Mimecast Logo
Richiedi un preventivo
    Approfondimenti sulla Cyber Resilience
    Tutti gli argomenti
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Email Collaboration Threat Protection

    La truffa fiscale RAT prende di mira gli studi di contabilità

    I cybercriminali sfruttano la stagione fiscale per predare i commercialisti attraverso sofisticate truffe via e-mail

    by Samantha Clarke

    Key Points

    • Secondo l'intelligence sulle minacce di Mimecast, i metodi di consegna del malware avanzato che sfruttano mega.nz, ScreenConnect e ESP come Sendgrid vengono utilizzati per aggirare le tradizionali misure di sicurezza durante la stagione delle scadenze fiscali negli Stati Uniti. 
    • I commercialisti sono i bersagli principali dei criminali informatici durante la stagione fiscale americana; subiscono attacchi di social engineering in combinazione con trojan di accesso remoto, noti come truffa fiscale RAT, che fanno leva sulla loro stanchezza e sul loro sovraccarico durante questo intenso periodo di lavoro.
    • I ricercatori di minacce di Mimecast hanno scoperto truffe fiscali RAT, dimostrando come i criminali informatici trovano la strada per raggiungere una vittima. Nella seconda metà del mese di febbraio 2025, le società di contabilità sono state attaccate in modo significativo con e-mail di social engineering relative alle tasse. 

    Durante la stagione fiscale, gli studi contabili, spesso frenetici e sovraccarichi di lavoro, diventano obiettivi primari per i cyberattacchi. Uno degli schemi più insidiosi è la truffa fiscale RAT (Remote Access Trojan), che sfrutta l'ingegneria sociale e il malware per rubare credenziali critiche e dati sensibili dei clienti. Continui a leggere per scoprire i meccanismi della truffa fiscale RAT, esaminare le tecniche utilizzate dagli aggressori e ottenere consigli per difendersi da queste minacce.

    L'arma a doppio taglio della stagione fiscale 

    Per molti americani, la stagione fiscale rappresenta un sollievo (o un terrore), a seconda che si tratti di rimborsi o di tasse. Ma per i commercialisti, questa corsa annuale significa lunghe ore di lavoro, con carichi di lavoro pesanti e scadenze strette. In questo periodo, gli studi contabili spesso generano una parte significativa del loro fatturato annuale, gestendo contemporaneamente un afflusso di documenti regolari e di nuovi clienti in cerca di assistenza. 

    Purtroppo, questo periodo pieno di stress offre una finestra di opportunità per i criminali informatici, che si affidano alle distrazioni tipiche della stagione fiscale per sferrare attacchi. 

    Perché i commercialisti sono i primi bersagli 

    I contabili sono bersagli interessanti per il loro accesso sia ai sistemi finanziari che alle PII (Personally Identifiable Information). Dai piccoli studi di commercialisti alle multinazionali della contabilità, le ricompense per i criminali informatici sono immense. Ad aggravare il rischio c'è il fatto che la stagione fiscale spesso comporta la generazione di nuovi affari, rendendo i commercialisti più inclini a fidarsi di richieste apparentemente legittime da parte di potenziali clienti. 

    Che cos'è la truffa fiscale RAT? 

    Al centro dello schema c'è l'uso di Trojan di accesso remoto (RAT). I RAT sono programmi malware avanzati che, una volta scaricati, consentono agli aggressori di prendere il controllo del dispositivo della vittima. Questo permette loro di monitorare l'attività in tempo reale, registrare le battute dei tasti e catturare gli screenshot. L'obiettivo finale? Ottenere l'accesso a conti sensibili o ai dati dei clienti. 

    Ciò che rende i RAT particolarmente pericolosi è la loro natura furtiva. Una volta attivi, operano in background, spesso senza essere rilevati dall'utente.

