Mimecast Logo
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Email & Collaboration Threat Protection

    Der RAT-Steuerbetrug zielt auf Buchhaltungsfirmen ab

    Cyberkriminelle nutzen die Steuersaison aus, um Buchhalter mit ausgeklügelten E-Mail-Betrügereien auszuspionieren

    by Samantha Clarke

    Wichtige Punkte

    • Nach Angaben von Mimecast Threat Intelligence werden fortschrittliche Malware-Methoden ausgenutzt, um mega.nz, ScreenConnect und ESPs wie Sendgrid werden genutzt, um die traditionellen Sicherheitsvorkehrungen während der Steuerfrist in den USA zu umgehen. 
    • Buchhalter sind während der amerikanischen Steuersaison ein Hauptziel für Cyberkriminelle. Sie sind Opfer von Social-Engineering-Angriffen in Kombination mit Remote-Access-Trojanern, die als RAT-Steuerbetrug bekannt sind und sich ihre Müdigkeit und Überforderung während dieser arbeitsreichen Zeit zunutze machen.
    • Die Bedrohungsforscher von Mimecast haben RAT-Steuerbetrügereien aufgedeckt, die zeigen, wie Cyberkriminelle ihren Weg zu einem Opfer finden. In der zweiten Februarhälfte 2025 wurden Wirtschaftsprüfungsunternehmen in erheblichem Umfang mit steuerbezogenen Social Engineering-E-Mails angegriffen. 

    Während der Steuersaison werden Buchhaltungsfirmen, die oft hektisch und überlastet sind, zu bevorzugten Zielen für Cyberattacken. Eine der heimtückischsten Methoden ist der RAT-Steuerbetrug (Remote Access Trojan), bei dem Social Engineering und malware eingesetzt werden, um wichtige Anmeldeinformationen und sensible Kundendaten zu stehlen. Lesen Sie weiter, um die Mechanismen des RAT-Steuerbetrugs zu entschlüsseln, die Techniken der Angreifer zu untersuchen und Tipps zur Verteidigung gegen solche Bedrohungen zu erhalten.

    Das zweischneidige Schwert der Steuersaison 

    Für viele Amerikaner ist die Steuersaison ein Zeichen der Erleichterung (oder des Schreckens), je nachdem, ob Erstattungen oder Abgaben anstehen. Für Buchhalter bedeutet dieser jährliche Ansturm jedoch lange Stunden, in denen sie mit einem hohen Arbeitspensum und engen Fristen jonglieren müssen. In dieser Zeit erwirtschaften Wirtschaftsprüfungsgesellschaften oft einen erheblichen Teil ihres Jahresumsatzes, während sie gleichzeitig einen Zustrom von regelmäßigen Einreichungen und neuen Kunden bewältigen, die Unterstützung suchen. 

    Leider bietet diese stressige Zeit eine günstige Gelegenheit für Cyberkriminelle, die die für die Steuersaison typischen Ablenkungen nutzen, um Angriffe zu starten. 

    Warum Buchhalter Hauptziele sind 

    Buchhalter sind attraktive Ziele, da sie sowohl Zugang zu Finanzsystemen als auch zu PII (Persönlich Identifizierbare Informationen) haben. Von kleinen CPA-Firmen bis hin zu multinationalen Buchhaltungskonzernen - die Belohnungen für Cyberkriminelle sind immens. Erschwerend kommt hinzu, dass die Steuersaison oft mit der Generierung von Neugeschäft verbunden ist, so dass Buchhalter eher geneigt sind, scheinbar legitimen Anfragen von potenziellen Kunden zu vertrauen. 

    Was ist der RAT-Steuerbetrug? 

    Das Herzstück des Systems ist die Verwendung von Remote Access Trojanern (RATs). RATs sind fortschrittliche Malware-Programme, die es Angreifern ermöglichen, das Gerät eines Opfers zu übernehmen, sobald sie heruntergeladen sind. So können sie die Aktivitäten in Echtzeit überwachen, Tastatureingaben protokollieren und Screenshots aufnehmen. Das Endziel? Zugang zu sensiblen Konten oder Kundendaten zu erhalten. 

    Was RATs besonders gefährlich macht, ist ihre heimliche Natur. Sobald sie aktiv sind, arbeiten sie im Hintergrund, oft unbemerkt vom Benutzer.

