Belastingfraude richt zich op geld van belastingbetalers

Dreigingsactoren houden van misbruik maken van de belastingperiode. Het is het hoogtepunt van social engineering: voeg financiële zorgen samen met stressvolle verantwoordelijkheden, vul dit aan met de verwachting dat je e-mails over belastingen van verschillende instanties zult ontvangen, en je hebt het perfecte recept voor cybercriminaliteit.  

Tot dusver hebben onderzoekers van Proofpoint in 2026 meer dan honderd campagnes gezien waarin belastingthema’s werden gebruikt voor het verspreiden van malware, RMM-payloads (Remote Monitoring and Management), fraude en phishing van inloggegevens. Campagnes met een belastingthema zijn elk jaar te verwachten, maar dit jaar ziet het bedrijf meer RMM-payloads, activiteiten van nieuw geïdentificeerde cybercriminelen en een grotere verscheidenheid aan social-engineering-trucs.

Figuur 1. Uitsplitsing van de soorten bedreigingen in e-mailcampagnes met een belastingthema. (Opmerking van de analist: Proofpoint plaatst over het algemeen minder BEC-/imposter-bedreigingen handmatig in hun context, waardoor ze minder vaak voorkomen in de campagnegegevens). 

Cybercriminelen maken op allerlei manieren misbruik van belastinggerelateerde thema’s, bijvoorbeeld door zich voor te doen als belastingdiensten of overheidsinstanties. Dit doen zij zoal door te beweren dat de ontvanger verouderde belastingdocumenten heeft of door zich voor te doen als de HR-afdeling van een bedrijf. Ook vragen zij om hulp bij het indienen van belastingaangiften, beweren zij dat er sprake is van belastingovertredingen, en nog veel meer. Het aantal e-mails varieert van een handvol berichten tot tienduizenden, afhankelijk van de campagne en de doelstellingen van de betrokkenen, verspreid over de hele wereld.  

• Proofpoint heeft in 2026 al meer dan honderd campagnes waargenomen waarbij belastinggerelateerde lokmiddelen werden gebruikt om malware, phishing, fraude en remote access tools op afstand te verspreiden.   
• RMM-tools (legitieme software voor toegang op afstand) zijn de meest voorkomende payload, waarmee aanvallers ongemerkt de controle over systemen kunnen overnemen.  
• Dreigingsactoren doen zich steeds vaker voor als betrouwbare instanties, zoals de belastingdienst, HR-afdelingen en beleggingsmaatschappijen, om een gevoel van urgentie en geloofwaardigheid te wekken.  
• Nieuw geïdentificeerde en actieve actoren als TA4922 en TA2730 maken wereldwijd gebruik van belastinggerelateerde thema’s om inlog- en financiële gegevens te stelen en blijvende toegang te verkrijgen.  
• Klassieke oplichtingspraktijken zoals W-2-fraude en BEC komen nog steeds veel voor; daarbij worden gevoelige personeelsgegevens misbruikt voor identiteitsdiefstal en financiële fraude. 

Bovengenoemde voorbeelden vormen slechts een klein deel van het totale plaatje. Hoewel de belastingperiode een populaire periode is voor dit soort lokmiddelen, kunnen belastingen en financiële informatie het hele jaar door als effectief lokmiddel gebruikt worden.   

Belastinggerelateerde lokberichten worden vaak gebruikt door dreigingsactoren, vooral rond de periode waarin belastingaangiften moeten worden ingediend. Dit doen zij omdat mensen dan allerlei applicaties en diensten gebruiken om belangrijke zakelijke en persoonlijke financiële gegevens te verzamelen en in te dienen. Dergelijke lokberichten kunnen overtuigend overkomen op ontvangers die berichten verwachten van organisaties die verband houden met financiële of overheidsinstellingen. Ook mensen die bezorgd of ongerust raken bij het ontvangen van een e-mail waarin wordt gesuggereerd dat ze boetes of kosten moeten betalen vanwege onjuist ingediende gegevens, kunnen overtuigend werken.   

Over het algemeen moeten bedrijven hun gebruikers voorlichten over de technieken en lokmiddelen die vaak door cybercriminelen worden misbruikt. Ook moeten zij zich ervan bewust zijn dat cybercriminelen zich regelmatig richten op actuele en relevante thema’s. Hierbij behoren belastingen tot hun jaarlijkse favorieten. 

Klik hier voor het volledige onderzoek.