2026年刚开年,网络安全公司Proofpoint已经记录了超过100起针对报税季的钓鱼攻击。这个数字比去年同期涨了47%,攻击者不再单打独斗,而是形成了有组织的"流水线作业"。
攻击者冒充美国国税局(IRS)、各国税务机构和企业HR部门,诱导用户安装恶意软件或交出登录凭证。从恶意程序到远程访问工具,再到专门窃取凭证的钓鱼页面,手段比往年丰富得多。
伪造的"官方文件"成了最佳诱饵
攻击者的剧本写得很细。过期税务文件通知、IRS申报提醒、伪造HR团队发来的W-2表格索取邮件,甚至针对非美国纳税人的W-8BEN表格——每种场景都对应特定人群的心理弱点。
Proofpoint研究员发现,今年1月以来已有十几起冒充IRS的远程监控与管理(RMM)工具投放活动。两个被重点标记的威胁组织——TA4922和TA2730——各自运行着目标明确的财务攻击链条。
「2026年的RMM载荷数量超过以往任何报税季,」Proofpoint在报告中写道。新出现的攻击者、更多样化的社会工程诱饵,构成了今年威胁版图的新特征。
合法工具成了"特洛伊木马"
攻击者越来越偏爱一个狡猾的套路:滥用正规RMM软件。N-able、Datto、RemotePC、Zoho Assist、ScreenConnect——这些名字在企业IT部门的白名单里躺了多年,数字签名齐全,安全系统天然信任。
2月5日的一起典型攻击:邮件冒充IRS,附带一个"税务记录查看器"按钮。点击后跳转Bitbucket托管的可执行文件,静默安装N-able RMM。攻击者甚至在邮件里放了一个真实的IRS客服电话,增加可信度。
这种"借壳上市"的手法让传统防护手段很头疼。杀毒软件看到熟悉的签名就放行,防火墙不会拦截正经的远程连接——直到攻击者已经坐在你的电脑里。
TA4922的"慢工出细活"
今年被识别的攻击者中,TA4922的攻击链设计最为精密。Proofpoint从2025年春季开始追踪这个组织,判断其总部位于东亚,主要使用中文。
该组织的核心目标是获取系统远程访问权限,用于金融欺诈、数据窃取,或把访问权转卖给其他犯罪分子。其主要投放的恶意软件来自Winos4.0生态——也被称为ValleyRAT——通过加载器和信息窃取组件的组合实现渗透。
与广撒网的钓鱼不同,TA4922倾向于多阶段、低频率的精准打击。先建立立足点,再横向移动,最后才动手收割——这种耐心让检测窗口被压缩到最小。
另一个被标记的组织TA2730则走 credential phishing(凭证钓鱼)路线。Proofpoint自2025年6月开始追踪该组织,今年2月冒充瑞士Swissquote和加拿大Questrade两家投资机构,以更新W-8BEN表格为由诱导用户访问伪造登录页面。
报税季的"注意力红利"
税务话题天然携带紧迫感。截止日期、罚款威胁、复杂的表格填写——这些压力让用户更容易跳过安全验证步骤。攻击者深谙此道,把时间窗口和情绪弱点都算计进去。
攻击范围以美国为主,但已蔓延至加拿大、澳大利亚、瑞士、日本。邮件发送量从精准定向的几封到批量投递的数万封不等,覆盖不同风险偏好和资源的攻击者。
企业安全团队面临一个尴尬现实:RMM工具本身是IT运维的基础设施,不可能一禁了之。区分合法使用和恶意滥用的边界,需要更细粒度的行为监控——而这恰恰是许多组织的短板。
Proofpoint没有披露这些活动的具体得手率,但一个细节值得玩味:攻击者愿意在钓鱼邮件里放真实的IRS电话号码。这种"真假混用"的自信,暗示他们评估过用户的验证意愿——大多数人不会真的拨打。
当税务系统的复杂性成为攻击者的掩护,普通用户能做的验证步骤又有几步?
热门跟贴