La découverte d’une nouvelle d’une arnaque de phishing sur les services électroniques e-Services de l’IRS a incité cette agence du gouvernement fédéral des États-Unis à lancer ses conseils fiscaux sur la sensibilisation à la sécurité, avec un avertissement contre le phishing.
Nouvelle attaque de phishing signalée sur les e-Services de l’IRS
Les escroqueries fiscales de l’IRS n’ont rien de nouveau.
En fait, cette agence émet régulièrement des mises en garde contre les nouvelles arnaques par téléphone et par e-mail.
Les criminels conçoivent souvent de nouvelles escroqueries pour amener les consommateurs américains à divulguer des renseignements personnels. Toutefois, la récente escroquerie sur les services électroniques de l’IRS a visé les fiscalistes et tenté d’amener les utilisateurs à révéler leurs identifiants de connexion à la plateforme e-Services.
Comme c’est le cas pour la plupart des campagnes de phishing, un e-mail très réaliste a été envoyé pour demander que des mesures soient prises pour régler un problème nécessitant une attention urgente de la part de l’utilisateur. De nombreuses attaques de phishing menées contre l’IRS avertissent de la suspension immédiate d’un compte ; mais la dernière escroquerie sur les services électroniques de l’IRS a dit que c’est déjà fait. Afin de lever la suspension du compte, l’utilisateur doit cliquer sur le lien contenu dans l’e-mail et mettre à jour ses numéros d’identification de dépôt électronique (EFINs).
L’email se présente comme suit :
« Notre surveillance de compte a détecté des activités suspectes sur votre compte, et pour maintenir la sécurité, nous avons temporairement désactivé certaines fonctions sur votre compte ».
L’utilisateur dispose d’un lien sur lequel il doit cliquer pour réactiver toutes les fonctions de son compte. Après avoir cliqué sur ce lien, l’utilisateur est invité à vérifier son identité en entrant son nom d’utilisateur et son mot de passe.
Le lien contenu dans l’e-mail peut sembler authentique, mais il dirigera l’utilisateur vers un site Web de phishing qui va capturer son nom d’utilisateur et le mot de passe au fur et à mesure de la saisie.
L’accès aux services électroniques de l’IRS est potentiellement très lucratif pour les criminels. Ce service permet aux professionnels de la fiscalité d’offrir un certain nombre de services en ligne au nom de leurs clients.
L’accès à l’un de ces comptes peut fournir aux fraudeurs l’accès à une mine de données qui peuvent être utilisées pour commettre un vol d’identité et une fraude fiscale. Si l’accès au compte est obtenu, les criminels pourraient obtenir des détails sur les déclarations de revenus antérieures et d’autres détails sur le compte du client.
L’email semble avoir été envoyé à partir d’une véritable adresse email de l’IRS. Cette nouvelle escroquerie sur les services électroniques de l’IRS montre qu’on ne peut pas faire confiance aux adresses e-mail de l’expéditeur pour vérifier l’authenticité des e-mails.
Les professionnels de l’impôt ont été avertis de ne pas cliquer sur le lien contenu dans le courriel de phishing et de le supprimer.
L’IRS a indiqué aux utilisateurs ne jamais communiquer avec des individus par messagerie électronique, réseaux sociaux ou texto. L’agence ne demandera non plus aux utilisateurs de révéler leurs mots de passe.