Wajib pajak AS berhati-hatilah! Penipuan pajak dan serangan malware merajalela saat mendekati batas waktu pajak tahun ini — sebagian besar didorong oleh penipuan phishing.
Dengan tenggat waktu pajak AS 18 April yang membayangi, penjahat dunia maya mulai beraksi. Pertama, kampanye phishing malware Emotet yang licik telah diluncurkan, menyamar sebagai email resmi formulir pajak W-9 yang dikirim dari Internal Revenue Service (IRS) dan perusahaan yang mungkin terhubung dengan kehidupan kerja Anda. Grup jahat yang dikenal sebagai Tactical#Octopus juga mencari mangsa dan ingin menyebarkan malware melalui unduhan file palsu yang diklaim terkait dengan pajak.
Selain itu, kami memperkirakan bahwa perusahaan harus mencari lebih banyak kontrol bisnis saat karyawan menggunakan Line dan WhatsApp di tempat kerja cloud. Mereka juga perlu meneliti risiko SMS, karena phisher terus memanfaatkannya untuk menipu orang demi uang mereka. Dan hanya masalah waktu sampai pelanggaran besar lainnya terjadi, yang berasal dari saluran komunikasi non-sanksi ini… Mari selami fakta lebih dalam dan prediksi bagaimana penjahat dunia maya akan mendatangkan malapetaka selama proses pelaporan pajak tahun ini.
Bahaya Malware Emotet
Emotet adalah Trojan modular yang dapat mencuri data sensitif dari sistem yang terinfeksi, menyebarkan malware tambahan, dan menghindari deteksi oleh perangkat lunak keamanan. Salah satu taktik terbaru yang digunakan oleh penjahat dunia maya untuk mendistribusikan Emotet adalah penipuan formulir pajak W-9 IRS palsu. Penipuan ini melibatkan pengiriman email dengan formulir W-9 palsu sebagai lampiran yang meminta pengguna mengaktifkan makro untuk melihat konten formulir. Setelah pengguna mengaktifkan makro, malware diunduh ke sistem mereka.
Selain email phishing dan penipuan pajak ini, Emotet juga dapat menyebar melalui exploit kit yang memanfaatkan kerentanan dalam perangkat lunak yang belum ditambal. Kit eksploitasi dapat dikirim melalui situs web jahat, malvertising (iklan jahat), atau server web yang disusupi. Setelah pengguna mengunjungi situs web yang menghosting kit eksploit, kit eksploit secara otomatis memindai sistem mereka untuk mencari kerentanan dan menyebarkan malware jika ditemukan kerentanan.
Malware ini sangat canggih dan dapat beradaptasi dengan lingkungan baru dengan cepat. Itu juga dapat berkomunikasi dengan server perintah dan kontrolnya untuk menerima instruksi dan pembaruan baru. Sifat modular malware Emotet berarti penjahat dunia maya dapat menambahkan kemampuan dan fitur baru ke malware untuk menyesuaikan dengan kebutuhan mereka.
Taktis#Gurita di Prowl
Pakar keamanan dunia maya juga memperingatkan tentang sekelompok peretas berbahaya yang dikenal sebagai Taktis#Octopus yang telah menyusun taktik berbahaya untuk mendapatkan akses ke perangkat korban yang tidak menaruh curiga: menyebarkan email yang memikat yang disamarkan dengan dokumen pajak yang tampaknya sah termasuk formulir W-2 dan I-9 sebagai baik kontrak pembelian real estat untuk menginfeksi mesin pengguna dengan malware berbahaya.
Menurut para peneliti, “Eksekusi kode dimulai saat pengguna mengklik dua kali file pintasan.” Biasanya, serangan dimulai dengan email yang berisi file .zip penipuan yang dilindungi kata sandi. Untuk menjual penipuan, file tersebut memiliki nama terkait pajak seperti “JRCLIENTCOPY3122.zip” atau “TitleContractDocs.zip”. File .zip juga berisi file .png dan file .lnk.
Penyerang kemudian mengakses komputer korban dengan meminta mereka mengunduh PDF yang tampaknya tidak berbahaya. Setelah dibuka dengan penampil default, file berbahaya ini memberi peretas kendali penuh atas sistem mesin. Para peneliti mengamati bahwa para peretas menggunakan alat seperti pelacakan data clipboard dan keylogging untuk melakukan aktivitas mereka tanpa terdeteksi.
“Kampanye TACTICAL#OCTOPUS secara keseluruhan relatif kompleks dari sudut pandang kompromi awal,” tambah para peneliti.
