隨著美國報稅日4月15日即將到來，相關的網釣活動也隨之而來，攻擊者大量利用與報稅相關的主題發動釣魚與惡意軟體攻擊，鎖定企業與一般用戶竊取帳密與敏感資料。

微軟針對這種情況提出警告，因為2026年初攻擊者已大量註冊與報稅相關的網域名稱，用於建立釣魚網站或散布惡意連結，藉由退稅通知、報稅提醒等具時效性與急迫性的誘餌，引誘納稅人上當。駭客不僅竊取帳密，亦會部署遠端管理工具（RMM）、竊資軟體（infostealer），以及後門程式，從而長期控制受害系統，進一步橫向移動或發動後續攻擊。

該公司一共發現數種型態的攻擊活動，其中一種是透過名為Energy365的網釣服務平臺（PhaaS），並搭配註冊會計師（Certified Public Accountant，CPA）為誘餌的活動，這個活動具有高度針對性，其特徵是駭客會使用Excel或OneNote等多種Office檔案，並濫用OneDrive檔案共用基礎設施。

2月10日微軟發現約有100家企業組織收到另一種網釣郵件，這些企業主要是美國的製造業、零售，以及醫療保健領域，駭客以2025年度員工稅務文件W-2表單為誘餌，並透過QR Code將收信人導向釣魚網頁，此網頁使用名為SneakyLog（Kratos）的網釣平臺建置。

第三起與報稅有關的網釣活動，駭客註冊與含有tax和1099form等關鍵字的網域，冒充報稅、會計、投資等領域的公司，若是收信人上當，電腦就有可能被植入ConnectWise ScreenConnect，而遭到駭客控制。

另一起散布合法遠端管理工具的網釣攻擊，發生在2月23日至27日，駭客使用美國國稅局與加密貨幣為誘餌，其特色是釣魚信內文不含可直接點選的網址連結，要求收信人將信裡的網域複製並貼上瀏覽器。這些電子郵件大多使用IR-2026-216為主旨，並濫用Eventbrite平臺來冒充美國國稅局，意圖於受害電腦植入ScreenConnect或SimpleHelp。

值得留意的是，駭客不光針對納稅人，也鎖定會計師與相關公司組織，他們謊稱稅務稽核、大學學費、貸款利息，以及房地產收入等複雜報稅情況，尋求會計師協助，並表示因出差而無法親自前往會計師事務所，要求線上報價。若是會計師不慎上當，電腦就可能被植入名為Datto的遠端管理工具。