今年もこの時期がやってきました。W2フォームや1099フォームが届くのを待ちわび、慌てて数字を集計し、控除額を探して、IRS(英国歳入関税庁)からできるだけ多くの税金を取り戻そうとする時期です。これはどういうことかご存知ですか?つまり、攻撃者がマルウェアやフィッシング詐欺を使って納税シーズンに便乗する時期でもあるということです。
アメリカでは、4月18日の深夜0時の最終期限までに、確定申告シーズンを延々と引き延ばす余裕があります。今年はなぜ延期されたのでしょうか…まあ、特に理由はありません。IRS(内国歳入庁)と郵便局が金曜日に遅くまで仕事をしたくないからでしょうか?でも、海の向こうのイギリスの皆さん、歳入関税庁(HMRC)の締め切りは今週月曜日、1月31日の深夜0時です。さあ、ゲームが始まりますよ!
計算ミスが検知され、受取人に多額の還付金が支払われると主張するフィッシングメールが出回っています。Appriverのフレッド・タッチエット氏は、この新たな確定申告シーズンの脅威について解説しています。「今回の詐欺は、既に還付金を期待している人々を狙っていますが、詐欺師たちはこれを、うっかりミスを見逃すチャンスと捉えています。」
増額された還付金を受け取るには、「Tax.Refund.New.Message.Alert.HTML」というタイトルのメール添付ファイルを開くように指示されます。表示されるWebページはHMRCのサイトのように見えますが、実際にはローカルで生成されたものです。このフォームでは、還付手続きのためにクレジットカード情報や母親の旧姓といった機密情報の入力を求められます。
タシェット氏は攻撃の詳細について次のように説明しています。「情報が入力されると、JavaScriptが実行され、入力された情報が日付構造や既知のクレジットカードアルゴリズムなどの必要な形式に適合しているかどうかが確認されます。このテストに合格すると、情報は攻撃者に送信され、被害者は英国歳入関税庁のウェブサイトにリダイレクトされます。被害者の目には、何も気づかれないようにするためです。」
この攻撃は英国特有のものですが、ヨーロッパや米国でも同様の攻撃が今後発生するでしょう。「お金が支払われるべき」というメールを受け取ったら、興奮したり、少なくとも少しは好奇心を抱いたりしないのは難しいでしょう。しかし、こうした税金スパムフィッシング攻撃は、亡命中のナイジェリアの王子から何百万ドルものお金が提供されるというメールと何ら変わりません。唯一の違いは、金額がより合理的、つまりより信憑性が高く、疑念を抱く被害者でさえ警戒を解くように仕向けられている点です。
