Denne skattesesongen fokuserer ikke bare på sparing, men vær også mer årvåken ettersom du kan bli det neste offeret for Spear Phishing. Cyberkriminelle utnytter vårt fokus på skattesparing og vårt håp om å få penger tilbake fra myndighetene.
Angripere sender en e-post til de ansatte, og etterligner overbevisende e-postadressen til selskapets administrerende direktør som ber dem dele ansattes W-2-skjema. Dette gir angripere tilgang til ansattes personlige data, og hjelper dem med å sende inn falske returer og få refusjoner.
Hvis du bor i Storbritannia, kan du se phishing-angrep som utgir seg for å utgi seg for HM Revenue & Customs, som lover refusjon. Ved å klikke på en lenke, vil present i e-posten omdirigere deg til et legitimt nettsted med spørsmål om navn, adresse, telefon, kredittkortinformasjon, mors pikenavn og ID-nummer. Dermed gir angripere tilgang til all konfidensiell informasjon, noe som fører til fullverdig ID-tyveri.
Lignende lokker er rapportert i Frankrike, Australia og Amerika.
Mange bedrifter og deres ansatte faller for dette spyd-phishing-angrepet. Det lurer en ansatt fra HR- eller finansavdelingen til å sende selskapets W-2-skjema til administrerende direktør eller toppleder, som ber om skjemaet som forklarer at det skyldes en økonomisk nødsituasjon.
W-2s-skjema
Hva er W-2s-skjema?
W-2s-skjema er et føderalt skatteskjema i USA utstedt av arbeidsgivere som sier hvor mye skatt en ansatt betaler i løpet av et år. Den består av ansattes navn, SSN-er og andre konfidensielle data. Det kalles også en informasjonsretur.
Kun autorisert personell, HR eller økonomiavdeling har tilgang til disse dataene.
Hva er Spear Phishing?
Spear phishing er et e-postforfalskningsangrep rettet mot bestemte organisasjoner eller enkeltpersoner, og søker tilgang til konfidensiell informasjon. Den bruker smarte taktikker for å få ofrenes oppmerksomhet som: etterligning, omgåelsesteknikker for tilgangskontroll.
Hvordan fungerer Spear Phishing?
Spear phishing fokuserer på selektive individer eller ansatte. I de fleste tilfeller trenger ikke angripere å jobbe mye, da de fleste selskapene legger ut fullt navn, tittel og e-postadresse til sine ledere, blir det lettere å få tilgang til dataene. Dermed viser det seg å være en skattekiste for skurker, å sende phishing-e-post og utgi seg for en person.
Forsvar mot spyd-phishing
Enhver form for phishing fører til slutt til kompr utelatelse av sensitive data. Hvis det ignoreres, vil et selskap være vitne til datainnbrudd, identitetstyveri. Noen få bemerkelsesverdige hendelser der selskaper tapte millioner av dollar og må kompromittere kunderegistrene er: JP Morgan, Home Depot og Target.
Angripere retter seg ikke bare mot store bedrifter, men fokuserer også på små og mellomstore bedrifter. Små bedrifter har mindre sikkerhetsinfrastruktur på grunn av færre ansatte, derfor er de lett målrettede.
Ettersom e-post er det vanligste kommunikasjonsmediet i organisasjoner, er det viktig å sikre det mot sannsynlige phishing-angrep. Ansatte bør gis opplæring for å bekjempe ulike phishing-teknikker.
De bør vite hvordan de kan gjøre forskjellen mellom en ekte og en phishing-e-post.
Her er noen tips som kan beskytte deg og annet fra denne svindelen:
1. Den første og mest vanlige tingen å legge merke til i en mistenkelig e-post at den vil ha feilstavet tekst, merkelig ordforråd.
Les: 0
