Per la maggior parte delle piccole imprese la fine della stagione fiscale porta un sospiro di sollievo. Ma non lasciare che le tue guardie si abbassino ancora. Una nuova minaccia che circonda la frode W-2 è stata rilevata, aumentando le preoccupazioni sulle truffe legate alle tasse in questo momento.
La minaccia di frode di phishing W-2
I moduli W-2 contengono tutte le informazioni che i ladri di identità stanno cercando: nomi completi, indirizzi, numeri di identificazione e altro. I criminali informatici lo capiscono, quindi creano piani elaborati per mettere le mani su di loro.
Fortunatamente, Barracuda, gli esperti di cyber-rischio hanno recentemente denunciato la minaccia in un post sul blog ufficiale della compagnia.
La truffa impone ai criminali di sapere chi nella tua azienda ha accesso a W-2 - di solito qualcuno nel reparto risorse umane - e chi nella tua azienda ha l'autorità per chiederlo. Una volta che identificano chi sono queste persone, possono iniziare la loro truffa.
I criminali informatici iniziano impersonando il manager, dirigente di alto livello, o chiunque nella tua azienda avrebbe bisogno di accedere a W-2. Diciamo che questa persona è John Smith, direttore generale. I criminali iniziano creando un falso account di posta elettronica molto simile a quello reale.
Le e-mail accovacciate sono account falsi che vengono creati cambiando una cifra e passano spesso inosservati. Diciamo che il vero indirizzo email di John era "[email protected]" Gli scammer creeranno email con un dominio Typo-squatted, ad esempio: "[email protected]" o forse "[email protected]"
Nell'ambiente affollato dell'ufficio quando si ricevono più e-mail quotidianamente, può essere facile perdere il fatto che "piccolo" manca un L e "business" manca una S nel nome del dominio. La maggior parte delle persone non legge da vicino l'indirizzo delle e-mail in arrivo, specialmente quando sono familiari.
I criminali informatici utilizzeranno il proprio account falso per inviare improvvisamente il dipartimento risorse umane o la persona che gestisce l'e-mail di W-2 richiedendo urgentemente una copia del W-2 di qualcuno.
Questa truffa particolare si concentra sulla creazione di un senso di autorità attraverso il falso account di posta elettronica e un senso di urgenza nella richiesta improvvisa per i documenti. Dal momento che l'e-mail sembra provenire da una persona di potere e questa persona sembra chiedere le informazioni per necessità urgenti, è probabile che la vittima si adegui.
I tipi più comuni di righe oggetto in questa truffa via email sono:
- W2 di John (o di un altro dipendente)
- 2016 W-2's
- Richiesta per impiegato W2 2016
Il corpo dell'email esprimerà che il documento è necessario "entro la fine della giornata" o "ASAP". Una volta che i criminali informatici hanno il modulo W-2, possono facilmente vendere le informazioni personali che contiene. L'informazione viene quindi utilizzata per rubare identità e crearne di nuove.
W-2 tecniche di phishing truffa
Le aziende possono essere a conoscenza di truffe relative ai documenti fiscali, ma sono più in guardia prima o durante la stagione delle tasse. Una volta che la stagione è finita, la loro consapevolezza diventa più rilassata.
Il seguente grafico evidenzia come questa truffa di phishing W-2 utilizza tre tecniche:
- Ingegneria sociale
- imitazione
- Vendite nel mercato nero
Come proteggere la tua azienda da questa truffa di phishing W-2
Se il W-2 di cui sei responsabile viene rubato, le conseguenze possono essere molto costose per la tua piccola impresa. La mancata protezione delle informazioni riservate dei dipendenti può portare a cause legali, perdita di fiducia e rapporti rovinati.
Il passo più importante per proteggere la tua azienda è creare consapevolezza, specialmente in settori sensibili come risorse umane, finanza e legale. Semplicemente informare i dipendenti di questi tipi di truffe farà molto per prevenirli.
Non importa quanto diventino criminali elaborati, questo tipo di phishing dipende sempre da qualcuno che fa clic sul loro link e invia loro volontariamente le informazioni.
Facendo un ulteriore passo avanti, la tua azienda può creare un ulteriore livello di sicurezza con i filtri in uscita. Ciò eviterà che documenti sensibili lascino il tuo dominio o vengano inviati a indirizzi email sconosciuti.
Immagini: Barracuda
