Microsoft Memperingatkan Serangan Phishing Berbasis IRS Baru

Microsoft mendeteksi lonjakan kampanye phishing canggih yang dirancang untuk memanfaatkan kecemasan yang meningkat selama musim pajak, saat para penjahat siber meningkatkan upaya mereka untuk menipu individu maupun bisnis.

Menurut perusahaan, penjahat siber mengirim email palsu yang menyamar sebagai pengembalian pajak, dokumen penggajian, pengingat pengajuan, dan permintaan dari profesional pajak. Pesan-pesan ini bertujuan untuk memancing penerima membuka lampiran berbahaya, mengklik tautan mencurigakan, atau memindai kode QR yang berbahaya.

Skala serangan ini cukup besar. Dalam satu kampanye berskala besar yang terdeteksi bulan lalu, lebih dari 29.000 pengguna dari berbagai industri—termasuk layanan keuangan, teknologi, dan ritel—menjadi target.

Peneliti Microsoft mengatakan kampanye ini tidak hanya menargetkan individu, tetapi juga profesional yang secara rutin menangani data keuangan sensitif. Akuntan dan peran serupa sangat menarik sebagai target karena mereka terbiasa menerima komunikasi terkait pajak dan sering memiliki akses ke informasi berharga.

Semakin Meyakinkan Setiap Tahun

Meningkatnya ancaman ini, taktik phishing menjadi semakin canggih, dengan penyerang memanfaatkan alat-alat canggih untuk membuat pesan yang lebih personal dan meyakinkan.

“Sebagian besar ini adalah AI generatif, yang membuat email ini jauh lebih meyakinkan,” kata Suzanne Sando, Analis Senior Penipuan dan Keamanan di Javelin Strategy & Research. “Konsumen rata-rata akan berkata: ‘Saya rasa ini tidak nyata, tapi mungkin saja.’”

IRS terus menegaskan bahwa mereka tidak memulai kontak dengan wajib pajak melalui email, pesan teks, atau media sosial, dan mereka tidak menuntut pembayaran langsung atau mengancam penangkapan melalui telepon. Komunikasi resmi biasanya dikirim melalui surat AS, sehingga penyimpangan dari itu menjadi indikator kuat penipuan.

“Kami menegaskan bahwa IRS tidak akan pernah menelepon dan meminta informasi Anda,” kata Sando. “Mereka tidak akan pernah mengirim email dan meminta informasi, tetapi orang tetap saja memberikannya.”

Penipuan Terkait Pajak

Untuk menggambarkan bagaimana serangan ini dilakukan secara praktis, Microsoft menyoroti beberapa taktik umum yang terlihat dalam kampanye terbaru, termasuk:

• Situs web bertema pajak yang dirancang untuk menipu pengguna agar mengklik tautan dengan dalih mengakses formulir terbaru

• Pesan palsu dari IRS yang mempromosikan “Formulir Pajak Cryptocurrency 1099,” khususnya menargetkan sektor pendidikan

• Email yang menyamar sebagai klien yang mencari bantuan pengajuan, yang mengarahkan ke tautan berbahaya

• Penawaran palsu yang ditujukan kepada CPA yang merupakan kit phishing untuk mencuri email dan kata sandi korban