Dreigingsactoren houden
van misbruik maken van de belastingperiode. Het is het hoogtepunt van
social engineering: voeg financiële zorgen samen met stressvolle
verantwoordelijkheden, vul dit aan met de verwachting dat je e-mails
over belastingen van verschillende instanties zult ontvangen, en je
hebt het perfecte recept voor cybercriminaliteit.?
Tot dusver hebben
onderzoekers van Proofpoint in 2026 meer dan honderd campagnes gezien
waarin belastingthema’s werden gebruikt voor het verspreiden van
malware, RMM-payloads (Remote Monitoring and Management), fraude en
phishing van inloggegevens. Campagnes met een belastingthema zijn elk
jaar te verwachten, maar dit jaar ziet het bedrijf meer RMM-payloads,
activiteiten van nieuw geïdentificeerde cybercriminelen en een grotere
verscheidenheid aan social-engineering-trucs.
Figuur
1.?Uitsplitsing van de soorten bedreigingen in e-mailcampagnes met een
belastingthema. (Opmerking van de analist: Proofpoint plaatst
over het algemeen minder BEC-/imposter-bedreigingen handmatig in hun
context, waardoor ze minder vaak voorkomen in de
campagnegegevens).
Cybercriminelen maken
op allerlei manieren misbruik van belastinggerelateerde thema’s,
bijvoorbeeld door zich voor te doen als belastingdiensten of
overheidsinstanties. Dit doen zij zoal door te beweren dat de ontvanger
verouderde belastingdocumenten heeft of door zich voor te doen als de
HR-afdeling van een bedrijf. Ook vragen zij om hulp bij het indienen
van belastingaangiften, beweren zij dat er sprake is van
belastingovertredingen, en nog veel meer. Het aantal e-mails varieert
van een handvol berichten tot tienduizenden, afhankelijk van de
campagne en de doelstellingen van de betrokkenen, verspreid over de
hele wereld.
De belangrijkste punten
van het onderzoek:
- Proofpoint heeft
in 2026 al meer dan honderd campagnes waargenomen
waarbij belastinggerelateerde lokmiddelen werden
gebruikt om malware, phishing, fraude en remote access tools
op afstand te verspreiden.?
- RMM-tools (legitieme
software voor toegang op afstand) zijn de meest
voorkomende payload, waarmee aanvallers ongemerkt de controle
over systemen kunnen overnemen.?
- Dreigingsactoren doen
zich steeds vaker voor als betrouwbare instanties, zoals de
belastingdienst, HR-afdelingen en beleggingsmaatschappijen, om een
gevoel van urgentie en geloofwaardigheid te wekken.?
- Nieuw geïdentificeerde
en actieve actoren als TA4922 en TA2730 maken wereldwijd gebruik
van belastinggerelateerde thema’s om inlog- en financiële gegevens
te stelen en blijvende toegang te verkrijgen.?
- Klassieke
oplichtingspraktijken zoals W-2-fraude en BEC komen nog steeds
veel voor; daarbij worden gevoelige personeelsgegevens misbruikt
voor identiteitsdiefstal en financiële fraude.?
Bovengenoemde
voorbeelden vormen slechts een klein deel van het totale plaatje.
Hoewel de belastingperiode een populaire periode is voor dit soort
lokmiddelen, kunnen belastingen en financiële informatie het hele jaar
door als effectief lokmiddel gebruikt worden.??
Belastinggerelateerde
lokberichten worden vaak gebruikt door dreigingsactoren, vooral rond de
periode waarin belastingaangiften moeten worden ingediend. Dit doen zij
omdat mensen dan allerlei applicaties en diensten gebruiken om
belangrijke zakelijke en persoonlijke financiële gegevens te verzamelen
en in te dienen. Dergelijke lokberichten kunnen overtuigend overkomen
op ontvangers die berichten verwachten van organisaties die verband
houden met financiële of overheidsinstellingen. Ook mensen die bezorgd
of ongerust raken bij het ontvangen van een e-mail waarin wordt
gesuggereerd dat ze boetes of kosten moeten betalen vanwege onjuist
ingediende gegevens, kunnen overtuigend werken.??
Over het algemeen
moeten bedrijven hun gebruikers voorlichten over de technieken en
lokmiddelen die vaak door cybercriminelen worden misbruikt. Ook moeten
zij zich ervan bewust zijn dat cybercriminelen zich regelmatig richten
op actuele en relevante thema’s. Hierbij behoren belastingen tot hun
jaarlijkse favorieten.
Klik
hier voor
het volledige onderzoek.