Теневой бизнес. Мошенничество с налоговыми возмещениями.

Введение.

Исследователи Recorded Future проанализировали данные с платформы Recorded Future® Platform, Darknet и открытых источников в период с января 2021 года по ноябрь 2021 года и составили представление о текущем ландшафте мошенничества с налоговыми возмещениями. Наш отчет расширяет выводы, сделанные в первом отчете серии - «Теневой бизнес: Как монетизируются кибератаки»

Злоумышленники используют разнообразный набор сложных тактик, техник и процедур для обмана органов налоговой службы по всему миру. Однако в подавляющем большинстве случаев объектом налогового мошенничества является Служба внутренних доходов США (IRS). Этот вид мошенничества не ограничивается кражей личных данных, но также включает в себя компрометацию корпоративных сетей, атаки шифровальщиков, отмывание денег и атаки с использованием социальной инженерии. Мошенничество с налоговыми декларациями - устоявшийся и многолетний бизнес в темной паутине, активность которого в основном совпадает с налоговым сезоном в США с 1 января по 15 апреля каждого года.

Краткие выводы.

• В 2021 году число атак с использованием шифровальщиков и сетевых вторжений, затрагивающих бухгалтерские фирмы и поставщиков услуг по налоговому возмещению, неуклонно росло.
• Злоумышленники в основном рекламируют и запрашивают сервисы, связанные с мошенничеством с налоговыми возмещениями, на русскоязычных форумах высшего уровня, таких как Exploit, XSS и Verified, а продают скомпрометированные учетные данные для входа в сервисы, связанные с налогами, в основном в Darknet-магазинах, таких как Genesis Store, Russian Market и Amigos Market.
• Мошенничество с налоговыми декларациями останется серьезной угрозой в обозримом будущем и, вероятно, будет по-прежнему направлено на граждан США и тех, кто обязан подавать налоговые декларации в США.

 

Обзор проблематики отчета.

Мошенничество с налоговыми декларациями, также известное как мошенничество с возвратом средств с применением краденных личных данных (SIRF), представляет собой особый случай кражи личных данных, когда преступник подает федеральную налоговую декларацию или налоговую декларацию отдельного штата, используя данные жертвы, с целью хищения ее налогового возмещения. Успех этих схем зависит от подачи налоговых деклараций до того, как человек, чьи данные были украдены, подаст декларацию самостоятельно. В теневой экономике мошенничество с возвратом налогов часто требует сотрудничества между несколькими злоумышленниками с различными специализациями, например - массовый сбор кредитных отчетов и налоговых форм, получение доступа к онлайновому программному обеспечению для подготовки налоговой декларации, а также вербовку денежных мулов для получения и пересылки украденных возмещений. Другие злоумышленники могут напрямую атаковать фирмы, занимающиеся подготовкой налоговых деклараций, поскольку получение доступа к этим сетям позволяет получить как персональные данные жертвы, так и налоговое программное обеспечение, необходимое для SIRF.

Хотя большинство случаев налогового мошенничества носит сезонный характер и достигает своего пика за несколько месяцев до наступления сроков подачи и продления деклараций, некоторые злоумышленники подают измененные налоговые декларации со взломанных счетов даже спустя годы после того, как жертвы уже подали декларации, включая фиктивные убытки и требуя дополнительного возмещения без ведома жертвы.

Мошенничество с налоговыми возмещениями - это постоянная проблема, связанная с использованием идентификационной информации и часто включает в себя использование украденных или неправильно направленных форм W-2 для электронной подачи фиктивной налоговой декларации с целью получения возмещения от имени налогоплательщика. Жертвы обычно узнают о преступлении после того, как их собственные декларации отклоняются, поскольку преступники подали декларацию первыми. Лица, которые не обязаны подавать декларацию, также могут стать жертвами мошенничества с возвратом налогов, включая тех, кому не причитается возврат от налогового управления.

