W-2-Phishing-Betrug zielt auf mehr als nur Unternehmen ab, warnt die IRS
Es passiert täglich. Ein Mitarbeiter erhält eine dringende E-Mail von einem Vorgesetzten oder einer Führungskraft mit der Bitte um Informationen, Dateien oder Dokumente. Meistens handelt es sich um eine legitime Angelegenheit.
Aber ein neuer Strang von W-2-Phishing-E-Mails - manchmal auch als Business Email Compromise (BEC) bekannt - nutzt diese Standardroutine, um Gehaltsabrechnungsdaten von Unternehmen, Steuerzahlerinformationen und wertvolle Identitäten zu stehlen.
Nach der jüngsten Warnung der US-Steuerbehörde IRS gibt es eine neue Salve von Phishing-Betrügereien, die E-Mails von Führungskräften vortäuschen und um Mitarbeiterlisten und sensible W-2-Formulare bitten. Die Phisher zielen strategisch auf Mitarbeiter in der Gehaltsabrechnung oder in der Personalabteilung ab und lassen die Anfrage so viel legitimer erscheinen.
"Dies ist einer der gefährlichsten E-Mail-Phishing-Betrügereien, die wir seit langem gesehen haben", sagte IRS Commissioner John Koskinen in einer Pressemitteilung auf IRS.gov. "Er kann zu einem groß angelegten Diebstahl sensibler Daten führen, die Kriminelle für verschiedene Straftaten nutzen können, einschließlich der Einreichung betrügerischer Steuererklärungen. Wir brauchen die Hilfe aller, um gegen diese Machenschaften vorzugehen".
Laut CSO Online waren 2017 bereits mehr als 30.000 Steuerzahler vom W-2-Betrug betroffen. Im Jahr 2016 fielen rund 145 Organisationen dieser Art von Steuerbetrug zum Opfer, wodurch Tausende von Datensätzen offengelegt wurden.
Größere Reichweite, mehr Phishing-Ziele
Der W-2-Phishing-Betrug tauchte erstmals im letzten Jahr auf, ist aber in der Steuersaison schon früher in Umlauf, warnte die IRS. Der Angriff hat sich auch ausgeweitet und zielt nun auf Schulen, das Gesundheitswesen, Restaurants und Personalvermittlungsagenturen ab - Organisationen, die oft weniger gut geschult sind und weniger Bewusstsein für bewährte Verfahren der Cybersicherheit haben.
In einigen Fällen folgt auf den ersten W-2-Phishing-Versuch eine weitere E-Mail an einen Mitarbeiter der Lohnbuchhaltung oder des Rechnungsprüfungsamtes, in der eine Überweisung auf ein bestimmtes Konto gefordert wird.
Leider sind einige Unternehmen sowohl dem W-2-Phishing-Betrug als auch dem Überweisungsbetrug zum Opfer gefallen, die beide auf legitim aussehende E-Mails von Führungskräften zurückgreifen.
Brian Krebs, CSO Online und Forbes haben alle über die neue Welle von W-2-Phishing-Betrug berichtet. Krebs, ein bekannter Cybersicherheitsforscher und Enthüllungsjournalist, erklärt, dass diese neuen Betrügereien dem üblichen "CEO-Betrug" sehr ähnlich sind, der auf dem blinden Vertrauen der Mitarbeiter beruht, die ihren Chefs oder Vorgesetzten alles geben, was sie verlangen. Es handelt sich dabei um sehr häufige Betrügereien, die zu jeder Zeit des Jahres auftreten können.
Cybersicherheit in Unternehmen hat Risse und Fehler
Der Schutz der Identität und der Daten von Steuerzahlern ist in dieser Jahreszeit von entscheidender Bedeutung, aber die W-2-Betrügereien zeigen die alarmierende Realität der Cybersicherheit in Unternehmen. Die Betrügereien halten sich hartnäckig, weil sie funktionieren. Und sie funktionieren, weil viele Organisationen und Unternehmen laxe Sicherheitskontrollen haben.
Wenn wohlmeinende Mitarbeiter Opfer von BEC-Betrug werden, klicken sie wahrscheinlich auf eine Vielzahl von Phishing-Links. Diese bösartigen URLs bieten Bedrohungsakteuren einfache Mittel zur Bereitstellung von Malware-Nutzdaten, die zum Diebstahl von geistigem Eigentum, Zugangsdaten, sensiblen Daten, Mitarbeiterdaten, Kundeninformationen und mehr verwendet werden.
Schutz vor W-2-Phishing-Betrug
Viele Menschen sind schon einmal auf einen Phishing-Betrug hereingefallen. In einem aktuellen Sicherheitsbericht schätzt Verizon, dass 30 Prozent der Phishing-E-Mails geöffnet werden und 12 Prozent der Phishing-Zielpersonen auf den Link oder Anhang klicken.
Aber während der Steuersaison ist es noch wichtiger, wachsam zu sein, insbesondere bei der Nutzung von Firmen-E-Mails, Geräten und Computern.
Setzen Sie diese bewährten Verfahren zum Schutz Ihres Unternehmens und Ihrer Mitarbeiter vor W-2- und anderen Phishing-Betrügereien ein.
- Kommunizieren Sie schnell. Informieren Sie alle Mitarbeiter über den W-2-Betrug und geben Sie Anweisungen, wen sie benachrichtigen können, wenn sie glauben, dass sie Opfer eines Betrugs geworden sind.
- Befähigen Sie Ihr Personal. Schulen Sie Ihre Mitarbeiter darin, wie sie Phishing-E-Mails erkennen können. Unbekannte Absender, merkwürdige E-Mail-Kopfzeilen, Rechtschreib- oder Grammatikfehler, ungewöhnliche Aufforderungen usw. sind rote Fahnen.
- Seien Sie misstrauisch. Klicken Sie niemals auf Links, antworten Sie nicht auf Anfragen oder geben Sie keine Informationen an unbekannte Parteien weiter.
- Schaffen Sie eine Sicherheitskultur. Schaffen Sie eine ganzjährige Kultur der Cybersicherheit, die das Abschließen von Arbeitsplätzen, die Sicherung von Laptops, die Verwendung sicherer Passwörter, die Vorsicht vor Phishing-E-Mails, das Sichtbarmachen von Ausweisen auf dem Firmengelände und das Hinterfragen unbekannter Besucher umfasst.
- Benachrichtigen Sie die Behörden. Organisationen, die W-2-Betrügereien erhalten oder ihnen zum Opfer fallen, sollten eine Beschwerde beim Internet Crime Complaint Center (IC3) des FBI einreichen
Der IRS bittet betroffene Arbeitgeber, Organisationen oder Unternehmen dringend, alle W-2-Phishing-Versuche an phishing@irs.gov weiterzuleiten und als Betreff "W-2 Scam" zu verwenden.
Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.