
Betrug mit Lohnsteuerbescheinigungen: Wie man sich vor dieser jährlichen Bedrohung schützen kann
„E-Mail 15. Januar 2022
Von: Sandys Chef, dem CFO
An: Sandy, Payroll Administrator
Hey Sandy, bitte schick mir alle Lohnsteuerbescheinigungen der Mitarbeiter der Marketingabteilung. Ich muss einem möglichen Problem nachgehen. Danke!
-Dein Chef.“
Tu es nicht, Sandy.
Langjährige Leser dieser Seite erkennen diesen Blog-Beitrag sicher bereits als einen der jedes Jahr regelmäßig wiederkehrenden Beiträge. Wir wollen damit während der Steuersaison das Bewusstsein für die sehr beliebte und äußerst erfolgreiche Welle von Betrugsversuchen mit Lohnsteuerbescheinigungen erhöhen, die jedes Jahr um diese Zeit auftauchen. Und um Sie über die neuesten Techniken zu informieren, die Sie zur Vereitelung dieser Betrügereien einsetzen können.
Warum Lohnsteuerbescheinigungen?
Für Cyberkriminelle ist die Steuersaison wie Weihnachten. Das liegt daran, dass fast jeder Arbeitnehmer in den USA von seinem Arbeitgeber eine Lohnsteuerbescheinigung erhält und viele Millionen dieser Formulare von praktisch jedem Unternehmen im Land erstellt, verarbeitet, intern übertragen und extern (digital oder in gedruckter Form) übermittelt werden.Sehen wir uns eine Lohnsteuerbescheinigung einmal an. Sie enthält Ihren Namen, Ihre Adresse, Ihre Sozialversicherungsnummer, Ihren Arbeitgeber und dessen Adresse, die Steueridentifikationsnummer Ihres Arbeitgebers und natürlich Ihr Gehalt und Ihre einbehaltenen Steuern. So ziemlich das Einzige, was einem Kriminellen zu seinem Glück fehlt, sind Ihr Geburtsdatum und der Mädchenname Ihrer Mutter. Und wenn sie diese Informationen nicht woanders finden können, sollten sie in einem anderen Job sein, oder eher kriminell.Identitätsmissbrauch ist also ein mögliches Ziel für Betrüger, die es auf Lohnsteuerbescheinigungen abgesehen haben. Gelingt es ihnen hingegen, eine große Anzahl von Lohnsteuerbescheinigungen zu sammeln, können sie diese im Dark Web leichter zu Geld machen, wo es einen florierenden Markt für personenbezogene Daten (PID) gibt, insbesondere für Sozialversicherungsnummern und Finanzinformationen.
Immer häufiger werden gestohlene Lohnsteuerbescheinigungen verwendet, um falsche Steuererklärungen beim Finanzamt einzureichen, um den Opfern möglicherweise zustehende Steuerrückerstattungen zu kassieren, bevor diese selbst ihre Steuererklärung einreichen. Es gibt nur wenige Dinge, die so beunruhigend sind wie die Einreichung Ihrer Steuererklärung, nur um vom Finanzamt informiert zu werden, dass Ihre Steuererklärung bereits bearbeitet und die Erstattung ausgezahlt wurde. Wie Sie sich vorstellen können, bedeutet die Klärung eines derartigen Problems einen sehr großen Aufwand. Aber die gute Nachricht ist, dass das US-Finanzministerium eine gute Bilanz vorweisen kann, was die Festnahme der Gauner und die Wiederbeschaffung des Geldes angeht.
Phishing, CEO-Impersonation und Business Email Compromise
Wie kommen Betrüger überhaupt in den Besitz von Lohnsteuerbescheinigungen? Es gibt viele bestimmte Methoden, aber letztlich laufen sie alle auf eines hinaus: Menschen zu täuschen.Es kann mit einer Phishing-E-Mail beginnen, die einen Mitarbeiter dazu verleitet, seine Netzwerk-Zugangsdaten preiszugeben. Anschließend nutzt der Betrüger diese Zugangsdaten zur Installation von Malware, die das Netzwerk nach Lohnsteuer-Dateien durchsucht und diese an eine bösartige Adresse exfiltriert.
Oder der Betrüger könnte zunächst mit einem sorgfältig gestalteten Phishing-Angriff beginnen, der so aussieht, als käme er vom CFO persönlich, wie in dem anfänglichen Beispiel. Mithilfe von Informationen aus Social Media und öffentlich zugänglichen Unternehmenswebsites sind die Betrüger in der Lage, Details einzubauen, die die E-Mail sehr überzeugend wirken lassen, und die Absenderadresse kann von einer Typosquatting-Adresse kommen (z. B. „@acrne.com“ anstelle von „@acme.com“), die auf den ersten Blick keinen Verdacht erregt – vor allem wenn gerade Steuersaison ist und die Lohnbuchhaltung extrem viel um die Ohren hat.
