Bedrohungsanalyse

    Buchhaltungsfirmen im Visier: Der RAT-Steuerbetrug

    E-Mail-Betrug nutzt beschäftigte, abgelenkte Buchhalter während der Steuersaison aus.

    by Samantha Clarke

    Wichtige Punkte

    • Cyberkriminelle nutzen die Steuersaison aus, in der die Buchhalter sehr beschäftigt und abgelenkt sind.
    • Auf eine erste, scheinbar legitime Anfrage-E-Mail folgt eine zweite E-Mail mit bösartigen Links oder Dateien.
    • Bedrohungsakteure verwenden Trojaner für den Fernzugriff, um Anmeldedaten und personenbezogene Daten von den Geräten der Wirtschaftsprüfungsunternehmen zu stehlen.

    Steuersaison: Stressig und freudig

    Viele Amerikaner atmen erleichtert auf, sobald sie ihre Steuererklärung abgeschickt haben. Eine Last wird von ihren Schultern genommen, und sie kehren in ihre Routine zurück, um sich ein weiteres Jahr lang keine Gedanken über Steuern zu machen. Für Einzelpersonen kann die Steuersaison stressig sein oder eine willkommene Zeit der Freude, je nachdem, ob sie Schulden haben oder eine Erstattung erhalten.

    Aber für Wirtschaftsprüfungsunternehmen, vor allem für solche, die sich auf die Unterstützung von Privatpersonen bei der Steuererklärung spezialisiert haben, ist die als Steuersaison bekannte Zeit des Jahres oft stressig und erfreulich zugleich. Viele dieser Unternehmen erwirtschaften den Großteil ihrer jährlichen Einnahmen während der Steuersaison, aber sie sind auch extrem beschäftigt, vor allem in den letzten Wochen vor der Abgabefrist für die Steuererklärung.

    Steuerberater sind ein attraktives und leichtes Ziel

    Beschäftigt und vielleicht ein wenig abgelenkt - das ist genau die Art und Weise, wie Cyberkriminelle jedes Jahr hoffen, Steuerberater zu finden. Egal, ob es sich um eine Ein-Personen-Firma oder ein großes multinationales Unternehmen handelt, die potenzielle Belohnung für Angreifer kann genauso verlockend sein. Angesichts der Tatsache, dass US-amerikanische Wirtschaftsprüfungsunternehmen allein im Jahr 2020 einen Umsatz von $ 110 Milliarden generieren werden, gibt es definitiv genug potenzielle Belohnungen, um die Aufmerksamkeit bösartiger Akteure auf sich zu ziehen.

    Während der Steuersaison sind Buchhalter nicht nur mit der Erstellung von Steuererklärungen beschäftigt, sondern auch mit der Akquisition neuer Kunden. In der Regel finden Buchhalter die meisten ihrer neuen Kunden während der Hauptsaison. Cyberkriminelle wissen das und sind bereit, dieses Wissen auszunutzen, indem sie die Ablenkung durch die Steuersaison mit der Tatsache kombinieren, dass in dieser Zeit auch die meisten neuen Aufträge generiert werden.

    Der RAT-Steuerbetrug

    Eine Möglichkeit, wie Cyberkriminelle während der Steuersaison abgelenkte Buchhalter ausnutzen, ist der so genannte RAT-Steuerbetrug, liebevoll benannt nach dem Remote-Access-Trojaner (RAT), einer Schadsoftware, die, sobald sie auf ein Gerät heruntergeladen wurde, es einem Angreifer ermöglicht, die Kontrolle über das Gerät zu übernehmen und alles zu überwachen, was der Benutzer tut, wobei er unbemerkt im Hintergrund arbeitet. Sobald der Angreifer die Kontrolle über das Gerät erlangt hat, werden in den meisten Fällen ohne Wissen des Nutzers Tastatureingaben protokolliert und Screenshots angefertigt, um hochsensible vertrauliche Informationen nicht nur über das Opfer, sondern auch über dessen Kunden zu erfassen.

    Wie der RAT-Steuerbetrug funktioniert

    Bedrohungsakteure recherchieren ein wenig, finden die E-Mail-Adresse eines Steuerberaters, den sie ins Visier nehmen wollen, und senden dann eine E-Mail, in der sie nach Dienstleistungen zur Steuererstellung fragen. Die erste E-Mail, die sie senden, ist in der Regel harmlos in Bezug auf Malware, da sie den Steuerberater nur ködern, um eine Antwort zu erhalten. Die Bedrohung enthält absichtlich keine erkennbaren Merkmale einer Phishing-E-Mail, um Sicherheitstools zu umgehen und keinen Verdacht beim E-Mail-Empfänger zu erregen. Da die anfängliche E-Mail keine roten Fahnen auslöst, wird der Buchhalter in der Regel sofort unvorsichtig und akzeptiert, dass die Anfrage von einem legitimen potenziellen Kunden stammt.

    In der ersten E-Mail wird gefragt, ob der Steuerberater neue Kunden annimmt, und vielleicht wird sogar vorgetäuscht, dass sie in der Klemme stecken, weil ihr regulärer Steuerberater in den Ruhestand geht. Der Absender der E-Mail bietet dem Steuerberater an, ihm bei Bedarf die Vorjahreserklärung oder andere notwendige Informationen in einer weiteren E-Mail zukommen zu lassen.

    Der Buchhalter erhält diese E-Mail in der geschäftigsten Zeit des Jahres, in der er auch aktiv nach neuen Kunden sucht, um sein Geschäft auszubauen. Die E-Mail erscheint völlig legitim und scheint nichts Ungewöhnliches oder Verdächtiges an sich zu haben. Wenn alles nach dem Plan des Bedrohungsakteurs abläuft, antwortet der Steuerberater, dass er gerne seine Dienste bei der Steuererstellung anbieten würde, und bittet den neuen Kunden vielleicht sogar, einige Unterlagen per E-Mail zurückzuschicken.

    Leider ist es die zweite E-Mail des Cyberkriminellen, der sich als neuer Kunde ausgibt, die den Buchhalter in die Bredouille bringt. Die zweite E-Mail enthält einen bösartigen Link oder ein bösartiges Dokument, das den Fernzugriffstrojaner unbemerkt auf das Gerät des Kunden herunterlädt. Bei Angriffen dieser Art werden in der Regel Bilddateien verwendet, die den Anschein erwecken, dass es sich um gescannte Dokumente handelt, um die schädliche Nutzlast zu übermitteln. Der Buchhalter klickt auf einen Link oder lädt eine Datei herunter, und innerhalb von Sekunden beobachtet der Cyberkriminelle jede Bewegung des Kontos auf dem Gerät, einschließlich der Eingabe von Passwörtern und der Eingabe sensibler und persönlicher Kundendaten wie Privatadressen, Telefonnummern und Sozialversicherungsnummern.

    Was als nächstes passiert

    Cyberkriminelle können die gestohlenen Anmeldedaten verwenden, um auf Bankkonten und andere hochsensible Bereiche zuzugreifen. Sie können mit diesen Zugangsdaten auch versuchen, auf die Systeme zuzugreifen, die der Buchhalter für die Bearbeitung seiner Steuererklärungen verwendet, und diese dann ausnutzen. Die Kriminellen können ihren Zugang auch nutzen, um Ransomware zu installieren, die die Dateien des Buchhaltungsunternehmens verschlüsselt, bis ein Lösegeld gezahlt wird.

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang