Untuk sebagian besar usaha kecil, akhir musim pajak mendatangkan napas lega. Tapi jangan biarkan penjagamu dulu. Ancaman baru seputar penipuan W-2 telah terdeteksi, meningkatkan kekhawatiran atas penipuan terkait pajak saat ini.
Ancaman Penipuan Phishing W-2
Formulir W-2 berisi semua informasi yang dicari oleh pencuri identitas: nama lengkap, alamat, nomor identifikasi, dan banyak lagi. Penjahat cyber mengerti ini, jadi mereka membuat rencana yang rumit untuk mendapatkan mereka.
Untungnya, Barracuda, para ahli risiko cyber mengekspos ancaman baru-baru ini di sebuah posting di blog resmi perusahaan.
Penipuan itu membutuhkan penjahat untuk mengetahui siapa di perusahaan Anda yang memiliki akses ke W-2 - biasanya seseorang di departemen SDM - dan siapa di perusahaan Anda yang memiliki wewenang untuk memintanya. Begitu mereka mengidentifikasi siapa orang-orang ini, mereka dapat memulai penipuan mereka.
Penjahat cyber mulai dengan meniru identitas manajer, eksekutif tingkat senior, atau siapa pun di perusahaan Anda yang memerlukan akses ke W-2. Katakanlah orang ini adalah John Smith, Manajer Umum. Para penjahat mulai dengan membuat akun email palsu sangat mirip dengan yang asli.
Email Typo-squatted adalah akun palsu yang dibuat dengan mengubah satu digit dan mereka sering luput dari perhatian. Katakanlah alamat email asli John adalah "[email protected]" Para scammers akan membuat email dengan Domain Typo-squatted, misalnya: "[email protected]" atau mungkin "[email protected]"
Di lingkungan kantor yang sibuk ketika Anda menerima beberapa email setiap hari, mudah untuk melewatkan fakta bahwa 'kecil' kehilangan satu L dan 'bisnis' kehilangan satu S dalam nama domain. Mayoritas orang tidak membaca dengan seksama alamat email yang masuk - terutama ketika mereka akrab.
Penjahat cyber akan menggunakan akun palsu mereka untuk tiba-tiba mengirim departemen SDM atau orang yang menangani W-2 email yang mendesak meminta salinan W-2 seseorang.
Penipuan khusus ini berfokus pada menciptakan rasa otoritas melalui akun email palsu dan rasa urgensi dalam permintaan mendadak untuk dokumen. Karena email tampaknya berasal dari orang yang berkuasa dan orang ini tampaknya meminta informasi keluar dari kebutuhan mendesak - korban cenderung mematuhi.
Jenis baris subjek yang paling umum dalam penipuan email ini adalah:
- W2 dari John (atau karyawan lain)
- 2016 W-2
- Permintaan untuk Karyawan W2 2016
Isi surel akan menyatakan bahwa dokumen tersebut diperlukan "pada akhir hari" atau "ASAP." Setelah penjahat cyber memiliki formulir W-2, mereka dapat dengan mudah menjual informasi pribadi yang dikandungnya. Informasi tersebut kemudian digunakan untuk mencuri identitas dan membuat identitas baru.
Teknik Scaming W-2 Phishing
Perusahaan mungkin menyadari penipuan terkait dengan dokumen pajak tetapi mereka lebih waspada sebelum atau selama musim pajak. Setelah musim berakhir, kesadaran mereka menjadi lebih rileks.
Grafik berikut menyoroti bagaimana penipuan phishing W-2 ini menggunakan tiga teknik:
- Rekayasa Sosial
- Peniruan
- Penjualan Pasar Hitam
Cara Melindungi Bisnis Anda dari Penipuan Phishing W-2 ini
Jika W-2 Anda bertanggung jawab atas dicuri, konsekuensinya bisa sangat mahal untuk bisnis kecil Anda. Gagal melindungi informasi rahasia karyawan Anda dapat mengakibatkan tuntutan hukum, hilangnya kepercayaan diri, dan merusak hubungan.
Langkah paling penting dalam melindungi bisnis Anda adalah menciptakan kesadaran, terutama di departemen yang sensitif seperti sumber daya manusia, keuangan dan hukum. Hanya memberitahu karyawan Anda tentang jenis penipuan ini akan sangat membantu mencegahnya.
Tidak peduli bagaimana penjahat yang rumit, jenis penipuan phishing ini selalu bergantung pada seseorang yang mengklik tautan mereka dan secara sukarela mengirim mereka informasi.
Selangkah lebih maju, perusahaan Anda dapat menciptakan lapisan keamanan tambahan dengan filter keluar. Ini akan mencegah dokumen sensitif meninggalkan domain Anda atau dikirim ke alamat email yang tidak dikenal.
Gambar: Barracuda
