Veel landen hebben belastingformulieren met namen die in het algemene vocabulaire zijn opgenomen, met name de afkortingen van documenten die werkgevers verplicht zijn aan hun personeel te verstrekken om aan te tonen hoeveel geld ze hebben betaald - en, belangrijker nog, hoeveel belasting al is ingehouden en betaald namens de werknemer.
In het VK, bijvoorbeeld, de naam van het formulier P45 wordt vaak gebruikt als synoniem voor ontslagen worden, aangezien het een laatste belastingoverzicht is dat u krijgt als u, al dan niet vrijwillig, een baan verlaat.
In Zuid-Afrika krijg je een IRP5 aan het einde van het belastingjaar - een archaïsche term waarvan we vermoeden dat deze een afkorting is Binnenlandse belasting/persoonlijk, formulier #5, ook al wordt het Zuid-Afrikaanse belastingkantoor al bijna 25 jaar niet meer de Belastingdienst genoemd.
In de VS is het inkomstenformulier a W-2, kort voor Loon- en Belastingaangifte, Versie 2. (Het lijkt erop dat er vroeger een vorm W-1 was, maar deze werd in de jaren vijftig vervangen.)
Hier bij Naked Security kennen we onder andere de namen van deze formulieren, omdat ze vaak verschijnen in e-mails met belastingfraude, vermoedelijk om die berichten een vleugje realisme te geven.
Hoe dan ook, aangezien het de laatste week van januari is en het Amerikaanse belastingaangifteseizoen dus op het punt staat van start te gaan, waren we niet verrast om vandaag een belastinggerelateerde scam-e-mail te ontvangen en het W-2-formulier expliciet genoemd te zien.
We waren echter geïntrigeerd door het 'less is more'-karakter van het phishingbericht van vandaag: er was geen traditionele oproep tot actie, alleen een eenvoudig verzoek om meer informatie.
Phishing zonder links
Wanneer we schrijven over belastingscams, waarschuwen we meestal voor traditionele phishing-campagnes waarbij het de bedoeling is u te verleiden om in te loggen op een nepsite waar de accountgegevens en het wachtwoord van uw belastingkantoor worden vastgelegd door cybercriminelen.
Soms gebruiken de boeven de hogedruktactiek om u te waarschuwen dat u in de problemen kunt komen als u niet meteen handelt (en wie zou bereid zijn een belastingcontrole uit te voeren?); vaak is de zwendel echter afhankelijk van de verleiding van een terugbetaling, zoals deze hebben we ontvangen via sms een jaar geleden:
Maar zoals gewone lezers zullen weten, stappen tegenwoordig nogal wat cybercriminaliteitsgroepen af van pure 'technohacks', zoals e-mailzwendel waarbij je volledig afhankelijk bent van het klikken op een neplink.
In plaats daarvan nemen veel cybercriminelen de 'door mensen geleide' benadering over die criminelen zoals voorschotfraudeurs en romance-oplichters in de loop der jaren zo goed heeft geholpen.
Ransomware-oplichters, bijvoorbeeld, waren vroeger sterk afhankelijk van automatische opsporing honderden of duizenden onafhankelijke slachtoffers tegelijk door links of bijlagen te spammen die de ransomware direct ontketenden en vervolgens ergens tussen de $ 300 en $ 1000 eisten van iedereen die werd geraakt.
Tegenwoordig is de door mensen geleide benadering betekent dat hoewel ransomware-criminelen nog steeds vertrouwen op het versleutelen van honderden of duizenden computers in een enkele aanval, is er zelden een duidelijke of wijdverbreide spamcampagne die de aanval op voorhand verraadt.
LEES MEER OVER HOE MODERNE CYBERCRIMINELEN AANVALLEN
Klik en sleep op de onderstaande geluidsgolven om naar een willekeurig punt in de podcast te gaan.
Ook luister direct op Soundcloud, of lees a volledig transcript van de opname.
Tegenwoordig breken ransomware-criminelen doorgaans heel stil in (of kopen zich een weg naar) uw netwerk, en plannen vervolgens zorgvuldig een aanval die wordt gecoördineerd en handmatig wordt gestart, op een tijdstip dat de boeven past en u benadeelt.
