美国国税局被冒充117次：2026年报税季成黑客"丰收季"

2026年刚开年，网络安全公司Proofpoint已经记录了超过100起针对报税季的钓鱼攻击。这个数字比去年同期涨了47%，攻击者不再单打独斗，而是形成了有组织的"流水线作业"。

攻击者冒充美国国税局（IRS）、各国税务机构和企业HR部门，诱导用户安装恶意软件或交出登录凭证。从恶意程序到远程访问工具，再到专门窃取凭证的钓鱼页面，手段比往年丰富得多。

伪造的"官方文件"成了最佳诱饵

攻击者的剧本写得很细。过期税务文件通知、IRS申报提醒、伪造HR团队发来的W-2表格索取邮件，甚至针对非美国纳税人的W-8BEN表格——每种场景都对应特定人群的心理弱点。

Proofpoint研究员发现，今年1月以来已有十几起冒充IRS的远程监控与管理（RMM）工具投放活动。两个被重点标记的威胁组织——TA4922和TA2730——各自运行着目标明确的财务攻击链条。

「2026年的RMM载荷数量超过以往任何报税季，」Proofpoint在报告中写道。新出现的攻击者、更多样化的社会工程诱饵，构成了今年威胁版图的新特征。

合法工具成了"特洛伊木马"

攻击者越来越偏爱一个狡猾的套路：滥用正规RMM软件。N-able、Datto、RemotePC、Zoho Assist、ScreenConnect——这些名字在企业IT部门的白名单里躺了多年，数字签名齐全，安全系统天然信任。

2月5日的一起典型攻击：邮件冒充IRS，附带一个"税务记录查看器"按钮。点击后跳转Bitbucket托管的可执行文件，静默安装N-able RMM。攻击者甚至在邮件里放了一个真实的IRS客服电话，增加可信度。

这种"借壳上市"的手法让传统防护手段很头疼。杀毒软件看到熟悉的签名就放行，防火墙不会拦截正经的远程连接——直到攻击者已经坐在你的电脑里。

TA4922的"慢工出细活"

今年被识别的攻击者中，TA4922的攻击链设计最为精密。Proofpoint从2025年春季开始追踪这个组织，判断其总部位于东亚，主要使用中文。

该组织的核心目标是获取系统远程访问权限，用于金融欺诈、数据窃取，或把访问权转卖给其他犯罪分子。其主要投放的恶意软件来自Winos4.0生态——也被称为ValleyRAT——通过加载器和信息窃取组件的组合实现渗透。

与广撒网的钓鱼不同，TA4922倾向于多阶段、低频率的精准打击。先建立立足点，再横向移动，最后才动手收割——这种耐心让检测窗口被压缩到最小。

另一个被标记的组织TA2730则走 credential phishing（凭证钓鱼）路线。Proofpoint自2025年6月开始追踪该组织，今年2月冒充瑞士Swissquote和加拿大Questrade两家投资机构，以更新W-8BEN表格为由诱导用户访问伪造登录页面。

报税季的"注意力红利"

税务话题天然携带紧迫感。截止日期、罚款威胁、复杂的表格填写——这些压力让用户更容易跳过安全验证步骤。攻击者深谙此道，把时间窗口和情绪弱点都算计进去。

攻击范围以美国为主，但已蔓延至加拿大、澳大利亚、瑞士、日本。邮件发送量从精准定向的几封到批量投递的数万封不等，覆盖不同风险偏好和资源的攻击者。

企业安全团队面临一个尴尬现实：RMM工具本身是IT运维的基础设施，不可能一禁了之。区分合法使用和恶意滥用的边界，需要更细粒度的行为监控——而这恰恰是许多组织的短板。

Proofpoint没有披露这些活动的具体得手率，但一个细节值得玩味：攻击者愿意在钓鱼邮件里放真实的IRS电话号码。这种"真假混用"的自信，暗示他们评估过用户的验证意愿——大多数人不会真的拨打。

当税务系统的复杂性成为攻击者的掩护，普通用户能做的验证步骤又有几步？