مواسم الضرائب تشهد تصاعداً متوقعاً في هجمات التصيد الاحتيالي، إلا أن العام 2026 أظهر حملة أكبر وأكثر تنظيماً من السنوات السابقة. يستغل مجرمو الإنترنت فترات الإقرارات الضريبية النشطة لتنفيذ مخططاتهم.
يعمل المحتالون السيبرانيون حالياً على انتحال صفة هيئات الضرائب الوطنية، مثل مصلحة الإيرادات الأمريكية (IRS)، وأقسام الموارد البشرية في الشركات، لخداع الأفراد ودفعهم لتثبيت برامج ضارة أو الكشف عن بيانات اعتماد تسجيل الدخول الخاصة بهم.
تم رصد أكثر من مئة حملة تستخدم عناوين متعلقة بالضرائب هذا العام، مقدمةً مجموعة واسعة من التهديدات تتراوح بين البرامج الضارة وأدوات الوصول عن بعد وصفحات سرقة بيانات الاعتماد.
حملات تصيد احتيالي ضخمة تستغل موسم الضرائب 2026
تتميز هذه الحملات هذا العام بنطاق أوسع من التكتيكات المستخدمة. يستغل المهاجمون رسائل البريد الإلكتروني التي تتحدث عن وثائق ضريبية منتهية الصلاحية، أو إشعارات تقديم إقرارات IRS، أو طلبات نماذج W-2 من فرق موارد بشرية وهمية، وحتى نماذج W-8BEN للمستثمرين غير الأمريكيين.
تشكل البرامج الضارة وأدوات المراقبة والإدارة عن بعد (RMM) الجزء الأكبر من التهديدات التي يتم توصيلها عبر رسائل البريد الإلكتروني ذات الطابع الضريبي هذا العام. وفقاً لتقرير صادر عن Proofpoint، فقد شهد الباحثون زيادة ملحوظة في استغلال هذه الأدوات.
استهدفت هذه الحملات بشكل أساسي المستخدمين في الولايات المتحدة، ولكن امتدت لتشمل كندا وأستراليا وسويسرا واليابان، مع اختلاف أحجام الرسائل المرسلة من بضع رسائل مستهدفة إلى عشرات الآلاف.
جهات فاعلة رئيسية تستخدم أدوات RMM
حددت Proofpoint أكثر من اثنتي عشرة حملة لانتحال صفة IRS تستخدم أدوات RMM منذ يناير 2026، وسلطت الضوء على مجموعتين محددتين من الفاعلين – TA4922 و TA2730 – تقومان بعمليات منظمة بأهداف مالية واضحة.
لاحظ الباحثون أن عام 2026 شهد زيادة في استخدام حمولات RMM مقارنة بمواسم الضرائب الماضية، مع نشاط من جهات فاعلة تم تحديدها حديثاً ومجموعة أوسع من عناوين الهندسة الاجتماعية مقارنة بما لوحظ سابقاً.
أصبح استغلال برامج RMM الشرعية خياراً رئيسياً لهؤلاء الفاعلين. أدوات مثل N-able و Datto و RemotePC و Zoho Assist و ScreenConnect تحظى بثقة أنظمة الأمان المؤسسية لأنها تطبيقات شرعية وموقعة رقمياً، مما يجعل اكتشافها كتهديدات أمراً صعباً.
في 5 فبراير، أرسلت حملة تنتحل صفة IRS رسائل بريد إلكتروني تحتوي على زر وهمي “Transcript Viewer” (عارض النصوص)، والذي قاد إلى ملف تنفيذي مستضاف على Bitbucket قام بتثبيت N-able RMM بصمت على جهاز الضحية. أضاف المهاجم أيضاً رقم هاتف حقيقياً لـ IRS في البريد الإلكتروني لجعل الرسالة تبدو رسمية.
حملات TA2730 لسرقة بيانات الاعتماد
بشكل منفصل، قامت TA2730 – وهي مجموعة متخصصة في سرقة بيانات الاعتماد تتبعها Proofpoint منذ يونيو 2025 – بتشغيل حملات تنتحل صفة شركات استثمارية وتطالب المستهدفين بتحديث نماذج الضرائب W-8BEN.
في فبراير 2026، انتحلت هذه الجهة صفة Swissquote في سويسرا و Questrade في كندا، ووجهت الضحايا إلى صفحات تسجيل دخول وهمية مصممة لسرقة بيانات اعتماد الحساب لتحقيق مكاسب مالية.
نهج TA4922 للهندسة الاجتماعية متعدد المراحل
من بين الجهات الفاعلة المحددة هذا العام، تبرز TA4922 بسلسلة هجومها المتعمدة والمتعددة المراحل. تُعتقد هذه المجموعة، التي تتبعها Proofpoint منذ ربيع 2025، أنها تتخذ من شرق آسيا مقراً لها، ومن المرجح أنها تتحدث باللغة الصينية.
هدفها الأساسي هو الحصول على وصول عن بعد إلى أنظمة الضحايا لأغراض الاحتيال، أو سرقة البيانات، أو بيع هذا الوصول لمجرمين آخرين. تستخدم TA4922 بشكل أساسي برامج ضارة من نظام Winos4.0 البيئي – المعروف أيضاً باسم ValleyRAT – باستخدام مزيج من المحملات (loaders) وسارقي المعلومات.
ما يجعل هذه الجهة خطيرة بشكل خاص هو نهجها ذي المرحلتين. تبدأ المجموعة بإرسال بريد إلكتروني انتحالي يدعي أن المستلم لديه التزامات ضريبية غير محلولة ويطلب رقم هاتف محمول لمواصلة المناقشات. بمجرد إنشاء هذه القناة الخاصة، تتعامل الجهة الفاعلة عن طريق الادعاء بأنها قيادة مالية للشركة قبل تسليم ملفات أو روابط ضارة خارج البريد الإلكتروني.
في أوائل مارس 2026، قامت حملة ذات صلة بانتحال صفة إدارة الإيرادات الداخلية، مما أدى إلى تنزيل ضحايا لبرنامج يسرق المعلومات، ولا يزال قيد التحقيق النشط من قبل باحثي Proofpoint.
يمكن للمؤسسات والموظفين اتخاذ خطوات واضحة لحماية أنفسهم. يجب على فرق الأمن فرض سياسات السماح (allow-listing) لضمان أن أدوات RMM المعتمدة فقط هي التي يمكن تشغيلها على الشبكات المؤسسية، مما يقلل من خطر برامج الوصول عن بعد غير المصرح بها دون اكتشاف.
يحتاج الموظفون إلى تدريب منتظم يغطي تقنيات التصيد الاحتيالي المتعلقة بموسم الضرائب ويعلمهم ضرورة التشكيك في رسائل البريد الإلكتروني التي تطلب تفاصيل الاتصال الشخصية أو تدعو لاتخاذ إجراء بشأن الإقرارات الضريبية من خلال روابط خارجية.
يجب دائماً التحقق من أي رسالة غير مرغوب فيها من سلطة ضريبية مفترضة أو جهة اتصال الموارد البشرية عبر القنوات الرسمية قبل اتخاذ أي إجراء.