truffe fiscali

Con la stagione delle tasse sono in agguato anche le truffe fiscali. I malintenzionati possono utilizzare sempre più la tecnologia e le risorse che il digitale mette a disposizione. In questo periodo gli hacker ne approfittano, distribuendo file malevoli mascherati da documenti ufficiali. Il fenomeno è talmente diffuso che l’Internal Revenue Service (IRS), il corrispettivo statunitense dell’Agenzia delle Entrate, pubblica ogni anno l’elenco “Dirty Dozen” (la black list della “maledetta dozzina”), in cui vengono descritte le truffe fiscali più diffuse.

Le false mail di ChatGPT per le truffe fiscali

L’anno scorso Check Point ha scoperto come ChatGPT sia in grado di creare mail di phishing legati alle tasse. In Italia, ad esempio, è stata diffusa una truffa segnalata dalla Polizia Postale relativa alla diffusione da parte di criminali infomatici di falsi sms (smishing) dell’INPS in cui viene richiesto l’aggiornamento dei propri dati per impossessarsi dei dati sensibili degli utenti che cadono nella truffa cliccando il link indicato e allegando copia del documento d’identità, della tessera sanitaria e selfie con il proprio documento per ricevere, ad esempio, un rimborso.

L’attacco fiscale tramite QR Code

In questo attacco, gli attori della minaccia si spacciano per l’Agenzia delle Entrate. In allegato a un’e-mail c’è un PDF dannoso, con un oggetto del tipo {NOME} dichiarazione annuale delle imposte3x{nome azienda}.pdf. Il file PDF sembra impersonare una corrispondenza ufficiale dell’Agenzia delle Entrate, che informa la vittima che ci sono dei documenti in attesa. Nella parte inferiore del documento è presente un QR Code che indirizza a diversi siti web dannosi. Questi siti sono tutti siti di verifica, alcuni con lo schema 1w7g1[.]unisa0[.]com/6d19/{USEREMAIL}, che ora portano a siti malevoli inattivi.
Il QR Code subisce quello che chiamiamo instradamento condizionale. In questi attacchi, la richiesta iniziale è simile, ma la catena di reindirizzamento è molto diversa. Il collegamento osserva il luogo in cui l’utente interagisce con esso e si regola di conseguenza. Se l’utente utilizza un Mac, ad esempio, appare un link; se l’utente utilizza un telefono Android, ne appare un altro.  L’obiettivo finale è lo stesso: installare il malware sull’endpoint dell’utente finale, sottraendo anche le credenziali. Adattando la destinazione in base al modo in cui l’utente finale vi accede, la percentuale di successo è molto più alta.

 

La truffa fiscale “Rimborso in arrivo”

In Australia si è assistito a una truffa di phishing presumibilmente inviata dall'”ATO Taxation Office”. In realtà, è partita da un indirizzo iCloud. In questa e-mail, l’oggetto è “Rimborso per te – registra i tuoi dati bancari oggi stesso”. L’e-mail guida l’utente al seguente link, hxxp://gnvatmyssll[.]online, dove viene chiesto all’utente di inserire le proprie credenziali.
Campagne simili sono state rilevate anche in altri Paesi. Questo esempio proviene da un sito web di phishing che si spaccia per il governo del Regno Unito, utilizzando il dominio dannoso ukrefund[.]tax.
Sono anche state osservate campagne simili che utilizzavano una serie di domini, tra cui:
compliance-hmrc[.]co[.]uk
hmrc-cryptoaudit[.]com
hmrc-financial[.]team
hmrc-debito[.]uk
hmrcguv[.]sito

Rimborsi in vendita

Sul dark web, i ricercatori di Check Point hanno scoperto un mercato fiorente di documenti fiscali sensibili. Sono stati scoperti hacker vendere moduli W2 e 1040 reali, provenienti da persone reali ignare di quanto sta avvenendo. Questi documenti vengono venduti fino a 75 dollari l’uno. In alcuni casi vengono fatti sconti importanti nel caso in cui se ne acquistino grandi quantità: il prezzo in questo caso arriva anche a 10 dollari l’uno. Un hacker ha persino offerto un omaggio di 50 moduli 1040 e W2. Un’altra tattica utilizzata dagli hacker è quella di offrire conti bancari per depositare i rimborsi. L’attore della minaccia offre un numero di conto bancario su cui depositare il rimborso; a sua volta, l’hacker invia il denaro ad altri hacker, prendendone una piccola percentuale. L’ultima tattica è più preoccupante: gli hacker acquistano e regalano l’accesso a popolari servizi fiscali con i privilegi di un amministratore remoto. Tra questi vi è per esempio una società di servizi fiscali con 8.000 clienti, con informazioni complete sui loro rimborsi e i numeri di routing bancario. Il prezzo di questo “prodotto” è di 15.000 dollari. Per un importo relativamente basso, gli hacker sono in grado di presentare rimborsi per conto di persone comuni e di trarne vantaggio.

L’assistente fiscale di ChatGPT

L’anno scorso, i ricercatori di Check Point hanno chiesto a ChatGPT di produrre il testo di un’e-mail che conteneva un linguaggio tipico da truffa fiscale. Il risultato è stato un’e-mail convincente sul credito per il mantenimento dei dipendenti. Un’altra richiesta ha creato un’e-mail proveniente dall’IRS (Internal Revenue Service) relativa a un rimborso.

Come proteggersi dalle truffe durante la stagione fiscale

È molto importante ricordare che la maggior parte delle agenzie fiscali comunica direttamente attraverso la posta ordinaria e non via email o telefono.
Tuttavia, con la proliferazione di campagne di phishing e malware generate dall’intelligenza artificiale, può diventare quasi impossibile identificare quelle legittime da quelle illegittime.
Ciononostante, esistono ancora dei trucchi per riuscire a identificare le e-mail di phishing. Bisogna fare attenzione a:
  • Allegati insoliti. Meglio diffidare delle e-mail con allegati sospetti, come file ZIP o documenti che richiedono l’attivazione di macro.
  • Grammatica o tono non corretti. Sebbene l’intelligenza artificiale abbia migliorato la qualità delle e-mail di phishing, le incongruenze nel linguaggio o nel tono possono ancora essere segnali di allarme.
  • Richieste sospette. Tutte le e-mail che richiedono informazioni sensibili o che fanno richieste insolite devono essere trattate con scetticismo.

Rimanere al sicuro

  • Non rispondere, non cliccare sui link e non aprire gli allegati. L’interazione con un’e-mail sospetta non fa che aumentarne il rischio.
  • Segnalare e cancellare. Segnalare le e-mail sospette prima di cancellarle può aiutare a proteggere gli altri dal rischio di cadere vittime di truffe simili.
  • Investire in soluzioni anti-phishing. Strumenti come Check Point Harmony Email & Collaboration Suite Security offrono una protezione completa contro i tentativi di phishing, salvaguardando le vostre comunicazioni digitali.