Für die meisten kleinen Unternehmen ist das Ende der Steuerjahreszeit ein Zeichen der Erleichterung. Aber lass deine Wachen noch nicht runter. Es wurde eine neue Bedrohung im Zusammenhang mit W-2-Betrug entdeckt, die die Bedenken hinsichtlich steuerlicher Betrugsfälle derzeit verstärkt.
Die W-2 Phishing Scam-Bedrohung
W-2-Formulare enthalten alle Informationen, nach denen Identitätsdiebs suchen: vollständige Namen, Adressen, Kennnummern und mehr. Cyber-Kriminelle verstehen das, deshalb erstellen sie ausgeklügelte Pläne, um sie in die Hände zu bekommen.
Glücklicherweise haben Barracuda, die Cyber-Risikoexperten, kürzlich in einem Beitrag im offiziellen Blog des Unternehmens die Bedrohung aufgedeckt.
Der Betrug erfordert, dass Kriminelle wissen, wer in Ihrem Unternehmen Zugang zu W-2 hat - normalerweise jemand in der Personalabteilung - und wer in Ihrem Unternehmen die Befugnis hat, nach ihnen zu fragen. Sobald sie identifizieren, wer diese Leute sind, können sie ihren Betrug beginnen.
Cyber-Kriminelle beginnen damit, sich als Manager, leitender Angestellter oder als Person in Ihrem Unternehmen auszugeben, die auf den W-2 zugreifen muss. Nehmen wir an, diese Person ist John Smith, General Manager. Die Kriminellen beginnen mit der Erstellung eines gefälschten E-Mail-Kontos, das dem echten sehr ähnlich ist.
Typo-hockte E-Mails sind gefälschte Konten, die durch Ändern einer Ziffer erstellt werden und oft unbemerkt bleiben. Nehmen wir an, Johns echte E-Mail-Adresse lautet "[email protected]". Die Betrüger erstellen E-Mails mit einer Typo-hockten Domain, zum Beispiel: "[email protected]" oder vielleicht "[email protected]"
In der belebten Umgebung des Büros, wenn Sie täglich mehrere E-Mails empfangen, kann es leicht sein, die Tatsache zu übersehen, dass "klein" ein L fehlt und "geschäftlich" ein S im Domain-Namen fehlt. Die meisten Menschen lesen die Adresse eingehender E-Mails nicht genau - vor allem, wenn sie ihnen bekannt sind.
Cyber-Kriminelle werden ihr gefälschtes Konto verwenden, um der Personalabteilung oder der Person, die mit W-2 arbeitet, plötzlich eine E-Mail zu senden, in der dringend eine Kopie von W-2 angefordert wird.
Dieser besondere Betrug konzentriert sich auf die Schaffung eines Gefühl der Autorität durch die gefälschte E-Mail-Konto und ein Gefühl der Dringlichkeit in der plötzlichen Anfrage für die Dokumente. Da die E-Mail von einer Person zu stammen scheint, die Macht hat, und diese Person scheint um Informationen zu bitten, die aus dringender Not sind - das Opfer wird wahrscheinlich entsprechen.
Die häufigsten Arten von Betreffzeilen in diesem E-Mail-Betrug sind:
- Johns (oder ein anderer Mitarbeiter) W2
- 2016 W-2
- Anfrage für Mitarbeiter W2 2016
Der Text der E-Mail zeigt an, dass das Dokument "am Ende des Tages" oder "so schnell wie möglich" benötigt wird. Sobald Cyberkriminelle das Formular W-2 haben, können sie die darin enthaltenen persönlichen Informationen problemlos verkaufen. Die Informationen werden dann verwendet, um Identitäten zu stehlen und neue zu erstellen.
W-2 Phishing Scam-Techniken
Unternehmen kennen möglicherweise Betrügereien in Bezug auf Steuerdokumente, aber sie sind mehr vor oder während der Steuerperiode auf der Hut. Sobald die Saison vorbei ist, wird ihr Bewusstsein entspannter.
Die folgende Grafik zeigt, wie dieser W-2 Phishing-Betrug drei Techniken verwendet:
- Soziale Technik
- Identitätsdiebstahl
- Schwarzmarkt-Verkäufe
So schützen Sie Ihr Unternehmen vor diesem W-2 Phishing Scam
Wenn die W-2, für die Sie verantwortlich sind, gestohlen werden, können die Folgen für Ihr kleines Unternehmen sehr kostspielig sein. Wenn Sie die vertraulichen Informationen Ihrer Mitarbeiter nicht schützen, kann dies zu Rechtsstreitigkeiten, Vertrauensverlust und zerstörten Beziehungen führen.
Der wichtigste Schritt zum Schutz Ihres Unternehmens ist die Sensibilisierung insbesondere in sensiblen Bereichen wie Personal, Finanzen und Recht. Wenn Sie Ihre Mitarbeiter einfach über diese Arten von Betrügereien informieren, werden sie einen großen Beitrag dazu leisten, sie zu verhindern.
Ganz gleich, wie kompliziert Kriminelle werden, diese Art von Phishing-Betrug hängt immer davon ab, dass jemand auf ihren Link klickt und ihnen freiwillig die Informationen sendet.
Wenn Sie einen Schritt weiter gehen, kann Ihr Unternehmen eine zusätzliche Sicherheitsebene mit ausgehenden Filtern erstellen. Dies verhindert, dass vertrauliche Dokumente Ihre Domain verlassen oder an unbekannte E-Mail-Adressen gesendet werden.
Stockbilder: Barracuda
