FortiGuard SE团队发现了一个声称来自美国国税局（IRS）的特殊的网络钓鱼活动，其标题为“2018更新：非居住外国人的税收（IRS <[email protected]>）”。

距离美国4月15日的最初纳税期限差不多五个月了。但是，由于允许个人延长六个月，因此最终截止日期10月15日马上就要到来。此活动很可能会使不知情者成为一名受害者，特别是如果他们是不熟悉美国法律和程序的非居住外国人。

在此，我要郑重的提醒每个人，美国国税局是从不通过电子邮件与纳税人进行通信的。毫无疑问，如果出现这种情况，表明这是一次网络钓鱼攻击。发送的电子邮件副本如下（图1）：

图1. 伪造的IRS钓鱼邮件

一、攻击剖析

乍一看，这是来自网络钓鱼者的一封令人信服的电子邮件。行文语言和基本模板（充满冗长的描述，没有图形，没有链接）模仿政府机构发布的公文，标有“W-8BEN Form.PDF”的表格伪装成W-8EN的正式文件。根据维基百科，这是外国人（包括公司）用来证明其非美国身份的文件。提交此表格确定一个人是非居住外国人或外国公司，从而避免或减少美国来源收入的预扣税，例如美国房产租金，美国银行存款利息或美国公司支付的股息。

二、问题多多

几乎所有网络钓鱼电子邮件活动的经典错误都是语法问题和拼写错误。这表明攻击者要么粗心大意，要么英语可能不是他们的第一语言。然而，此活动中的错误可能不那么明显，因为它针对的是非居住外国人，英语可能不是他们的主要语言。

然而，问题包括声称发送此通知的联邦机构的错误名称（官方使用的名称是财政部）以及描述语句中的许多语法错误，表明作者的母语并非英语。

图2: 语法和错字问题

在美国和居民之后附加的一个有趣的字符串是另一个暇疪：

图2: 不寻常的非英文字符

三、伪造的PDF附件

任何恶意网络钓鱼或鱼叉式网络钓鱼电子邮件活动都令人烦恼，在我们的分析过程中，有一个好消息，那就是电子邮件附件中的PDF文件是干净的，这意味着它不包含任何可检测的嵌入式可执行文件。同样，虽然PDF文件乍一看是一份官方文件，但问题是：美国国税局从不通过电子邮件发送官方文件。

图3. 虚假W-8Ben表格

粗略浏览附件中的PDF，对不经意的观察者而言，它是一份合法的文件。它是不起眼的，具有来自政府机构的官方文件的许多常规特征。

然而，仔细观察发现该PDF不仅看起来是扫描件，而且还包括许多错误，包括：异常间距错误；没有正确使用字符，如问号（？），其中应该有点；没有对齐似乎是手动操作或影印效果不佳；明显的拼写错误，例如“inc one”，而非“inc ome”。

另一点，尽管本文件指出其最后一次修订是2018年2月，但其外观并不是数字文件（特别是在IRS.gov上发现的那些）。最后，表单上的字体不匹配，尤其是底部的“FAX TO：1 877 917 3730”方向，它是蓝色，而且具有不同的字体样式和大小。对于制作精良的行动来说，这是另一个暇疵。

此外，在谷歌搜索传真号码（877）917 3730，结果显示了过去两周（在撰写本文时）遭到的投诉：

图4. Google 搜索 877 917 3730

有趣的是，此网络钓鱼活动的邮件是从一个意大利的服务器发送的，而不是从美国发送的。但是，我们无法判断这是攻击者的地址，被感染的设备，还是仅仅是用于掩盖攻击者位置和身份的错误配置或易受攻击的服务器。

四、其他

在跟踪此行动时，我们还观察到2018年9月5日的活动数量激增。

图5.过去一周与此网络钓鱼行动相关的IP地址活动激增

大量收到此诱骗电子邮件的国家/地区包括：

· 奥地利

· 捷克共和国

· 丹麦

· 德国

· 印度

· 印度尼西亚

· 意大利

· 日本

· 韩国

· 瑞士

· 台湾

· 美国

五、总结

由于此网络钓鱼活动专门针对非居住外国人，因此收件人可能不会注意到此文档中的大量语法和拼写错误，因为网络钓鱼邮件和附加表单都与官方文档的外观相当。填写此表并将其传真至底部所示号码的个人，将为网络犯罪分子提供关键的PII（个人身份信息）。