Tehdit aktörleri, küçük işletme sahiplerini ve serbest meslek sahibi dosyalayıcıları hedef alan bir vergi kimlik avı saldırısıyla Sosyal Güvenlik numaralarını tehlikeye atmaya çalışıyor.
Endişe verici bir şekilde, sosyal mühendislik dolandırıcıları göre, muhtemelen serbest meslek sahibi ABD sakinlerinden oluşan ucuz bir e-posta listesinden biraz daha fazlasıyla çalışıyorlar. Malwarebytes Labs’tan en son tavsiye. Rapor, bu e-postaların Dark Web’den ya da önde gelen yasal aracılardan parça başına birkaç sent kadar düşük bir fiyata alınabileceğine dikkat çekti.
İlk kimlik avı e-postası, gerekli federal çalışan kimlik numarası (EIN) veya küçük işletmeler veya serbest meslek sahiplerinin 15 Nisan’a kadar ABD federal gelir vergisi beyanında bulunmaları için gereken vergi kimlik numarasına başvurmak için kolay bir bağlantı sunuyor.
Araştırmacılar, mağdurun e-postadaki bağlantıya tıkladığında, Sosyal Güvenlik numarası da dahil olmak üzere kapsamlı kişisel bilgileri girmesinin istendiğini açıkladı.
Raporda, “Sosyal Güvenlik numarasının ele geçirilmesi büyük bir sorun teşkil ediyor” ifadeleri kullanıldı. Malware Labs raporunda, “Bir kişinin SSN’sini dolandırıcıların verilerine eklemek, kimlik hırsızlığı ve dolandırıcılık için çok daha fazla fırsat yaratabilir” dedi.
IRS, hem EIN’leri hem de vergi kimlik numaralarını ücretsiz olarak yayınlıyor ancak siber saldırganlar, hedeflerinden birkaç kuruş daha sızdırmak için ek bir fırsat gördü.
Ekip, “Buradaki dolandırıcılar, İşveren Kimlik Numarası (EIN) için başvuruda bulunmak, Milli Gelirler Dairesi tarafından sunulan ücretsiz bir hizmet olmasına rağmen sizden vergi kimlik numarası için ücret alma cüretini gösteriyor” dedi.
Vergi Siber Dolandırıcılıklarından Kaçınmak
Vergi dolandırıcılıkları Malwarebytes’te istihbarat araştırmacısı olan raporun yazarı Pieter Arnzt’e göre bu gibi durumlar son başvuru tarihlerini doldurmaya giden yolda yaygındır ve alarmı yükseltmek bunların yayılmasını durdurmanın anahtarıdır.
Arnzt e-postayla gönderdiği açıklamada, “Bu durumda farkındalık çok önemli. İnsanlar bu dolandırıcılıkların varlığından haberdar olduklarında dikkat etme olasılıkları daha yüksek” dedi. Vergi son tarihi yaklaşırken kullanıcıların aşağıdakileri akılda tutmasını önerdi:
E-postanın kaynağını bir kez daha kontrol edin
Kuralları bilin. EIN, IRS tarafından sunulan ücretsiz bir hizmettir ve e-posta, mesaj veya sosyal medya kanalları üzerinden kişisel bilgi istemez
Reklamlara veya arama sonuçlarına tıklayarak IRS’ye ulaşmayın. Bunun yerine tarayıcıya bilinen meşru adresi yazarak doğrudan ulaşın
Tarayıcı adres çubuğundaki URL’yi meşru olanla karşılaştırın
Arnzt, “En önemlisi, aceleci kararlara kapılmayın” dedi. “Dolandırıcıların en sevdiği teknik, aciliyet hissi uyandırmak ve hedefin konuyu derinlemesine düşünmesini engellemektir.”
