Het belastingseizoen is in volle gang en cybercriminelen sturen belastinggerelateerde e-mails om nietsvermoedende belastingbetalers te infecteren met de Zeus banking Trojan, volgens AppRiver.
E-mails die doen alsof ze afkomstig zijn van belastingvoorbereidingssoftware TurboTax circuleren op "zeer hoge volumes", schreef Troy Gill, senior beveiligingsanalist voor AppRiver, op de AppRiver-blog. De berichten zijn goed gemaakt, inclusief dezelfde grafische afbeeldingen die TurboTax in zijn e-mails gebruikt, evenals links naar de echte website. Op het eerste gezicht lijken deze kwaadaardige berichten sterk op de echte berichten verzonden door TurboTax, zei Gill.
De aanval is afhankelijk van gebruikers die het zip-bestand openen dat aan het bericht is toegevoegd. Het zip-bestand begint met het woord "TAX" gevolgd door een willekeurig nummer. Wanneer deze variant van de Zeus Trojan wordt gedownload en uitgevoerd, verzamelt deze alle browsercookies, webgeschiedenis en Outlook-wachtwoord die op de computer zijn opgeslagen en installeert een achterdeur. Het "ultieme doel" is om bank- en creditcardgegevens te stelen, zei Gill. Alle gegevens worden momenteel overgebracht naar een IP-adres in Maleisië, volgens AppRiver.
"Cybercriminelen gebruiken een bekende tactiek om de infectie te verspreiden, " zei Gill.
Gill plaatste een screenshot van een dergelijk aanvalsbericht, met het onderwerp "TurboTax: State Return Rejected" en leek afkomstig te zijn van intuit.com. (Intuit is eigenaar van de TurboTax-software.) Het bericht informeerde de ontvanger dat de terugkeer van de staat is geweigerd.
"Alle informatie is beoordeeld en gevalideerd door Intuit, meer informatie vindt u in bijlage", zei de aanvalsmail.
Het zip-bestand bevatte een uitvoerbaar (.exe) bestand met de naam TAX_3919473. Deze specifieke Zeus-variant heeft elementaire ontwijkende technieken, omdat deze onmiddellijk wordt beëindigd als hij detecteert dat deze wordt uitgevoerd in een debugger of in een sandbox.
Hoe veilig te blijven tijdens het belastingseizoen
Als u een e-mail ontvangt met een bijlage die u niet hebt opgevraagd, mag u deze niet openen, zelfs als de afzender legitiem lijkt. Oplichters zullen slachtoffers via e-mail op de hoogte stellen van "problemen" met de belastingaangifte; onthoud dat de Internal Revenue Service nooit contact via e-mail zal initiëren. Om dezelfde reden zal de IRS nooit via e-mail om pincodes of creditcardnummers vragen.
"Blijf waakzaam en probeer eenvoudige logica te gebruiken - als het te mooi lijkt om waar te zijn en het in je inbox zit, verwijder het dan, " zei AppRiver.
Voer geen gevoelige financiële transacties uit via openbare hotspots of open wifi-netwerken zoals op luchthavens, hotels, bibliotheken, restaurants, cafés en andere locaties. Wacht tot je thuis bent of op een beveiligd netwerk, of wacht gewoon tot je een bekabelde verbinding hebt. Als u een onveilig netwerk moet gebruiken, gebruik dan tenminste een VPN-service. PCMag heeft verschillende populaire VPN-services beoordeeld en beveelt behoorlijk wat aan, waaronder de nieuwste Editors 'Choice, PrivateInternetAccess.
Controleer of pagina's die creditcardinformatie en andere gevoelige gegevens verzamelen, een beveiligde verbinding gebruiken. De browser moet HTTPS weergeven in het webadres van de site of een beveiligingshangslotsymbool weergeven in de adresbalk.
Als u een openbare terminal of een gedeeld apparaat gebruikt, logt u volledig uit bij financiële sites, zei AppRiver. Aanvallers kunnen open sessies kapen.
"U kunt infectie door deze bedreiging voorkomen door te stoppen met klikken op koppelingen en bijlagen in ongevraagde e-mail", aldus Gill. Klik nooit op koppelingen in e-mails waar u niet specifiek om hebt gevraagd.
Kwaadaardige e-mails met belastinggerelateerde tactieken komen in deze tijd van het jaar vrij veel voor, en de social engineering-tactiek die in deze spamcampagnes wordt gebruikt, is niet nieuw, zei Gill. Zei Gill.