    Wie der RAT-Steuerbetrug funktioniert 

    Schritt 1: Die Köder-E-Mail 

    Bedrohungsakteure beginnen damit, Buchhalter zu recherchieren und ihre E-Mail-Adressen über öffentliche Quellen oder verletzte Datenbanken zu finden. Mit diesen Informationen ausgestattet, senden sie eine erste Anfrage per E-Mail, die legitim erscheint und sich in der Regel als potenzieller Kunde ausgibt. 

    Ein Betrüger könnte zum Beispiel behaupten, dass ihr üblicher Buchhalter in den Ruhestand gegangen ist und sie dringend Hilfe bei der Steuererklärung benötigen. Die E-Mail enthält keine bösartigen Links oder Anhänge, so dass sie harmlos erscheint und die E-Mail-Sicherheitsfilter umgangen werden. 

    Beispiel aus einer aktuellen Kampagne Mimecast gestoppt:

    In der zweiten Februarhälfte 2025 hat Mimecast einen deutlichen Anstieg von Social Engineering-Angriffen auf Wirtschaftsprüfungsunternehmen festgestellt. 

    Betrüger heben ihre Nutzlast oft für spätere E-Mails auf. Sie schlagen vor, frühere Steuerunterlagen in der Folgekorrespondenz beizufügen. In diesem Stadium testen sie vor allem, wie aufnahmefähig die Buchhalter sind. 

     

    Schritt 2: Einhaken des Ziels 

    Buchhalter, die in ihrer arbeitsreichsten Zeit unbedingt einen neuen Kunden gewinnen wollen, reagieren oft prompt. An diesem Punkt sind sie "süchtig" geworden - der Angreifer hat jetzt ihr Vertrauen. 

    Schritt 3: Die bösartige Nachbereitung 

    Der Bedrohungsakteur schickt eine zweite E-Mail, in der er behauptet, die versprochenen Unterlagen (z.B. frühere Steuererklärungen oder Ausweise) zu enthalten. In der zweiten E-Mail ist eine bösartige Datei eingebettet, die einen irreführenden Dateinamen wie "ClientTaxDocument.pdf.exe" trägt. 

    Die Datei könnte zu einer gemeinsam genutzten Hosting-Site wie mega.nz führen, um ihre Absichten weiter zu verschleiern. Nach dem Download führt die Datei Malware wie ScreenConnect aus, ein Tool, das die Fernsteuerung des Geräts des Opfers ermöglicht. 

    Eine trügerische Einrichtung 

    Eine Variante dieses Angriffs beinhaltet sogar eine gefälschte Aufnahme des angeblichen "früheren Buchhalters des Opfers." Diese Art des Social Engineering erzeugt die Illusion von Legitimität und verleitet ahnungslose Benutzer dazu, die malware zu aktivieren. 

    Schritt 4: Fernzugriff und Datenschutzverletzungen 

    Sobald der RAT aktiv ist, beginnt der Angreifer mit dem Sammeln von Daten. Dazu können Anmeldedaten, personenbezogene Daten von Kunden (z.B. Sozialversicherungsnummern, Finanzdaten) und sogar die Systemzugangscodes des Buchhalters gehören. 

    Angreifer könnten ScreenConnect auch nutzen, um zusätzliche malware zu installieren, wie z.B. Info-Stealer oder ransomware. Letztere könnten die Systeme des Unternehmens verschlüsseln und den Betrieb lahmlegen, bis ein Lösegeld gezahlt wird. 

    Das größere Bild 

    Die Folgen eines erfolgreichen RAT-Steuerbetrugs können katastrophal sein. Gestohlene Zugangsdaten ermöglichen es Hackern, Unternehmen zu infiltrieren, den Betrieb zu stören und Kundendaten zu gefährden. Angreifer können mit diesen Zugangsdaten auch sensible Bankkonten, Kundendatenbanken und Finanzsysteme freischalten. 

    Die Rolle der modernen Phishing-Kampagnen 

    Es ist erwähnenswert, dass 2024 raffiniertere Phishing-Kampagnen über vertrauenswürdige E-Mail-Dienstleister (ESPs) wie Sendgrid durchgeführt wurden. Die Verwendung legitimer ESPs verschleiert die böswilligen Absichten dieser E-Mails zusätzlich. 

    Dies unterstreicht die Notwendigkeit für Buchhalter, die Quellen von Dateien, die per E-Mail ausgetauscht werden, doppelt zu prüfen und beim digitalen Onboarding neuer Kunden mit der gebotenen Sorgfalt vorzugehen. 

