AppRiverによると、税のシーズンは本格的であり、サイバー犯罪者は、疑わない納税者にZeus銀行トロイの木馬を感染させるために、税関連のメールを送信しています。
AppRiverのシニアセキュリティアナリストであるTroy Gillは、税準備ソフトウェアTurboTaxからのふりをしたメールが「非常に大量に」流通しているとAppRiverブログに書いています。 メッセージは、TurboTaxが電子メールで使用するのと同じグラフィックスを含め、巧妙に作成されており、実際のWebサイトにリンクされています。 ギル氏によると、これらの悪意のあるメッセージは一見すると、TurboTaxが送信する実際のメッセージに非常によく似ています。
この攻撃は、ユーザーがメッセージに添付されたzipファイルを開くことに依存しています。 zipファイルは、単語「TAX」で始まり、その後に乱数が続きます。 Zeusトロイの木馬のこの亜種は、ダウンロードして実行されると、コンピューターに保存されているすべてのブラウザーCookie、Web履歴、およびOutlookパスワードを収集し、バックドアをインストールします。 「究極の目標」は銀行とクレジットカードの資格情報を盗むことだ、とギルは言った。 AppRiverによると、現在、すべてのデータはマレーシアにあるIPアドレスに転送されています。
「サイバー犯罪者は、感染を広めるために使い慣れた戦術を使用しています」とギル氏は述べています。
Gillは、「TurboTax:State Return Rejected」という件名を含む攻撃メッセージのスクリーンショットを投稿し、intuit.comから送信されたようです。 (IntuitはTurboTaxソフトウェアを所有しています。)メッセージは、状態の戻りが拒否されたことを受信者に通知しました。
「すべての情報は、Intuitによってレビューおよび検証されています。添付されている詳細情報を見つけてください」と攻撃メールは述べています。
zipファイルには、TAX_3919473という実行可能(.exe)ファイルが含まれていました。 この特定のZeusバリアントは、デバッガーまたはサンドボックスで実行されていることを検出するとすぐに終了するため、基本的な回避手法を備えています。
税の季節に安全を保つ方法
要求していない添付ファイルが添付されたメールを受け取った場合は、送信者が正当と思われる場合でも開かないでください。 詐欺師は、電子メールで納税申告書で「問題」を被害者に通知します。 内国歳入庁は電子メールを介して連絡を取ることはありません。 同様に、IRSは電子メールでPIN番号またはクレジットカード番号を要求することはありません。
「警戒を怠らず、単純なロジックを使用してみてください。それがあまりにも良いと思われ、受信トレイに残っている場合は削除してください」とAppRiver氏は言います。
空港、ホテル、図書館、レストラン、カフェ、その他の場所など、公共のホットスポットやオープンなWiFiネットワークで機密性の高い金融取引を行わないでください。 自宅または安全なネットワークに接続するまで待つか、有線接続になるまで待ちます。 安全でないネットワークを使用する必要がある場合は、少なくともVPNサービスを使用してください。 PCMagは、いくつかの一般的なVPNサービスをレビューし、最新のエディターズチョイスであるPrivateInternetAccessなど、かなりの数のサービスを推奨しています。
クレジットカード情報やその他の機密データを収集しているページが安全な接続を使用していることを確認してください。 ブラウザは、サイトのWebアドレスにHTTPSを表示するか、アドレスバーにセキュリティ南京錠のシンボルを表示する必要があります。
AppRiverによると、公共の端末または共有デバイスを使用している場合は、金融サイトから完全にログアウトします。 攻撃者はオープンセッションをハイジャックできます。
「迷惑メールに含まれるリンクや添付ファイルのクリックをやめることで、この脅威からの感染を防ぐことができます」とギル氏は言います。 特にリクエストしなかったメールのリンクをクリックしないでください。
税関連の戦術を使用した悪意のある電子メールは、今年のこの時期にはかなり一般的であり、これらのスパムキャンペーンで使用されているソーシャルエンジニアリングの戦術は新しいものではありません。ギルは言った。
