le Service des recettes internes a été exhortant les entreprises de préparation d’impôts d’intensifier leurs efforts en matière de cybersécurité cette année, avertissant que les voleurs d’identité et les pirates informatiques ciblent de plus en plus les experts-comptables agréés (CPA) dans le but de siphonner des tonnes de données personnelles et financières sensibles sur les contribuables. C’est l’histoire d’un CPA du New Jersey dont la compromission par un logiciel malveillant a conduit à un vol d’identité et à de fausses demandes de remboursement d’impôt déposées au nom de ses clients.
Le mois dernier, BreachTrace a été alerté par un expert en sécurité Alex Holden de Garder la sécurité à propos d’un gang de logiciels malveillants qui semble s’être concentré sur les CPA. Dans ce cas, les escrocs utilisaient un enregistreur de frappe basé sur le Web qui enregistrait chaque frappe tapée sur la machine de la cible et téléchargeait périodiquement des captures d’écran de tout ce qui était affiché sur l’écran de l’ordinateur de la victime à ce moment-là.
Si vous n’avez jamais vu l’un de ces enregistreurs de frappe en action, la visualisation de leur sortie peut être un peu déconcertante. Ce logiciel malveillant particulier n’est pas très sophistiqué, mais il est néanmoins assez efficace. Il saisit non seulement toutes les données soumises par la victime dans des formulaires Web, mais capture également toute saisie, y compris les retours arrière et les fautes de frappe, comme nous pouvons le voir dans la capture d’écran ci-dessous.
Le logiciel malveillant enregistre tout ce que ses victimes saisissent (y compris les retours arrière et les fautes de frappe) et prend fréquemment des instantanés de l’écran de l’ordinateur de la victime.
Celui qui exécutait ce stratagème avait toutes les informations sur les victimes téléchargées sur un site protégé contre le grattage des données par les moteurs de recherche, mais le site lui-même ne nécessitait aucune forme d’authentification pour afficher les données collectées à partir des PC des victimes. Au lieu de cela, les informations volées étaient indexées par victime et classées par jour, ce qui signifie que toute personne connaissant la bonne URL pouvait voir l’enregistrement de frappe de chaque jour sous la forme d’un long fichier image.
Ces enregistrements suggèrent que ce CPA particulier – « John », un professionnel du New Jersey dont le vrai nom sera omis de cette histoire – a probablement eu son ordinateur compromis à la mi-mars 2018 (du moins, c’est aussi loin que le keylogging les records vont pour John).
On ne sait pas non plus exactement quelle méthode les voleurs ont utilisée pour obtenir des logiciels malveillants sur la machine de John. Les captures d’écran du compte de John suggèrent qu’il a systématiquement ignoré les messages de Microsoft et d’autres programmes Windows tiers sur la nécessité d’appliquer des mises à jour de sécurité critiques.
Des messages comme celui-ci – sur les mises à jour de sécurité critiques disponibles pour QuickBooks – ont été largement ignorés, selon plusieurs captures d’écran de l’ordinateur de John.
Plus probablement, cependant, l’ordinateur de John a été compromis par quelqu’un qui lui a envoyé une pièce jointe ou un lien piégé. Quand on considère à quelle fréquence les CPA doivent ouvrir Microsoft Office et d’autres fichiers soumis par des clients et des clients potentiels par e-mail, il n’est pas difficile d’imaginer à quel point il peut être simple pour les pirates de cibler et de compromettre avec succès votre CPA moyen.
Le logiciel malveillant de keylogging lui-même semble avoir été vendu (ou peut-être directement déployé) par un cybercriminel qui utilise le surnom ja_far. Cet individu commercialise un produit d’enregistreur de frappe à 50 $ avec un service de « cryptage » de logiciels malveillants qui garantit que son logiciel malveillant ne sera pas détecté par la plupart des produits antivirus pendant un certain nombre de jours après son utilisation contre une victime.
Les fils de vente de Ja_far pour l’enregistreur de frappe utilisé pour voler des données fiscales et financières à des centaines de clients de John.
Il semble probable que l’enregistreur de frappe de ja_far était la source de ces données car à un moment donné – tôt le matin, à l’heure de John – l’attaquant semble avoir accidentellement collé l’adresse de messagerie instantanée jabber de ja_far sur l’écran de la victime au lieu de la sienne. Selon toute vraisemblance, l’agresseur de John cherchait des services de cryptage supplémentaires pour s’assurer que l’enregistreur de frappe ne soit pas détecté sur le PC de John. Quelques minutes plus tard, l’intrus a téléchargé un fichier sur le PC de John à partir du site de partage de fichiers sendspace.com.
L’attaquant s’est apparemment amusé sur l’ordinateur de John alors que John n’était pas assis devant le clavier.
Ce que j’ai trouvé remarquable dans la situation de John, c’est que malgré le fait qu’il ait reçu avis après avis que l’IRS avait rejeté bon nombre des déclarations de revenus de ses clients parce que ces déclarations avaient déjà été produites par des fraudeurs, pendant au moins deux semaines, John ne semble pas avoir soupçonné que son compromis l’ordinateur était probablement la source de ladite fraude infligée à ses clients (ou s’il l’a fait, il n’a partagé cette notion avec aucun de ses amis ou de sa famille par e-mail).
Au lieu de cela, John a rédigé et distribué à ses clients une lettre type concernant leurs déclarations rejetées, et une autre lettre que les clients pourraient utiliser pour alerter l’IRS et les autorités fiscales du New Jersey d’une suspicion de fraude d’identité.