    Verteidigungsstrategien gegen RAT-Angriffe 

    1. Bilden Sie Ihr Team aus 

    Schulungen zur Cybersicherheit sind von größter Bedeutung, insbesondere in Zeiten mit hohem Risiko wie der Steuerzeit. Bringen Sie Ihren Mitarbeitern bei, wie sie Phishing-Versuche erkennen und die Identität ihrer Kunden per Telefon oder auf andere Weise überprüfen, bevor sie auf verdächtige Links klicken oder Dateien herunterladen. 

    2. Implementieren Sie starke E-Mail-Sicherheit 

    Setzen Sie Lösungen ein, die Phishing-Versuche erkennen können, auch wenn es keine bösartigen Links oder Anhänge gibt. E-Mail-Authentifizierungsprotokolle wie DKIM (DomainKeys Identified Mail) und SPF (Sender Policy Framework) können helfen, Domain-Spoofing zu verhindern. Es ist wichtig, Lösungen zu verwenden, die kompromittierende business email erkennen und sie vor der Zustellung stoppen können, um ein mögliches Engagement zu vermeiden.

    3. Seien Sie vorsichtig mit Dateierweiterungen 

    Ermuntern Sie Ihr Team, die Dateierweiterungen zu überprüfen, bevor Sie Anhänge öffnen. Dateien, die auf ".exe" enden, sind ausführbare Programme und sollten sofort aufhorchen lassen, wenn sie nicht durch vertrauenswürdige Quellen überprüft wurden. 

    4. Tools für den Fernzugriff einschränken 

    Viele Cyberkriminelle nutzen legitime Tools wie ScreenConnect, um sich Zugang zu Geräten zu verschaffen. Schränken Sie diese Art von Programmen ein und genehmigen Sie ihre Nutzung nur über genehmigte IT-Protokolle. 

    5. Führen Sie regelmäßig Systemaudits durch 

    Überprüfen Sie die Netzwerksysteme während der Steuersaison genau auf ungewöhnliche Aktivitäten. Verdächtiger Netzwerkverkehr oder plötzliche Änderungen im Dateiverhalten sollten sofortige Untersuchungen auslösen. 

    6. Sicherstellen, dass die Datensicherungen sicher sind 

    Sichern Sie alle Kundendateien und sensiblen Daten regelmäßig und speichern Sie sie an einem sicheren Offline-Speicherort. Dadurch wird die Widerstandsfähigkeit des Unternehmens im Falle eines Ransomware-Angriffs sichergestellt. 

    7. Verwenden Sie Software zum Schutz von Endgeräten 

    Fortschrittliche Lösungen zur Erkennung und Reaktion auf Endgeräte (EDR) können bösartige Aktivitäten wie RATs identifizieren, bevor sie erheblichen Schaden anrichten.

    Das Mitnehmen

    Der RAT-Steuerbetrug ist ein Beispiel für die zunehmende Raffinesse von Cyber-Bedrohungen, die auf Wirtschaftsprüfungsunternehmen abzielen. Angreifer nutzen das Chaos der Steuersaison, um mit Social Engineering und malware in Unternehmen einzudringen, wertvolle Daten zu stehlen und den Betrieb zu stören.

    Um diesen Bedrohungen entgegenzuwirken, müssen Wirtschaftsprüfungsunternehmen der Cyber-Resilienz Vorrang einräumen, robuste E-Mail-Sicherheitsmaßnahmen ergreifen, Programme zur Sensibilisierung der Mitarbeiter für die Cybersicherheit einführen und in Hochrisikoperioden wachsam bleiben. 

    Wenn Sie immer einen Schritt voraus sind, kann Ihr Unternehmen sicherstellen, dass die Hacker in der Steuersaison auf Abstand gehalten werden. Wenn Sie wissen möchten, wie Sie die Cybersicherheit in Ihrem Unternehmen verbessern können, besuchen Sie den Threat Intelligence Hub oder laden Sie den aktuellen Global Threat Intelligence Report herunter

     

    10BLOG_1.jpg
    Nächster Punkt
    Email & Collaboration Threat Protection |
    6 Wege, wie Mimecast E-Mails in Microsoft 365 schützt

    Verwandte Artikel

    Email & Collaboration Threat Protection
    Untersuchung von Fehlverhalten in Slack und Microsoft Teams: Dos, Don'ts und Überlegungen zum Datenschutz
    Email & Collaboration Threat Protection
    Australien im Visier: Das alarmierende Ausmaß von Betrügereien mit Regierungsidentitäten
    Email & Collaboration Threat Protection
    Warum Mimecast den Kampf gegen E-Mail-Betrug im Jahr 2024 anführt

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang