Falsa identità dell’ente tedesco per le imposte e l’assicurazione contro gli infortuni
3 giugno 2025
A cura del Mimecast Threat Research Team
Cosa imparerai in questa notifica
- Gli autori degli attacchi sfruttano la fiducia riposta nelle istituzioni ricorrendo a sofisticate tecniche di impersonificazione delle autorità fiscali tedesche.
- Le e-mail sembrano essere generate da script di spam personalizzati con intestazioni Thunderbird contraffatte e un’elevata variabilità nell’oggetto e negli indirizzi e-mail mittenti
- Prende di mira prevalentemente organizzazioni in Germania con finalità di lucro
Il team di ricerca sulle minacce sta monitorando, sin dall’inizio di maggio 2025, campagne fraudolente rivolte alle organizzazioni tedesche. La presente campagna si concentra su due enti di rilievo: l’Ufficio centrale delle imposte tedesco (BZSt) e l’Istituto tedesco di assicurazione contro gli infortuni sul lavoro per il settore alimentare e della ristorazione (BGN). Sebbene tali organizzazioni non siano enti ufficiali del settore pubblico governativo, svolgono un ruolo significativo nella gestione delle questioni fiscali e previdenziali in Germania.
L'esca si concentra su due aspetti e include un allegato contenente una fattura.
- Introduzione al modulo digitale di prevenzione DGUV:
- Oggetto (esempio): Presentazione del modulo digitale di prevenzione DGUV
- Contenuto: rende obbligatoria la partecipazione, illustra i vantaggi e specifica le scadenze urgenti relative alla conformità e ai pagamenti.
- Promemoria di pagamento relativo alla dichiarazione dei redditi 2023
- Esempio di oggetto: Zahlungserinnerung: Steuererklärung 2023 (Sollecito di pagamento: Dichiarazione dei redditi 2023)
- Contenuto: Segnala la presenza di una tassa da versare relativa alla dichiarazione dei redditi di importo pari a x, invita ad aprire il file PDF allegato per ulteriori dettagli e sottolinea l’urgenza del pagamento.
Caratteristiche principali della campagna
Messaggi sofisticati in lingua tedesca
Le e-mail fraudolente sono redatte in un tedesco formale e ben strutturato, imitando il tono e lo stile delle comunicazioni ufficiali delle autorità. Ciò accresce la credibilità dei messaggi e li rende più convincenti agli occhi degli utenti finali.
Domini contraffatti che imitano le autorità fiscali e la BGN
Gli autori delle minacce utilizzano domini simili che riproducono fedelmente quelli delle autorità fiscali tedesche legittime e delle comunicazioni della BGN. Questi domini sono stati creati per indurre i destinatari a credere che le e-mail provengano da fonti ufficiali. Tra gli esempi di domini contraffatti figurano:
Per BZSt:
- bzst-abwicklung.de (elaborazione)
- bzst-forderung.de (richiesta/credito)
- bzst-rechnungen.de (fattura)
- bzst-einzahlung.de (deposito/pagamento)
- bzst-zahlung.de (pagamento)
Per BGN:
- bgn-abwicklung.de (in elaborazione)
- bgn-bezahlung.de (pagamento)
- bgn-einzahlung.de (acconto/pagamento)
- bgn-forderung.de (richiesta/pretesa)
- bgn-transfer.de (trasferimento)
- bgn-zahlstelle.de (ufficio pagamenti)
Le convenzioni di denominazione di questi domini sono in linea con la terminologia in materia fiscale e previdenziale, rafforzandone ulteriormente la legittimità agli occhi dei destinatari.
Generazione automatica di file PDF
Tutte le e-mail contengono fatture in formato PDF generate tramite un software noto per la sua capacità di creare file PDF dinamici e personalizzati, che gli autori degli attacchi utilizzano per adattare i documenti ai singoli destinatari. Questi file PDF contengono spesso istruzioni di pagamento fraudolente.
Dati finanziari fraudolenti
Un indicatore significativo di attività fraudolenta in queste campagne è la presenza di coordinate bancarie spagnole negli allegati. Questi dettagli non sono compatibili con attività legittime condotte in Germania e costituiscono un segnale di allarme. Tra gli esempi di informazioni finanziarie fraudolente figurano:
- IBAN: ES26 2100 1779 5102 0063 0566
- Codice BIC: CAIXESBBXXX (CaixaBank, Spagna)
Protezione Mimecast
Abbiamo individuato diversi elementi nelle recenti campagne che sono stati integrati nelle nostre capacità di rilevamento. Continuiamo a monitorare eventuali cambiamenti nelle tecniche utilizzate da questa operazione di cyberminaccia.
Obiettivi:
Organizzazioni prevalentemente tedesche operanti in vari settori
Indicatori di compromissione
Domini di invio
bgn-abwicklung[.]de
bgn-bezahlung[.]de
bgn-einzahlung[.]de
bgn-forderung[.]de
bgn-transfer[.]de
bgn-zahlstelle[.]de
bgn-zahlungen[.]de
bzst-abwicklung[.]de
bzst-einzahlung[.]de
bzst-forderung[.]de
bzst-rechnungen[.]de
bzst-zahlung[.]de
Oggetti delle e-mail
Dichiarazione dei redditi 2023 – Si consiglia di verificare lo stato
Promemoria per la presentazione della documentazione fiscale 2023
Informazioni aggiornate sulla Sua dichiarazione dei redditi
Panoramica della dichiarazione dei redditi 2023 presentata
Informazioni sulla dichiarazione dei redditi 2023
Comunicazione relativa all’elaborazione della Sua dichiarazione dei redditi
Avviso relativo al superamento del termine per la presentazione della dichiarazione dei redditi
Comunicazione sullo stato di presentazione della Sua dichiarazione dei redditi
Presentazione della Sua documentazione fiscale – breve panoramica
Documenti fiscali 2023 – note integrative
Raccomandazioni
- Formazione sulla consapevolezza della sicurezza degli utenti
- Informare gli utenti sulle ultime tecniche di adescamento utilizzate in queste campagne
- Effettuate regolarmente simulazioni di phishing per tenere conto delle minacce più recenti
- Istruite gli utenti a non aprire mai allegati provenienti da mittenti sconosciuti o non verificati
- Si raccomanda di adottare una politica che preveda la verifica del mittente tramite un canale di comunicazione alternativo prima di aprire allegati inattesi
- Caccia proattiva alle minacce
- Effettuare ricerche nei registri delle ricevute e-mail utilizzando filtri specifici per l'oggetto dei messaggi
- Effettuare ricerche nei registri delle e-mail ricevute utilizzando filtri specifici per le e-mail provenienti da mail.ru