Рост фишинга в период подачи деклараций 2026 года
С началом кампании по подаче налоговых деклараций в 2026 году киберпреступники резко активизировали фишинг. Они используют давление сроков и ожидание официальных уведомлений от государственных и финансовых структур. В этих условиях налогоплательщики чаще открывают письма и переходят по ссылкам, чем злоумышленники и пользуются.
Отчёт Hornetsecurity и данные Proofpoint за март 2026 года
Hornetsecurity опубликовала в апреле ежемесячный отчёт об угрозах, который охватывает март 2026 года. Компания опиралась на данные Proofpoint и зафиксировала более ста активных фишинг-кампаний с налоговой тематикой с начала 2026 года. Отчёт также указывает на рост объёма атак и расширение их разнообразия по сравнению с предыдущими годами.
Атаки под видом Agencia Tributaria и банков
Выявленные кампании развиваются по двум направлениям. В первом случае злоумышленники выдают себя за налоговые органы, в Испании — за Agencia Tributaria (государственная служба по сбору налогов). Они рассылают письма о якобы просроченных документах, ожидаемых возвратах средств или срочной проверке данных, чтобы подтолкнуть получателя к переходу по ссылке или загрузке вложения.
Во втором случае преступники имитируют сообщения от банков и финансовых сервисов. Такие письма нацелены на кражу учётных данных клиентов инвестиционных и повседневных счетов.
География кампаний и переход к инструментам RMM
По данным Proofpoint, фишинг-кампании проходят параллельно в нескольких странах. Активность зафиксировали в Испании, других странах Европы, Канаде, Австралии, Сингапуре, Швейцарии и Японии, при этом содержание писем адаптируют под местные налоговые календари и организации.
Отчёт Hornetsecurity за 2026 год также фиксирует изменение тактики. Вместо кражи логинов и паролей злоумышленники всё чаще пытаются установить на устройства жертв инструменты RMM — программы удалённого мониторинга и управления. Proofpoint выявила использование легитимного ПО Datto, N-Able, RemotePC и ScreenConnect, которое системы защиты не всегда распознают как вредоносное.
После установки такие инструменты дают атакующему постоянный удалённый доступ к устройству. Этот доступ сохраняется и после окончания налоговой кампании, поэтому пользователь, пострадавший в марте, может оставаться под контролем злоумышленников осенью.
В ряде случаев преступники не используют доступ напрямую. Они собирают учётные данные и сессионные токены в больших объёмах и затем продают их на нелегальных онлайн-рынках для мошенничества или кражи личности.
Hornetsecurity и Proofpoint подчёркивают, что ни Agencia Tributaria, ни банки не рассылают незапрошенные письма со ссылками или вложениями. Карлос Виейра, директор Hornetsecurity по Иберии, Италии и Латинской Америке, связал рост активности преступников с налоговым сезоном, давлением сроков и объёмом чувствительных коммуникаций между гражданами, компаниями и государственными органами.
Оригинал: источник
