit prin e-mail.

"Rămâneți vigilenți și încercați să utilizați logica simplă - dacă vi se pare prea bine să fie adevărat și dacă stă în căsuța de e-mail, ștergeți-o", a spus AppRiver.

Nu efectuați tranzacții financiare sensibile prin hotspot-uri publice sau rețele WiFi deschise, cum ar fi în aeroporturi, hoteluri, biblioteci, restaurante, cafenele și alte locații. Așteptați până când sunteți acasă sau într-o rețea securizată sau așteptați până când sunteți conectat prin cablu. Dacă trebuie să utilizați o rețea nesigură, utilizați cel puțin un serviciu VPN. PCMag a examinat mai multe servicii VPN populare și recomandă câteva, inclusiv cea mai recentă alegere a editorilor, PrivateInternetAccess.

Verificați să vă asigurați că orice pagină care colectează informații despre cardul de credit și alte date sensibile utilizează o conexiune sigură. Browserul ar trebui să arate HTTPS în adresa Web a site-ului sau să afișeze un simbol lacat de securitate în bara de adrese.

Dacă utilizați un terminal public sau un dispozitiv partajat, deconectați-vă complet de pe site-urile financiare, a spus AppRiver. Atacatorii pot deturna sesiuni deschise.

„Puteți evita infecția din această amenințare încetând să faceți clic pe linkurile și atașamentele incluse în e-mailul nesolicitat”, a spus Gill. Nu faceți clic pe linkurile din e-mailurile pe care nu le-ați solicitat în mod special.

E-mailurile dăunătoare care folosesc tactici legate de impozite sunt destul de frecvente în această perioadă a anului, iar tactica de inginerie socială folosită în aceste campanii de spam nu este nimic nou, a spus Gill. „Dar, având în vedere utilizarea sa continuă, este evident destul de eficient, " Spuse Gill.