Oder sie haben die E-Mail-Zugangsdaten des CFO bereits durch einen vorherigen Pishing-Angriff (Führungskräfte sind genauso anfällig wie andere Mitarbeiter, wenn nicht sogar noch mehr). Dann müssen sich die Betrüger nur bei diesem kompromittierten Konto anmelden und Sandra diese E-Mail senden, damit es keinen Hinweis mehr auf Betrug gibt.
Und das ist nur die Spitze des Eisbergs. Die Zugangsdaten könnten durch eine unentdeckte Datenverletzung vor Jahren gesammelt worden sein und sind nun im Dark Web zum erhältlich.
Aber irgendwann, in fast allen Fällen, wurde jemand getäuscht. Was uns zum Thema Gegenmaßnahmen bringt.
Gleichgewicht zwischen technischen und User-Awareness-Lösungen
Der erste Schritt, um zu verhindern, dass Ihre Angestellten Opfer von Betrugsversuchen werden, besteht darin, die Menge an bösartigen oder Phishing-E-Mails zu minimieren, die in deren Posteingängen landen. Wenn Sie Ihre E-Mail-Security schon länger nicht mehr aktualisiert haben, erleben Sie vielleicht eine positive Überraschung, denn in den Bereichen KI und maschinelles Lernen sind innovative neue Lösungskategorien entstanden, die Ihr Risiko drastisch reduzieren können.
- KI-gestützte Posteingangsschutzlösungen wie Barracuda Phishing Protection und Impersonation Protection nutzen maschinelles Lernen, um ein Modell der normalen Kommunikationsmuster in Ihrem Unternehmen zu erstellen, um Anomalien zu erkennen und zu blockieren, die auf Phishing- und Identitätsmissbrauchsversuche hinweisen, die sich der Erkennung durch herkömmliche E-Mail-Gateway-Produkte entziehen.
- Ein ähnlicher Lösungstyp ist Barracuda Account Takeover Protection, der unter anderem kompromittierte Konten aufspürt und erkennt, wenn Angreifer versuchen, Konten zu kompromittieren. Außerdem sorgt die Lösung für automatische Quarantäne kompromittierter Konten und das Auffinden und Entfernen bösartiger E-Mails aus Posteingängen.
- Eine „Zero Trust Network Access“-Lösung wie Barracuda CloudGen Access geht weit über VPN- und Single-Sign-on-Lösungen hinaus, um kontinuierlich mehrere Faktoren zu überwachen, wodurch sichergestellt wird, dass nur zugelassene Personen und Geräte an bekannten Standorten und zu bestimmten Zeiten auf Ihre Netzwerkressourcen zugreifen können.
- Und zu guter Letzt – und das ist das Wichtigste – ist es von entscheidender Bedeutung, eine Kultur des Sicherheitsbewusstseins innerhalb Ihres Unternehmens aufzubauen. Moderne Schulungslösungen zur Stärkung des Risikobewusstseins wie das Barracuda Security Awareness Training können dabei enorm hilfreich sein. Mit einer Mischung aus simulierten Phishing-Angriffen und fortgeschrittenen Schulungsmodulen erhöhen Lösungen wie diese nachweislich die Wahrscheinlichkeit, dass ein Phishing-Versuch von den Empfängern erkannt und gemeldet wird, erheblich. Die Gamification der Schulungen – z. B. durch die Vergabe von Preisen an die Mitarbeiter, die am erfolgreichsten bei der Erkennung von bösartigen E-Mails sind – fördert die echte Interaktion mit dem Prozess. Und dank der individuellen Ergebnisse können Sie die am stärksten gefährdeten Benutzer ausfindig machen und sie gezielt zusätzlich schulen.
- Wenn Ihre hochqualifizierten Benutzer einen echten Phishing-Versuch melden, können Sie mit einer automatisierten Lösung wie Barracuda Incident Response jede Instanz von jedem Posteingang in Sekunden oder Minuten statt Stunden oder Tagen finden und beseitigen.
Die anstrengende Steuersaison
Die Steuersaison ist für alle stressig (außer vermutliche für die Gauner die diesen Stress ausnutzen). Zusätzlich zu den oben aufgeführten Security-Maßnahmen gibt es noch einige andere wichtige Maßnahmen, die Sie ergreifen können, um Ihr Risiko zu minimieren, Opfer eines Lohnsteuerbetrugs zu werden. Der IRS Taxpayer's Guide to Identity Theft enthält zahlreiche nützliche Tipps und Informationen, die Ihnen helfen können, Identitätsdiebstahl zu vermeiden und ihn frühzeitig zu erkennen, wenn er auftritt.
Und denken Sie daran, dass die Steuersaison auch wieder zu Ende geht. Während es Phishing-Bedrohungen das ganze Jahr über gibt, lassen die Betrugsversuche mit Lohnsteuerbescheinigungen nach der Frist zur Steuerabgabe zumindest nach. Bis zum nächsten Jahr.