Là encore, peut-être que John finalement a fait soupçonner que quelqu’un avait réquisitionné sa machine, car le 30 mars, il a téléchargé et installé Chasseur d’espions 4un produit de sécurité de Logiciel d’énigme conçu pour détecter les logiciels espions, les enregistreurs de frappe et les rootkits, entre autres logiciels malveillants.
Soupçonnant manifestement que quelqu’un ou quelque chose dérangeait son ordinateur, John a téléchargé la version d’essai de Spyhunter 4 pour analyser son PC à la recherche de logiciels malveillants.
Spyhunter semble avoir trouvé l’enregistreur de frappe de ja_far, car peu de temps après l’apparition de l’alerte de logiciel malveillant illustrée ci-dessus sur l’écran de John, le service d’enregistrement de frappe basé sur le Web a cessé d’enregistrer les journaux de sa machine. John n’a pas répondu aux demandes de commentaires (par téléphone).
Il est peu probable que les différents clients de John victimes d’usurpation d’identité, de remboursement d’impôt ou de prise de contrôle de compte à la suite de l’infection de son PC apprennent un jour la véritable raison de la fraude. J’ai choisi de garder son nom hors de cette histoire parce que je pensais que l’expérience documentée et expliquée ici serait suffisamment révélatrice et je n’ai aucun intérêt particulier à ruiner son entreprise.
Mais un nouveau type de vol d’identité que l’IRS a mis en garde pour la première fois cette année impliquant des CPA serait très difficile à dissimuler pour une victime CPA. Les voleurs d’identité spécialisés dans la fraude au remboursement d’impôts ont été occupés à pirater tardivement des comptes en ligne dans plusieurs entreprises de préparation de déclarations de revenus et à les utiliser pour déposer de fausses demandes de remboursement. Une fois que l’IRS a traité le retour et déposé l’argent sur les comptes bancaires des clients des entreprises piratées, les escrocs contactent ces clients se faisant passer pour une agence de recouvrement et exigent que l’argent soit «restitué».
Si vous allez déposer vos impôts par voie électronique cette année et que la déclaration est rejetée, cela peut signifier que les fraudeurs vous ont devancé. L’IRS conseille aux contribuables dans cette situation de suivre les étapes décrites dans le Guide du contribuable sur le vol d’identité. Ceux qui ne sont pas en mesure de produire leur déclaration par voie électronique doivent envoyer une déclaration de revenus sur papier avec Formulaire 14039 (PDF) – l’affidavit de vol d’identité – déclarant qu’ils ont été victimes d’une violation de données d’un préparateur de déclarations de revenus.
Les fiscalistes pourraient envisager d’utiliser autre chose que Microsoft Windows pour gérer les données de leurs clients. J’ai longtemps dispensé ce conseil aux personnes en charge de la gestion des comptes de paie pour les petites et moyennes entreprises. Je continue à suivre ce conseil non pas parce qu’il n’y a pas de malware qui peut infecter Mac ou Linuxmais parce que la grande majorité des logiciels malveillants actuels ciblent toujours les ordinateurs Windows, et vous n’avez pas à distancer l’ours – seulement le prochain.
De nombreux lecteurs impliqués dans la gestion des comptes de paie des entreprises ont rétorqué que ce conseil n’est pas pratique pour les personnes qui s’appuient sur plusieurs programmes Windows pour faire leur travail. De nos jours, cependant, la plupart des systèmes et services nécessaires pour effectuer des tâches de comptabilité (et de CPA) peuvent être utilisés sur plusieurs systèmes d’exploitation, principalement parce qu’ils sont désormais basés sur le Web et reposent plutôt sur des informations d’identification saisies dans certains services cloud (par exemple, UltraTaxe, QuickBooksou même Office 365 de Microsoft).
Naturellement, les utilisateurs doivent toujours se méfier des escroqueries par hameçonnage qui tentent d’inciter les gens à divulguer des informations d’identification à ces services, mais lorsque toute votre entreprise de gestion de l’argent et des identités d’autres personnes peut être annulée par un simple enregistreur de frappe, c’est une bonne idée de faire n’importe quoi vous pouvez éviter de devenir la prochaine victime de logiciels malveillants.
Selon l’IRS, les fraudeurs utilisent des attaques de harponnage pour compromettre les ordinateurs des fiscalistes. Dans ce schéma, le « criminel identifie un ou plusieurs préparateurs de déclarations dans une entreprise et envoie un e-mail se faisant passer pour une source fiable telle que l’IRS, un fournisseur de logiciels fiscaux ou un fournisseur de stockage en nuage. Les voleurs peuvent également se faire passer pour des clients ou de nouveaux prospects. L’objectif est d’inciter le fiscaliste à divulguer des noms d’utilisateur et des mots de passe sensibles ou d’ouvrir un lien ou une pièce jointe qui télécharge secrètement des logiciels malveillants permettant aux voleurs de suivre chaque frappe.
L’IRS prévient que certains fiscalistes peuvent ignorer qu’ils sont victimes de vol de données, même longtemps après que toutes les données de leurs clients ont été volées par des intrus numériques. Voici quelques signes indiquant qu’il pourrait y avoir un problème :
- Les retours des clients déposés par voie électronique commencent à être rejetés parce que les retours avec leurs numéros de sécurité sociale ont déjà été déposés ;
- Le nombre de déclarations déposées avec le numéro d’identification de dépôt électronique (EFIN) du fiscaliste dépasse le nombre de clients ;
- Les clients qui n’ont pas produit de déclarations de revenus commencent à recevoir des lettres d’authentification de l’IRS ;
- Les ordinateurs du réseau fonctionnent plus lentement que la normale ;
- Curseurs d’ordinateur se déplaçant ou changeant de nombres sans toucher le clavier ;
- Des ordinateurs en réseau verrouillent les fiscalistes.