Налоговый сезон стал прикрытием для кибератак и фишинга

В 2026 году киберпреступники заметно усилили атаки, прикрываясь налоговой тематикой. По данным отчета, на данный момент зафиксировано более ста кампаний, нацеленных как на частных лиц, так и на организации. Основной удар приходится на Соединенные Штаты, однако под раздачу также попадают Canada, Australia, Switzerland и Japan.

Social engineering под видом налоговых органов

Злоумышленники активно используют social engineering, маскируясь под доверенные структуры — прежде всего налоговые агентства. В своих сообщениях они ссылаются на якобы истекший срок действия документов и требуют предоставить личную информацию, связанную с налоговыми декларациями.

Такая схема особенно опасна в период подачи отчетности, когда люди и компании чаще взаимодействуют с финансовыми сообщениями и легче поддаются давлению срочности.

RMM как основной инструмент атаки

Одним из наиболее распространенных инструментов, используемых в этих кампаниях, стало remote monitoring and management (RMM) software. Злоумышленники применяют его для скрытых операций в корпоративных системах, пользуясь тем, что RMM-приложения обычно являются легитимными и потому реже вызывают срабатывание защитных систем.

Среди известных примеров используемых решений названы:

• Datto;
• N-Able;
• RemotePC;
• Zoho Assist;
• ScreenConnect.

В ряде инцидентов атакующие сначала получают первоначальный доступ через один RMM, а затем после компрометации системы разворачивают дополнительные payloads.

В одном из примеров кампания, атрибутируемая Impersonation of the IRS, использовала executable file, замаскированный под поддельную ссылку для просмотра расшифровок. Именно она привела к установке N-Able RMM.

Две группировки: TA4922 и TA2730

Отчет выделяет две известные criminal hacking groups — TA4922 и TA2730.

TA4922

TA4922, идентифицированная в начале 2025 года, сосредоточена на обеспечении remote access ради финансовой выгоды. Группа использует тактики impersonation, особенно выдавая себя за налоговые органы в регионах East Asia.

Отдельно отмечается стратегия, при которой актор сначала получает contact data жертв, а затем использует их для дальнейшей social engineering. Нередко злоумышленники усиливают эффект, выдавая себя за senior employees организаций и распространяют malicious content через отдельные сообщения.

TA2730

TA2730 действует как credential phishing actor и в первую очередь нацелен на финансовые учреждения. Для атак используются phishing kits, с помощью которых жертв убеждают, что они общаются с investment companies, запрашивающими обновленные tax forms.

Затем злоумышленники создают поддельные authentication pages для сбора учетных данных.

BEC-атаки в налоговый сезон

Еще один часто используемый сценарий — business email compromise (BEC). Во время налогового сезона злоумышленники выдают себя за руководителей и departments of human resources, чтобы запросить конфиденциальные данные сотрудников.

Особый интерес для них представляют формы W-2, содержащие критически важные персональные данные, включая Social Security numbers. Такая информация затем может использоваться для identity theft и financial fraud.

Почему это важно

Главный вывод отчета заключается в том, что налоговая тематика становится все более удобным прикрытием для сложных и частых атак. Пик активности приходится на периоды, когда компании и частные лица наиболее восприимчивы к срочным финансовым сообщениям.

«Такое использование срочности, связанной с налоговыми обязательствами, иллюстрирует необходимость бдительности и усиления мер безопасности в эти пиковые периоды», — следует из отчета.

Эксперты подчеркивают: рост подобных кампаний требует от организаций и пользователей более строгой проверки сообщений, особенно если они связаны с налогами, доступом к учетным данным или передачей персональной информации.