Evenzo technische ondersteuning oplichters vertrouwen steeds meer op jou overhalen om ze te bellen, in plaats van de wereld te bombarderen met spam-achtige links of nepbijlagen en vervolgens te proberen de mensen of computers eruit te filteren die lijken te reageren.
Veel slachtoffers zijn bereid om de oplichters terug te bellen - ze bieden vaak een handig gratis nummer, dus het kost je zelfs niets - omdat het voelt als een benadering met een laag risico.
Hackers kunnen immers niet rechtstreeks malware op uw computer pushen of een exploit in uw browser injecteren als u alleen maar met hen praat.
Natuurlijk gebruiken de boeven dat in hun eigen voordeel, en geven ze je vaak een niveau van persoonlijke aandacht en vasthoudendheid dat je zou willen dat je zou krijgen van andere IT-leveranciers...
… op dat moment hebben de criminelen geen exploit nodig om code op uw computer uit te voeren, omdat ze u behulpzaam en geduldig zullen helpen om dat werk helemaal alleen te doen: ze misleiden u heimelijk om een cyberbeveiligingsprobleem voor uzelf te creëren onder de vermomming om er een te repareren.
Een beetje beleefdheid gaat een lange weg
De belastingoplichters van tegenwoordig hebben een "laten we het vriendelijk vragen"-klus gedaan, zorgvuldig links en bijlagen vermijdend, en vermoedelijk hopend dat iemand op hun mailinglijst bereid zal zijn te antwoorden in de hoop te onderzoeken wat voelt als een nieuwe zakelijke kans:
Ik ben eigenlijk van plan om de cpa voor mijn belastingaangifte voor 2021 te wijzigen. Ik zou graag willen weten of uw bedrijf openstaat voor het accepteren van nieuwe klanten voor het volgende belastingjaar. Al mijn documenten zijn voltooid, het enige wat ik nog moet hebben is alleen mijn W2.
Gelieve te adviseren over hoe verder te gaan en of ik alle beschikbare documenten kan sturen en wat zijn uw vergoedingen voor individuele retouren?
[Redacted]
Managing Director
(CPA is een afkorting voor Certified Public Accountant, het Amerikaanse equivalent van wat mensen in veel landen van het Gemenebest een CA noemen, of Chartered Accountant.)
Aan de ene kant suggereert het feit dat veel oplichters tegenwoordig links en bijlagen vermijden dat we, als digitale samenleving, leren voorzichtiger te zijn voordat we blindelings geloven in ongevraagde websites of bestanden.
Aan de andere kant moeten we onthouden dat contact met een oplichter op welke manier dan ook de eerste stap is die een cybercrimineel wil dat je neemt.
Wat te doen?
Niet in de laatste plaats omdat het deze week Data Privacy Week is en Data Privacy Day op vrijdag 28 januari 2022, houd altijd ons eenvoudigste advies in gedachten wanneer u besluit om contact te leggen met mensen die u nog niet online kent:
- Wees bewust voordat je deelt. Elk klein beetje dat je over jezelf weggeeft, maakt het voor een oplichter gemakkelijker om je te charmeren, te bedreigen of je te verleiden tot een online relatie waar je in eerste instantie niet om hebt gevraagd.
- Geef het bij twijfel niet uit. Als het voelt als oplichterij, ga dan terug en ga ervan uit dat het zo is.
- Geen antwoord is vaak een goed antwoord. Voel je nooit gedwongen om uit beleefdheid of volledigheid te antwoorden. Het is gemakkelijker om uit de klauwen van een oplichter te blijven als je de deur niet opent voor een antwoord-op-je-antwoord.
- Luister naar vrienden en familie. Vooral als er geld in het spel is - of u het nu naar een romantiek oplichter die valselijk beweert van je te houden, of het ontvangt van nieuwe "zakenpartners" die frauduleus hebben gehandeld heb je een "baan" gegeven in hun organisatie.
Blijf veilig online, allemaal!
