Usurpation d'identité de l'organisme allemand chargé de la fiscalité et de l'assurance accidents
3 juin 2025
Par l'équipe de recherche sur les menaces de Mimecast
Ce que vous apprendrez dans cette notification
- Les pirates exploitent la confiance accordée aux institutions en se faisant passer de manière sophistiquée pour l'administration fiscale allemande.
- Ces e-mails semblent être générés par des scripts de spam personnalisés, avec des en-têtes Thunderbird falsifiés et une grande variabilité au niveau des objets et des adresses e-mail d'expédition.
- Ciblant principalement des organisations en Allemagne à des fins financières
L'équipe de recherche sur les menaces surveille depuis début mai 2025 les campagnes de fraude visant des organisations allemandes. Cette campagne met l'accent sur deux organismes importants : l'Office central des impôts allemand (BZSt) et l'organisme allemand d'assurance accidents du travail pour le secteur de l'alimentation et de la restauration (BGN). Bien que ces organismes ne soient pas des entités officielles du secteur public, ils jouent un rôle important dans la gestion des questions fiscales et de sécurité sociale en Allemagne.
L'annonce met l'accent sur deux domaines et comprend une pièce jointe sous forme de facture.
- Présentation du module numérique de prévention de la DGUV :
- Exemple d'objet : Présentation du module numérique de prévention de la DGUV
- Contenu : rend la participation obligatoire, présente les avantages et précise les délais impératifs de mise en conformité et de paiement.
- Rappel de paiement concernant la déclaration d'impôts 2023
- Exemple d'objet : Zahlungserinnerung : Steuererklärung 2023 (Rappel de paiement : déclaration d'impôts 2023)
- Contenu : vous informe qu'une redevance est due au titre de la déclaration fiscale d'un montant de x, vous invite à ouvrir le fichier PDF ci-joint pour plus de détails et souligne l'urgence du paiement.
Principales caractéristiques de la campagne
Messages sophistiqués en allemand
Ces e-mails frauduleux sont rédigés dans un allemand formel et soigné, imitant le ton et le style des communications officielles des autorités. Cela renforce la crédibilité des messages et les rend plus convaincants aux yeux des utilisateurs finaux.
Domaines falsifiés imitant les autorités fiscales et la BGN
Les auteurs de ces attaques utilisent des domaines similaires qui ressemblent fortement à ceux d'organismes fiscaux allemands légitimes et aux communications de la BGN. Ces noms de domaine sont conçus pour induire les destinataires en erreur et leur faire croire que ces e-mails proviennent de sources officielles. Voici quelques exemples de domaines usurpés :
Pour BZSt :
- bzst-abwicklung.de (traitement)
- bzst-forderung.de (créance)
- bzst-rechnungen.de (facture)
- bzst-einzahlung.de (dépôt/paiement)
- bzst-zahlung.de (paiement)
Pour BGN :
- bgn-abwicklung.de (traitement)
- bgn-bezahlung.de (paiement)
- bgn-einzahlung.de (acompte/paiement)
- bgn-forderung.de (demande/réclamation)
- bgn-transfer.de (transfert)
- bgn-zahlstelle.de (bureau de paiement)
Les conventions de dénomination de ces domaines s'alignent sur la terminologie fiscale et celle de la sécurité sociale, ce qui renforce encore leur légitimité aux yeux des destinataires.
Génération automatisée de fichiers PDF
Ces e-mails contiennent tous des factures au format PDF qui ont été générées à l'aide d'un logiciel réputé pour sa capacité à créer des fichiers PDF dynamiques et personnalisés, que les pirates utilisent pour adapter les documents à chaque destinataire. Ces fichiers PDF contiennent souvent des instructions de paiement frauduleuses.
Données financières frauduleuses
L'un des indicateurs majeurs d'une activité frauduleuse dans ces campagnes est la présence de coordonnées bancaires espagnoles dans les pièces jointes. Ces éléments ne correspondent pas à des activités allemandes légitimes et constituent un signal d'alerte. Voici quelques exemples d'informations financières frauduleuses :
- IBAN: ES26 2100 1779 5102 0063 0566
- Code BIC: CAIXESBBXXX (CaixaBank, Espagne)
Protection Mimecast
Nous avons identifié plusieurs caractéristiques dans les campagnes récentes qui ont été intégrées à nos capacités de détection. Nous continuons à surveiller l'évolution des techniques utilisées par ce groupe malveillant.
Objectifs:
Des entreprises à vocation principalement allemande issues de divers secteurs d'activité
CIO
Domaines d'envoi
bgn-abwicklung[.]de
bgn-bezahlung[.]de
bgn-einzahlung[.]de
bgn-forderung[.]de
bgn-transfer[.]de
bgn-zahlstelle[.]de
bgn-zahlungen[.]de
bzst-abwicklung[.]de
bzst-einzahlung[.]de
bzst-forderung[.]de
bzst-rechnungen[.]de
bzst-zahlung[.]de
Objets d'e-mails
Déclaration d'impôts 2023 – Vérification de l'état d'avancement recommandée
Rappel concernant la remise des documents fiscaux 2023
Informations actuelles concernant votre déclaration d'impôts
Aperçu de la déclaration d'impôts 2023 déjà déposée
Informations concernant la déclaration d'impôts 2023
Message concernant le traitement de votre déclaration d'impôts
Remarque concernant le dépassement du délai de dépôt de la déclaration d'impôts
Communication concernant le statut de dépôt de votre déclaration d'impôts
Dépôt de vos documents fiscaux – bref aperçu
Documents fiscaux 2023 – informations complémentaires
Recommandations
- Formation de sensibilisation à la sécurité des utilisateurs
- Sensibilisez les utilisateurs aux dernières techniques d'hameçonnage utilisées dans ces campagnes
- Organisez régulièrement des simulations de Phishing afin d'intégrer les dernières menaces
- Apprenez aux utilisateurs à ne jamais ouvrir les pièces jointes provenant d'expéditeurs inconnus ou non vérifiés
- Mettez en place une politique exigeant la vérification de l'expéditeur via un autre canal de communication avant d'ouvrir des pièces jointes inattendues
- Recherche proactive des menaces
- Effectuez une recherche dans les journaux des e-mails reçus à l'aide de filtres spécifiques basés sur les objets des e-mails
- Recherchez dans les journaux de réception des e-mails à l'aide de filtres spécifiques pour les e-mails provenant de mail.ru