„E-Mail 15. Januar 2022
Von: Sandras Chef, CFO
An: Sandra, Lohnbuchhalterin
Hallo Sandra, schicken Sie mir bitte alle Lohnsteuerbescheinigungen der Marketingmitarbeiter. Ich muss einem möglichen Problem nachgehen. Vielen Dank!
– Ihr Chef“
Tun Sie das besser nicht, Sandra.
Langjährige Leser dieser Seite erkennen diesen Blog-Beitrag sicher bereits als einen der jedes Jahr regelmäßig wiederkehrenden Beiträge. Wir wollen damit während der Steuersaison das Bewusstsein für die sehr beliebte und äußerst erfolgreiche Welle von Betrugsversuchen mit Lohnsteuerbescheinigungen erhöhen, die jedes Jahr um diese Zeit auftauchen. Und um Sie über die neuesten Techniken zu informieren, die Sie zur Vereitelung dieser Betrügereien einsetzen können.
Warum Lohnsteuerbescheinigungen?
Für Cyberkriminelle ist die Steuersaison wie Weihnachten. Das liegt daran, dass fast jeder Arbeitnehmer in den USA von seinem Arbeitgeber eine Lohnsteuerbescheinigung erhält und viele Millionen dieser Formulare von praktisch jedem Unternehmen im Land erstellt, verarbeitet, intern übertragen und extern (digital oder in gedruckter Form) übermittelt werden.
Nehmen wir eine Lohnsteuerbescheinigung einmal unter die Lupe. Sie enthält Ihren Namen, Ihre Adresse, Ihre Sozialversicherungsnummer, Ihren Arbeitgeber und dessen Adresse, die Steueridentifikationsnummer Ihres Arbeitgebers und natürlich Ihr Gehalt und Ihre einbehaltenen Steuern. So ziemlich das Einzige, was einem Kriminellen zu seinem Glück fehlt, sind Ihr Geburtsdatum und der Mädchenname Ihrer Mutter. Und wenn sie diese Informationen nicht an anderer Stelle nicht finden können, sind sie im falschen Beruf.
Identitätsmissbrauch ist also ein mögliches Ziel für Betrüger, die es auf Lohnsteuerbescheinigungen abgesehen haben. Gelingt es ihnen hingegen, eine große Anzahl von Lohnsteuerbescheinigungen zu sammeln, können sie diese im Dark Web leichter zu Geld machen, wo es einen florierenden Markt für personenbezogene Daten (PID) gibt, insbesondere für Sozialversicherungsnummern und Finanzinformationen.
Immer häufiger werden gestohlene Lohnsteuerbescheinigungen verwendet, um falsche Steuererklärungen beim Finanzamt einzureichen, um den Opfern möglicherweise zustehende Steuerrückerstattungen zu kassieren, bevor diese selbst ihre Steuererklärung einreichen. Es gibt nur wenige Dinge, die so beunruhigend sind wie die Einreichung Ihrer Steuererklärung, nur um vom Finanzamt informiert zu werden, dass Ihre Steuererklärung bereits bearbeitet und die Erstattung ausgezahlt wurde. Wie Sie sich vorstellen können, bedeutet die Klärung eines derartigen Problems einen sehr großen Aufwand. Aber die gute Nachricht ist, dass das US-Finanzministerium eine gute Bilanz vorweisen kann, was die Festnahme der Gauner und die Wiederbeschaffung des Geldes angeht.
Phishing, CEO-Impersonation und Business Email Compromise
Wie kommen Betrüger überhaupt in den Besitz von Lohnsteuerbescheinigungen? Es gibt viele bestimmte Methoden, aber letztlich laufen sie alle auf eines hinaus: Die Täuschung von Menschen.
Es könnte mit einer Phishing-E-Mail beginnen, die einen Mitarbeiter dazu verleitet, seine Netzwerkanmeldedaten preiszugeben. Anschließend nutzt der Betrüger diese Anmeldedaten zur Installation von Malware, die das Netzwerk nach Lohnsteuer-Dateien durchsucht und diese an eine bösartige Adresse exfiltriert.
Oder der Betrüger könnte zunächst mit einem sorgfältig gestalteten Phishing-Angriff beginnen, der so aussieht, als käme er vom CFO persönlich, wie in dem anfänglichen Beispiel. Mithilfe von Informationen aus Social Media und öffentlich zugänglichen Unternehmenswebsites sind die Betrüger in der Lage, Details einzubauen, die die E-Mail sehr überzeugend wirken lassen, und die Absenderadresse kann von einer Typosquatting-Adresse kommen (z. B. „@acrne.com“ anstelle von „@acme.com“), die auf den ersten Blick keinen Verdacht erregt – vor allem wenn gerade Steuersaison ist und die Lohnbuchhaltung extrem viel um die Ohren hat.
Eine andere Möglichkeit ist das Abgreifen von E-Mail-Zugangsdaten des Finanzvorstands (Führungskräfte sind genauso anfällig wie andere Mitarbeiter, wenn nicht sogar noch anfälliger). Dann müssen sich die Betrüger nur bei diesem kompromittierten Konto anmelden und Sandra diese E-Mail senden, damit es keinen Hinweis mehr auf Betrug gibt.
Und das ist nur die Spitze des Eisbergs. Die Zugangsdaten könnten durch eine unentdeckte Datenpanne vor Jahren gesammelt worden sein und nun im Dark Web zum Kauf bereitstehen.
Aber in fast jedem Fall wurde irgendwann irgendjemand getäuscht. Was uns zum Thema Gegenmaßnahmen bringt.
Gleichgewicht zwischen technischen und User-Awareness-Lösungen
Der erste Schritt, um zu verhindern, dass Ihre Mitarbeiter Opfer von Betrügereien werden, besteht darin, die Menge an bösartigen oder Phishing-E-Mails zu minimieren, die in den Posteingängen landen. Wenn Sie Ihre E-Mail-Security schon länger nicht mehr aktualisiert haben, erleben Sie vielleicht eine positive Überraschung, denn in den Bereichen KI und maschinelles Lernen sind innovative neue Lösungskategorien entstanden, die Ihr Risiko drastisch reduzieren können.
- KI-gestützte Posteingangsschutzlösungen wie Barracuda Phishing Protection und Impersonation Protection nutzen maschinelles Lernen, um ein Modell der normalen Kommunikationsmuster in Ihrem Unternehmen zu erstellen, um Anomalien zu erkennen und zu blockieren, die auf Phishing- und Identitätsmissbrauchsversuche hinweisen, die sich der Erkennung durch herkömmliche E-Mail-Gateway-Produkte entziehen.
- Ein ähnlicher Lösungstyp ist Barracuda Account Takeover Protection, der unter anderem kompromittierte Konten aufspürt und erkennt, wenn Angreifer versuchen, Konten zu kompromittieren. Außerdem sorgt die Lösung für automatische Quarantäne kompromittierter Konten und das Auffinden und Entfernen bösartiger E-Mails aus Posteingängen.
- Eine „Zero Trust Network Access“-Lösung wie Barracuda CloudGen Access geht weit über VPN- und Single-Sign-on-Lösungen hinaus, um kontinuierlich mehrere Faktoren zu überwachen, wodurch sichergestellt wird, dass nur zugelassene Personen und Geräte an bekannten Standorten und zu bestimmten Zeiten auf Ihre Netzwerkressourcen zugreifen können.
- Und zu guter Letzt – und das ist das Wichtigste – ist es von entscheidender Bedeutung, eine Kultur des Sicherheitsbewusstseins innerhalb Ihres Unternehmens aufzubauen. Moderne Schulungslösungen zur Stärkung des Risikobewusstseins wie das Barracuda Security Awareness Training können dabei enorm hilfreich sein. Mit einer Mischung aus simulierten Phishing-Angriffen und fortgeschrittenen Schulungsmodulen erhöhen Lösungen wie diese nachweislich die Wahrscheinlichkeit, dass ein Phishing-Versuch von den Empfängern erkannt und gemeldet wird, erheblich. Die Gamification der Schulungen – z. B. durch die Vergabe von Preisen an die Mitarbeiter, die am erfolgreichsten bei der Erkennung von bösartigen E-Mails sind – fördert die echte Interaktion mit dem Prozess. Und dank der individuellen Ergebnisse können Sie die am stärksten gefährdeten Benutzer ausfindig machen und sie gezielt zusätzlich schulen.
- Wenn Ihre hochqualifizierten Benutzer einen echten Phishing-Versuch melden, können Sie mit einer automatisierten Lösung wie Barracuda Incident Response jede Instanz von jedem Posteingang in Sekunden oder Minuten statt Stunden oder Tagen finden und beseitigen.
Die anstrengende Steuersaison
Die Steuersaison ist für alle stressig (außer für die Betrüger, die diesen Stress ausnutzen). Zusätzlich zu den oben aufgeführten Sicherheitsmaßnahmen gibt es noch einige andere wichtige Schritte, die Sie ergreifen können, um Ihr Risiko zu minimieren, Opfer eines Lohnsteuerbetrugs zu werden. Der IRS-Taxpayer-Leitfaden für Identitätsdiebstahl enthält viele nützliche Tipps und Informationen, mit denen Sie Identitätsdiebstahl vermeiden und gegebenenfalls frühzeitig erkennen können.
Und denken Sie daran, dass die Steuersaison auch wieder zu Ende geht. Während es Phishing-Bedrohungen das ganze Jahr über gibt, lassen die Betrugsversuche mit Lohnsteuerbescheinigungen nach der Frist zur Steuerabgabe zumindest nach. Bis zum nächsten Jahr.
Finden Sie versteckte Bedrohungen in Ihren Office 365-Postfächern
Der Veteran Tony Burgess ist seit zwanzig Jahren in der IT-Sicherheitsbranche tätig und Senior Copywriter von Barracuda für Content und Customer Marketing. In dieser Funktion beschäftigt er sich mit komplexen technischen Themen und fasst seine Erkenntnisse in verständlicher, nützlicher und von Menschen lesbarer Prosa zusammen.