    Come funziona la truffa fiscale RAT 

    Passo 1: l'e-mail esca 

    Gli attori delle minacce iniziano a ricercare i commercialisti e a trovare i loro indirizzi e-mail attraverso fonti pubbliche o database violati. Armati di queste informazioni, inviano una prima e-mail di richiesta che appare legittima, in genere fingendosi un potenziale cliente. 

    Per esempio, un truffatore potrebbe affermare che il commercialista abituale è andato in pensione e che hanno urgentemente bisogno di assistenza per la compilazione delle tasse. L'e-mail non include link o allegati dannosi, facendola apparire innocua e aggirando i filtri di sicurezza della posta. 

    Esempio da una campagna attuale Mimecast si è fermato:

    Nella seconda metà di febbraio 2025, Mimecast ha rilevato un aumento significativo del social engineering che ha preso di mira le aziende contabili. 

    I truffatori spesso conservano il loro carico utile per le e-mail successive. Propongono di allegare i documenti fiscali precedenti nella corrispondenza di follow-up. In questa fase, stanno soprattutto testando la ricettività dei commercialisti. 

     

    Passo 2: agganciare il bersaglio 

    I commercialisti, desiderosi di approfittare di un nuovo cliente nel periodo di maggiore attività, spesso rispondono prontamente. A questo punto, sono stati "agganciati" - l'aggressore ora ha la loro fiducia. 

    Passo 3: il follow-up maligno 

    L'attore minaccioso invia una seconda e-mail sostenendo di includere la documentazione promessa (ad esempio, precedenti dichiarazioni dei redditi o documenti d'identità). All'interno della seconda e-mail è incorporato un file dannoso con un nome ingannevole come "ClientTaxDocument.pdf.exe". 

    Il file potrebbe condurre a un sito di hosting condiviso, come mega.nz, per nascondere ulteriormente le sue intenzioni. Al momento del download, il file esegue un malware come ScreenConnect, uno strumento che facilita il controllo remoto del dispositivo della vittima. 

    Un assetto ingannevole 

    Una variante di questo attacco include persino una registrazione falsificata del presunto commercialista precedente della vittima "." Questo livello di ingegneria sociale crea l'illusione di legittimità, attirando gli utenti ignari ad attivare il malware. 

    Passo 4: Accesso remoto e violazione dei dati 

    Una volta che il RAT è attivo, l'aggressore inizia a raccogliere i dati. Questo può includere le credenziali di accesso, le informazioni personali dei clienti (ad esempio, i numeri di previdenza sociale, i dati finanziari) e persino i codici di accesso al sistema del commercialista. 

    Gli aggressori potrebbero anche sfruttare ScreenConnect per distribuire ulteriori malware, come ruba-informazioni o ransomware. Quest'ultimo potrebbe criptare i sistemi dell'azienda, paralizzando le operazioni fino al pagamento di un riscatto. 

    Il quadro generale 

    Le conseguenze di una truffa fiscale RAT riuscita possono essere catastrofiche. Le credenziali rubate consentono agli hacker di infiltrarsi nelle organizzazioni, interrompere le operazioni e compromettere i dati dei clienti. Per gli aggressori, queste credenziali possono anche sbloccare conti bancari sensibili, database dei clienti e sistemi finanziari. 

    Il ruolo delle moderne campagne di phishing 

    Vale la pena notare che il 2024 ha portato campagne di phishing più sofisticate, veicolate attraverso provider di servizi e-mail (ESP) di fiducia come Sendgrid. L'utilizzo di ESP legittimi maschera ulteriormente l'intento malevolo di queste e-mail. 

    Questo sottolinea la necessità per i commercialisti di controllare due volte le fonti dei file condivisi via e-mail e di esercitare la dovuta diligenza durante il processo di onboarding digitale dei nuovi clienti. 