Поскольку многие преступники, совершающие налоговые махинации, действуют в странах, где нет экстрадиции, успешное судебное преследование может быть затруднено, хотя и не невозможно.

Анализ угроз.

Преступления с налогами часто совершаются крупными преступными группами. Операция может включать отдельных преступников, которые крадут номера социального страхования (SSN) и другие персональные данные, тех, которые подают ложные декларации в IRS, тех, кто способствует получению возвратов, и менеджеров, которые продвигают эти схемы. Эти преступные предприятия используют скорость и относительную анонимность высокоавтоматизированных систем для хранения личной информации, подготовки и подачи налоговых деклараций в электронном виде и быстрого получения возмещения подоходного налога - часто в форме электронных платежей.

Личные данные, используемые в налоговых преступлениях, могут быть украдены откуда угодно. Например - преступники использовали SSN, украденные из больниц, домов престарелых и публичных записей о смерти, таким образом атакуя наиболее уязвимых членов общества. Однако каждый человек, имеющий SSN, потенциально уязвим для кражи личных данных.

Как правило, преступники подают фальшивые декларации в электронном виде в начале сезона подачи налоговых деклараций, чтобы налоговая служба получила фальшивую декларацию до того, как налогоплательщик сам успеет подать свои данные по налогам. Преступники организуют возврат через электронные переводы на дебетовые карты или доставку на физические адреса, где они могут получить средства по почте.

 

Весь процесс можно разделить на следующие этапы:

• Получение персональных данных.
• Подача поддельных деклараций.
• Отмывание краденных средств (эту деятельность можно наблюдать на теневых форумах).

Подпольные криминальные форумы.

В темной паутине четыре сообщества (Exploit, XSS, Verified и Raid) создают экосистему мошенничества, в которой злоумышленники способствуют продаже краденных персональных данных и предоставляют участникам дополнительные сервисы, помогающие минимизировать риск, связанный с этим видом преступной деятельности.

Например - как показано в этой утечке прямых сообщений форума Verified - один из мошенников, «Scarlet», предлагает решения по автоматизации для своих коллег. В разговоре со злоумышленником «Rob», который состоялся 18 января 2021 года, Scarlet предложил автоматизировать процесс подачи документов на налоговые возмещения, чтобы он работал с «200 нанятыми сотрудниками».

 

Рис.1-2.Сообщения, предлагающие связанные с налогами криминальные сервисы на Verified.

 

Рис.3.Пользователь GREAT продает на аукционе Exploit сетевой доступ к компании, занимающейся налоговыми возмещениями.

 

5 октября 2021 года злоумышленник «GREAT» был замечен на Exploit и продавал сетевой доступ к сервису, который обрабатывает налоговые формы в США, Великобритании, Германии, Ирландии, Норвегии, Дании, Нидерландах и Австралии. Он перечислил три вектора атак для потенциальных покупателей:

• Использование персональных данных из баз. Сервис хранит данные за последние четыре года, примерно 80 000 пакетов данных, необходимых для осуществления такого мошенничества. Злоумышленник заявил что имеет полный дамп (около 200 ГБ в зашифрованном формате). Они также упомянули, что сервер «жив» и готов к работе.
• Перепродажа взломанных баз данных.
• Подача поддельных налоговых форм путем ввода и предоставления фиктивной личной информации.

 

13 июля 2021 года «zanko», участник группы Exploit, продал неизвестному покупателю базу данных поставщика услуг по возврату налогов с более чем 250 000 записей пользователей, которые работают в более чем пяти странах, включая США, Великобританию, Нидерланды, Ирландию и Германию, за общую сумму $4 000. По словам злоумышленника, база данных содержала такие данные, как SSN, адреса, полные имена, налоговые данные и дополнительную информацию.