Aplikasi Pesan & Saluran Media Sosial di Bidik
Di luar ancaman yang menggantung di atas kepala pembayar pajak, tenggat waktu pajak yang akan datang juga memperburuk tantangan keamanan dunia maya lainnya. Pertama, perusahaan akan mencari lebih banyak kontrol bisnis saat karyawan menggunakan alat komunikasi seperti WhatsApp dan Line di tempat kerja cloud untuk berbagi data keuangan terkait pajak.
Meskipun WhatsApp adalah salah satu aplikasi perpesanan paling populer di dunia, aplikasi ini sering kali tidak disetujui sebagai alat komunikasi untuk industri yang diatur secara ketat seperti farmasi dan layanan keuangan. Itu tidak memiliki visibilitas, tidak ada analisis yang dapat diskalakan untuk lingkungan multi-bahasa, dan tidak ada kemampuan pengarsipan. Hal yang sama berlaku untuk aplikasi Line, meskipun diakui sebagai alternatif yang bagus untuk WhatsApp dan Facebook Messenger dan memiliki 178 juta pengguna aktif bulanan.
Aplikasi perpesanan dan saluran media sosial ini ditargetkan sebagai vektor serangan utama. Sekitar 45 persen komunikasi bisnis terjadi di saluran digital ini di luar email. Akibatnya, banyak yang ingin menerapkan kontrol yang lebih kuat bagi karyawan yang menggunakan jenis komunikasi ini. Langkah-langkah ini berkisar dari membatasi akses ke aplikasi atau saluran tertentu, bahkan sambil memastikan bahwa kebutuhan bisnis yang sah tetap dapat dipenuhi.
Penipu Terus Memanfaatkan SMS dan Smishing Attacks
Penjahat dunia maya semakin beralih ke SMS dan aplikasi pesan teks lainnya untuk tujuan jahat. Serangan layanan pesan singkat (SMS) ini dapat mengakibatkan kerusakan online yang serius, termasuk pencurian data pribadi dan penyebaran malware ke pengguna yang tidak mengetahuinya. Perusahaan akan meneliti risiko SMS secara lebih besar dalam beberapa bulan mendatang, kami perkirakan.
Serangan Smishing, seperti yang sering disebut, mengandalkan pesan SMS untuk menipu korban yang tidak menaruh curiga. Penipu akan menggunakan frasa manipulatif seperti “Laporan Aktivitas Tidak Biasa”, atau “Akun Anda sekarang telah ditangguhkan”, dan menyarankan solusi palsu dengan lampiran atau tautan untuk menipu orang dari data pribadi yang sensitif atau bahkan uang. Menurut Komisaris IRS Danny Werfel:
Penipuan email dan teks tidak henti-hentinya, dan penipu sering menggunakan musim pajak sebagai cara untuk menipu orang. Dengan orang-orang yang sangat ingin menerima informasi terbaru tentang pengembalian uang atau masalah pajak lainnya, scammers akan secara teratur berpura-pura sebagai IRS, agen pajak negara bagian, atau lainnya di industri pajak melalui email dan SMS. Orang-orang harus sangat waspada dengan pesan tak terduga seperti ini yang bisa menjadi jebakan, terutama selama musim pengarsipan.
IRS selanjutnya mengingatkan semua orang bahwa mereka mengikuti protokol komunikasi yang direncanakan dengan hati-hati untuk membantu melindungi pembayar pajak dari penipuan. Semua kontak resmi dengan individu dilakukan melalui surat biasa dan bukan melalui email, teks atau media sosial; ini berlaku baik untuk pemberitahuan tagihan pajak maupun pengembalian dana.
Saluran Tanpa Sanksi Pada Akhirnya Akan Menyebabkan Pelanggaran Besar
Terakhir, kami memperkirakan bahwa pelanggaran besar akan berasal dari saluran komunikasi yang tidak dikenai sanksi.
Hal ini pada akhirnya akan diakibatkan oleh proses keamanan dan kepatuhan yang lebih ketat yang mungkin memperlambat atau menghambat karyawan dalam bentuk atau bentuk tertentu. Ketika karyawan merasa dibatasi oleh solusi keamanan dan kepatuhan mereka, mereka mungkin melakukan tindakan ekstrem untuk melewati peraturan — membahayakan tindakan keselamatan perusahaan. Seperti yang kami perkirakan di awal tahun 2023, tren ini akan meningkat hingga tahun ini.
Hal ini akan menyebabkan meningkatnya ketegangan antara pekerja dan pemberi kerja, karena pemberi kerja berusaha untuk memastikan keamanan yang lebih besar sambil tetap mengizinkan pemberi kerja untuk melaksanakan pekerjaan mereka secara efisien.
Namun, penting untuk mengingatkan karyawan bahwa serangan rekayasa sosial dari saluran komunikasi milik karyawan disorot dalam berita setiap minggu. Penjahat dunia maya terus menargetkan karyawan bernilai tinggi di LinkedIn, Telegram, Line, dan WhatsApp untuk menyusup ke perusahaan. Kedua sisi organisasi — pemberi kerja dan karyawan — harus menemukan kompromi antara produktivitas dan keamanan.
Oleh karena itu, organisasi harus menyeimbangkan kontrol keamanan yang efektif dengan pengalaman pengguna, atau berisiko kehilangan akses ke platform komunikasi vital yang dapat berperan penting dalam mendorong kesuksesan bisnis. Pengusaha mungkin berjuang untuk menegakkan mandat dan kebijakan, tetapi pada akhirnya, mereka harus mempertimbangkan risiko versus imbalan.
Bagaimana Melindungi Terhadap Penipuan Pajak
Berikut ini adalah praktik terbaik yang dapat diterapkan individu dan organisasi untuk melindungi diri dari penipuan pajak:
Waspada saat menerima email atau lampiran yang tidak diminta dan verifikasi identitas pengirim sebelum membuka atau mengunduh file apa pun. Jangan mengklik tautan atau membuka lampiran dalam email dari sumber yang tidak dikenal, dan selalu periksa ulang alamat email dan konten pengirim untuk melihat tanda-tanda upaya phishing. Aktifkan pemblokiran makro di Microsoft Office untuk mencegah serangan berbasis makro dan menjaga perangkat lunak tetap aktif sampai saat ini untuk mencegah eksploit mengambil keuntungan dari kerentanan yang diketahui. Banyak kampanye menggunakan makro berbahaya untuk mengirimkan malware, jadi sangat penting untuk memblokir makro secara default dan hanya mengizinkannya dalam dokumen tepercaya.Gunakan solusi keamanan dunia maya terkemuka yang dapat mendeteksi dan memblokir Emotet dan mencadangkan data penting secara rutin untuk mencegah kehilangan data akibat serangan ransomware. Platform keamanan siber seperti SafeGuard Cyber dapat mendeteksi dan menghapus malware dan perangkat lunak berbahaya lainnya. Mencadangkan data memastikan bahwa Anda tidak kehilangan file penting jika terjadi serangan ransomware. Didik karyawan Anda tentang cara mengidentifikasi dan melaporkan upaya phishing dan aktivitas mencurigakan lainnya ke departemen TI atau otoritas setempat untuk membantu mencegah serangan di masa mendatang. Pelatihan kesadaran keamanan secara rutin dapat membantu karyawan mengidentifikasi dan menghindari serangan phishing, email yang mencurigakan, dan taktik rekayasa sosial.
Karena tenggat waktu pajak semakin dekat dan ancaman keamanan seperti malware Emotet dan Tactical#Octopus aktif, perusahaan harus memperhatikan potensi ancaman keamanan siber yang dapat muncul dari tempat kerja dengan alat komunikasi berbasis cloud seperti Telegram, Line, atau WhatsApp. SMS sangat rentan terhadap penipuan phishing untuk keuntungan moneter ilegal — sehingga hanya masalah waktu sebelum pelanggaran besar berikutnya menjadi kenyataan.
Dengan menerapkan praktik terbaik ini, individu dan organisasi dapat tetap terlindungi dari penipuan pajak ini. Ingatlah bahwa mencegah selalu lebih baik daripada mengobati, dan berinvestasi dalam tindakan dan pelatihan keamanan siber dapat sangat membantu dalam mengurangi risiko yang terkait dengan ancaman ini.
Kredit Gambar: Ivelin Radkov/Shutterstock
Steven Spadaccini, Wakil Presiden Intelijen Ancaman, SafeGuard Cyber. Steven adalah eksekutif siber senior berpengalaman dengan pengalaman lebih dari 20 tahun bekerja untuk beberapa perusahaan keamanan siber dan teknologi terkemuka di dunia. Sebelum bergabung dengan SafeGuard Cyber, Steven memegang posisi senior VP leadership di Absolute, Trend Micro, Imperva, FireEye (Trellix), dan DTEX Systems serta beberapa startup keamanan cyber lainnya.
