新一波针对纳税人移动设备的国税局攻击

网络安全专家发现了一个复杂的网络钓鱼活动，专门针对纳税人的移动设备。

这些攻击利用了最后一刻报税者的高度焦虑，为希望收集敏感个人和财务信息的网络犯罪分子制造了一场完美的风暴。

自 2 月初以来，这些攻击几乎翻了两番，研究人员指出，随着纳税人急于完成申报，月底出现了显著的高峰。

该活动主要利用 SMS 短信作为初始攻击媒介，诈骗者使用有关退税被暂停或威胁不付款的法律后果的紧急语言。

将“irs.gov”编织成恶意链接的诈骗文本

当收件人点击嵌入的链接时，他们会被引导至专门设计用于捕获个人信息（包括社会安全号码和财务详细信息）的令人信服的 IRS 网站副本。

近一半的纳税人在 3 月中旬至 4 月 15 日期间完成了报税，为这些攻击创造了一个目标丰富的环境。

McAfee 研究人员发现，这些攻击采用复杂的域欺骗技术，通常将“irs.gov”编织到恶意 URL 中，以产生虚假的合法性。

示例包括“irs.gov.entes-tax[dot]com”和“irs.gov.tax-pleas[dot]com”等域，这些域名乍一看似乎是官方的，但实际上将用户引导至由攻击者控制的欺诈网站。经常使用链接缩短器来进一步掩盖这些恶意链接的目的地。

域欺骗技术

这些攻击的技术复杂性在于它们能够模仿合法的 IRS 通信和 Web 基础设施。

在分析攻击基础设施时，安全研究人员发现，欺诈网站采用先进的视觉模仿技术来复制 IRS 官方网站。

这些网站通常包含官方 IRS 徽标、配色方案和页面布局，这使得它们与合法的政府页面几乎没有区别。

虚假的 IRS 索赔网站

攻击者开发了一个自定义框架，该框架可以根据移动设备参数进行动态调整，确保网络钓鱼页面无论屏幕大小或作系统如何都能正确呈现。

感染链从初始 SMS 消息开始，该消息通常包含使用 bit.ly 或自定义缩短器等常见服务的缩短 URL。

这些链接在到达最终网络钓鱼页面之前会重定向多个跃点，从而使传统的 URL 过滤效果不佳。

最终登录页面使用 HTTPS 证书，其名称中包含 “irs”、“tax” 或 “refund” 等术语，以进一步营造合法性的错觉。

提交个人信息后，它会立即传输到命令和控制服务器，这些服务器通常位于美国执法部门无法触及的司法管辖区。

为了保护自己，纳税人应直接通过国税局官方网站验证所有通信，并对这些日益复杂的攻击的警告信号保持警惕。

原文来自: cybersecuritynews.com