6 января 2021 года «bl33d», участник Exploit, выставил на аукцион данные 1500 американских налогоплательщиков, включая формы W-2, водительские права и сканы SSN. bl33d предоставил скриншоты, указывающие на то, что данные, возможно, были получены от сертифицированной бухгалтерской фирмы в Калифорнии. Как показано на рисунке 5, водительские права, проданные bl33d, были выданы в период с 2017 по 2019 год, что позволяет предположить, что их пригодность для несанкционированного использования будет длительной с учетом срока их действия.

Помимо продажи персональных данных и налоговых форм, необходимых для проведения мошенничества, в подпольных сообществах есть множество участников, которые покупают доступ к ПК и сетям, принадлежащим -фирмам с налоговым программным обеспечением, а также предоставляют услуги по отмыванию денег, полученных от поддельных налоговых деклараций.

Одним из таких является «iqservicc», который регулярно покупает доступы по RDP к ПК, на которых установлено популярное налоговое программное обеспечение. Это позволяет злоумышленнику подавать налоговые декларации через легально приобретенное и зарегистрированное налоговое программное обеспечение и IP-адреса, которые не покажутся подозрительными (в отличие от VPN, прокси-серверов или географически удаленных IP-адресов). Такая комбинация значительно повышает шансы на успешную обработку налоговых деклараций через IRS.

12 октября 2021 года злоумышленник «inthematrix1» выставил на аукцион доступ к сети неуказанной индийской бухгалтерской компании, утверждая, что получил доступ к серверу с корпоративными документами. Стартовая цена составляла $2 200, или же можно было выкупить лот напрямую за $4 000.

 

Рис.4.Zanko продает базу данных поставщика услуг по возврату налогов на Exploit.

 

Рис.5.Реклама bl33d на Exploit.

 

Рис.6.Реклама iqservicc на Exploit.

 

Рис.7.Реклама INFAMOUS на XSS.

 

13 октября 2021 года участник «INFAMOUS» попросил на форуме XSS развернуть их вредоносное ПО в сетях налоговых компаний за вознаграждение в $3 000. Он упомянул о предпочтении заполнения деклараций с помощью различных налоговых программ.

10 марта 2021 года злоумышленник bl33d на Exploit продавал RDP-доступ к серверу, подключенному к другому серверу, на котором размещалось налоговое программное обеспечение Lacerte, принадлежащее неуказанной американской бухгалтерской фирме. Начальная цена за учетные данные RDP составляла $100, или же доступ можно было выкупить за $500. Победителем аукциона, скорее всего, стал участник сообщества под ником «mistarmicky».

28 февраля 2021 года злоумышленник «pshmm» на Exploit выставил на аукцион доступ к учетной записи администратора домена со связанными документами неназванной канадской налоговой компании, имеющей тридцать хостов. Начальная цена за учетные данные составляла $500, с возможностью немедленной покупки за $1 000. Результаты данного аукциона неизвестны.

Последним звеном в этой мошеннической цепи является тактика, называемая «методом обналички». Сервисы по обналичиванию средств предлагаются такими участниками теневого сообщества, как «Asad», которые специализируются на отмывании средств, похищенных из налоговых возвратов, через автоматизированную клиринговую палату (ACH) или с помощью банковского перевода на счета, находящиеся под контролем атакующих. Этот тип сервисов используется такими субъектами, как «iqservicc», который отправляет налоговые возмещения через взломанные компьютеры, на которых установлено налоговое программное обеспечение с персональными данными жертвы, полученной от других злоумышленников, таких как bl33d. Asad, вероятно, использует ряд денежных мулов и проверенных криптообменных счетов, переводя средства с одного на другой, прежде чем доставить их на счет, контролируемый клиентом, который в конечном итоге и является атакующим, инициировавшим мошенническое возмещение.

 

Рис.8.Реклама компании Tax-W2 на Exploit.

 

Рис.9.Реклама, распространяемая Asad через личные сообщения на: Verified.

Теневые торговые площадки.

Genesis Store, Russian Market и другие торговые площадки предоставляют хакерам уникальную возможность объединить захват личности в Интернете с налоговым мошенничеством, позволяя им получить прямой доступ к персональным данным жертвы и программному обеспечению для подготовки налогов онлайн в одном магазине. Идеальная жертва может иметь учетную запись в кредитном бюро, таком как TransUnion, Experian или Equifax, а также учетную запись в налоговом программном обеспечении. Злоумышленник может приобрести в Genesis Store учетные данные, куки сессии и отпечатки браузера, собрать данные, а затем подать налоговую декларацию на том же программном обеспечении, которое использовала жертва, обойдя меры налогового агентства по борьбе с мошенничеством. Genesis Store - это криминальный рынок, где продаются «боты» или комбинации учетных записей, сессионных файлов cookie, отпечатков пальцев браузера и другой системной информации, которые атакующие могут приобрести и загрузить в пользовательский плагин Chromium под названием «Genesis Security».

Боты, продаваемые в Genesis Store, могут предоставлять множество финансовой информации со счетов в кредитных бюро, налоговой службе, онлайн-программе для подготовки налогов и облачном программном обеспечении для расчета заработной платы, и все это может предоставить злоумышленнику все ресурсы, необходимые для мошенничества с налоговой декларацией. Примерами аккаунтов, рекламируемых в Genesis Store, являются аккаунты ADP и Paylocity, через которые злоумышленник может загрузить W-2 жертвы. Постоянно в наличии имеются аккаунты TransUnion, Equifax, Experian и CreditKarma, которые могут предоставить множество личной и финансовой информации. В Genesis Store также часто встречаются учетные записи IRS и Social Security Administration (SSA), которые могут быть использованы злоумышленниками для запроса налоговых документов жертвы за прошлые годы.

 

Рис.10.Учетные данные TaxSlayer в продаже на теневой торговой площадке Russian Market.

 

Genesis Store также является источником учетных данных онлайн-программ для подготовки налогов. Идеальный бот Genesis для налогового мошенничества использовал бы налоговое программное обеспечение в паре с программным обеспечением для расчета заработной платы кредитного бюро, чтобы все инструменты и PII были доступны вместе для одного человека или семьи.

Боты, работающие без доступа к онлайновому налоговому программному обеспечению или учетным записям кредитных бюро, также могут быть источниками мошенничества с подоходным налогом через захват личных данных. Более дорогие американские боты, продаваемые в Genesis Store, часто поставляются вместе с соответствующими аккаунтами в социальных сетях и финансовыми счетами. Вооружившись большим количеством персональных данных, хранящимся в аккаунтах продавцов, социальных сетей и провайдеров мобильной связи, злоумышленник может обойти защиту аутентификации, используемую кредитными бюро. Теоретически, злоумышленник может приобрести нужное ему налоговое программное обеспечение, используя информацию о жертве, а затем подать декларацию на ее имя.

Телефонные аферы.

Налоговое управление США сообщает, что «тысячи людей теряют миллионы долларов и персональные данные в результате налогового мошенничества». Мошенники используют обычную почту, телефон или электронную почту, чтобы подменить частных лиц, предприятия, платежные ведомости и налоговых специалистов». Налоговая служба четко заявила, что не вступает в контакт с налогоплательщиком по электронной почте, через текстовые сообщения или социальные сети и не запрашивает личную или финансовую информацию, служба советует населению учиться распознавать признаки мошенничества.

Как показано на рисунках 12 и 13, преступники выдают себя за операторов из Налогового управления и пытаются получить конфиденциальную личную информацию. Эти операторы пытаются запугать жертву и заставить ее предоставить персональные данные или совершить мошеннические действия от своего имени. Иногда преступники пытаются вынудить жертву переслать им деньги, чтобы избежать «штрафов» и «уголовной ответственности».