    Strategie difensive contro gli attacchi RAT 

    1. Educare il suo team 

    La formazione sulla cybersecurity è fondamentale, soprattutto durante le stagioni ad alto rischio come il periodo fiscale. Insegni ai dipendenti come individuare i tentativi di phishing e verificare l'identità dei clienti per telefono o con altri metodi prima di cliccare su link sospetti o scaricare file. 

    2. Implementare una forte sicurezza delle e-mail 

    Impieghi soluzioni in grado di rilevare i tentativi di phishing, anche quando i link o gli allegati dannosi sono assenti. I protocolli di autenticazione e-mail, come DKIM (DomainKeys Identified Mail) e SPF (Sender Policy Framework), possono contribuire a ridurre lo spoofing del dominio. È importante utilizzare soluzioni in grado di identificare le business email compromesse e di bloccarle prima della consegna per evitare qualsiasi potenziale coinvolgimento.

    3. Diffidi delle estensioni dei file 

    Incoraggi il suo team a controllare le estensioni dei file prima di aprire gli allegati. I file che terminano con ".exe" sono programmi eseguibili e dovrebbero suscitare immediatamente un allarme rosso, a meno che non vengano verificati da fonti attendibili. 

    4. Limitare gli strumenti di accesso remoto 

    Molti criminali informatici sfruttano strumenti legittimi come ScreenConnect per ottenere l'accesso ai dispositivi. Limiti questi tipi di programmi e ne autorizzi l'uso solo attraverso protocolli informatici approvati. 

    5. Condurre audit regolari del sistema 

    Controlla attentamente i sistemi di rete per individuare attività insolite durante la stagione fiscale. Il traffico di rete sospetto o i cambiamenti improvvisi nel comportamento dei file dovrebbero innescare indagini immediate. 

    6. Assicurarsi che i backup dei dati siano sicuri 

    Esegua frequentemente il backup di tutti i file dei clienti e dei dati sensibili, archiviandoli in luoghi sicuri e offline. Questo garantisce la resilienza dell'azienda di fronte a un attacco ransomware. 

    7. Utilizzi il software di protezione degli endpoint 

    Le soluzioni avanzate di rilevamento e risposta degli endpoint (EDR) possono identificare le attività dannose come i RAT prima che causino danni significativi.

    Il risultato

    La truffa fiscale RAT esemplifica la crescente sofisticazione delle minacce informatiche che colpiscono gli studi contabili. Sfruttando il caos della stagione fiscale, gli aggressori utilizzano l'ingegneria sociale e il malware per infiltrarsi nelle aziende, rubare dati preziosi e interrompere le operazioni.

    Per contrastare queste minacce, gli studi contabili devono dare priorità alla cyber resilience, adottando solide misure di sicurezza della posta elettronica, implementando programmi di sensibilizzazione dei dipendenti sulla cybersecurity e mantenendo pratiche di vigilanza durante i periodi ad alto rischio. 

    Rimanendo un passo avanti, la sua azienda può assicurarsi che, mentre la stagione fiscale rimane impegnativa, gli hacker siano tenuti saldamente a bada. Per avere informazioni pratiche su come rafforzare la posizione di cybersecurity della sua azienda, esplori il Threat Intelligence Hub o scarichi l'ultimo Global Threat Intelligence Report

     

    32BLOG_1.jpg
    Up Next
    Email Collaboration Threat Protection |
    6 modi in cui Mimecast protegge le e-mail in Microsoft 365

    Related Articles

    Email Collaboration Threat Protection
    Indagine sulla cattiva condotta in Slack e Microsoft Teams: Dos, don't e considerazioni sulla privacy
    Email Collaboration Threat Protection
    Australia Under Siege: The Alarming Scale of Government Impersonation Scams
    Email Collaboration Threat Protection
    Perché Mimecast guida la lotta contro le frodi via e-mail nel 2024

    Si abboni a Cyber Resilience Insights per altri articoli come questi.

    Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.

    Iscriviti con successo

    Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog

    Ci terremo in contatto!

    Back to Top