 

Рис.11.Метод мошенничества W-2, рекламируемый группой «empiredeals» на  MGM Grand Market.

 

Рис.12-13.Расшифровка сообщений голосовой почты.

Жертвы шифровальщиков.

С начала 2020 года компания Recorded Future выявила более 40 публичных инцидентов с использованием шифровальщиков, затрагивающих сферу финансовых услуг. Последний случай произошел 7 октября 2021 года, когда банда вымогателей AvosLocker угрожала обнародовать украденные данные из «Hill and Associates CPAs», фирмы по подготовке налоговых документов в Линкольне, штат Небраска. В доказательство наличия доступа хакеры обнародовали несколько форм 1040 в своем блоге AvosLocker Press Release.

Меры по снижению рисков.

Хотя полностью предотвратить кражу личных данных сложно, есть шаги, которые можно предпринять, чтобы  усложнить задачу злоумышленникам:

• Регулярно проверяйте свою кредитную историю.
• Не носите с собой карточку с вашим SSN или любой документ, содержащий ваш SSN.
• Правильно утилизируйте документы, содержащие конфиденциальную информацию: измельчайте их, а не выбрасывайте в мусорное ведро.
• Сообщайте свои персональные данные только в случае крайней необходимости - особенно на веб-сайтах и в социальных сетях - и следите, кому вы их сообщаете (это может помочь определить источник утечки, если вы станете жертвой).
• Защищайте свои персональные компьютеры с помощью брандмауэров и новейших антивирусных программ.
• Подавайте свои налоговые декларации как можно раньше после начала налогового сезона, поскольку преступники, использующие краденные личные данные, обычно подают свои мошеннические декларации заранее чтобы получить возмещение до того, как законный плательщик подаст декларацию.
• Если подача налоговой декларации не требуется, все равно подумайте о подаче декларации, чтобы предотвратить подачу ложной декларации на ваше имя и быть начеку, если кто-то уже подал ложную декларацию на ваше имя.

Заключение.

В рамках теневой экономики существует относительно небольшое количество злоумышленников, которые специализируются на создании поддельных налоговых деклараций или предоставлении налоговых форм из скомпрометированных бухгалтерских компаний. Личные данные американских налогоплательщиков, напротив, в изобилии доступны на криминальных рынках, что может дать хакерам прямой доступ к информации о жертве вместе с налоговым программным обеспечением для подачи поддельных деклараций в рамках онлайновой кражи личности. Такое идеальное сочетание данных, вероятно, сделает Genesis Store привлекательным ресурсом для злоумышленников, желающих подать поддельные налоговые декларации, и снизит барьер входа для новичков в эту нишевую категорию мошенничества.

Об Insikt Group и компании Recorder Future.

Insikt Group – это подразделение компании Recorded Future по исследованию угроз, включает в себя аналитиков и исследователей безопасности с большим опытом работы в правительственных и правоохранительных органах, армии и разведывательных службах. Их миссия заключается в получении аналитической информации, которую в дальнейшем мы используем в целях снижения рисков для клиентов, что позволяет добиться ощутимых результатов и предотвратить сбои в работе бизнеса.

Recorded Future является крупнейшим в мире поставщиком разведданных для корпоративной безопасности. Благодаря сочетанию постоянного и повсеместного автоматизированного сбора данных и человеческого анализа Recorded Future предоставляет своевременную, точную и действенную информацию, полезную для принятия мер противодействия кибер-угрозам. В мире постоянно растущего хаоса и неопределенности Recorded Future дает организациям возможность получать информацию, необходимую для более быстрого выявления и обнаружения угроз, предпринимать упреждающие действия для пресечения действий кибер-преступников и защищать свой персонал, системы, и активы, чтобы бизнес можно было вести уверенно. Компании Recorded Future доверяют более 1 000 предприятий и правительственных организаций по всему миру.

Узнайте больше на сайте Recorded Future!

Источник: https://www.recordedfuture.com