100,000名纳税人的笔录被在IRS上创建帐户的犯罪分子访问获取笔录网站

美国国税局于2015年5月26日在 声明 该机构网页上发布的文章指出,犯罪分子已经通过未经授权使用IRS的“获取成绩单”应用程序来获取有关100,000名纳税人的信息。 访问的信息包括社会保障y information, date of birth and street address.

IRS已关闭“获取成绩单”应用程序,直到IRS决定对程序进行哪些修改以增强程序的安全性为止。

美国国税局(IRS)的公告表明,犯罪分子已经从“非IRS”来源获得了清除IRS原始身份验证过程所需的信息,尽管这些来源并未得到确认。 正如IRS在其发行版中所描述的那样,所需的信息将包括:

  • 社会保障信息
  • 出生日期
  • 报税状态
  • 街道地址
  • 与其他项目有关的问题,只有纳税人才能知道(美国国税局通常使用从信用报告中获得的信息)

该发行版指出,总共有200,000次尝试,因此大约一半尝试失败,而另一半成功访问了笔录系统。 美国国税局发现有问题的活动,认为与2月中旬至5月试图获得未经授权的访问有关。

尽管该通知未提供此方面的详细信息,但更复杂的欺诈行为是使用从一个来源(可能是通过站点的真实黑客入侵)获得的信息,然后能够通过简单地获得对另一个站点(及其信息)的访问权限能够登录或创建帐户。

关于计算机安全性的长期作家Brian Krebs在他的网站KrebsonSecurity上发表了一篇 文章 在国税局发布公告的当天讨论了此事。 克雷布斯先生发表了一篇 文章 3月份详细介绍了一个纳税人遇到的问题,当第三方创建一个帐户时,该帐户阻止他在纳税申报欺诈中受害时无法在线获取成绩单。 

看来,克雷布斯先生文章中的这位绅士很可能是美国国税局现在认定为更广泛的犯罪欺诈行为之一。

美国国税局将通知所有试图访问其数据的200,000名纳税人,并对实际访问其帐户的100,000多名个人提供信用监控。

顾问可能会从一个或另一个列表中的客户那里接到电话。 虽然在“失败”级别上看起来“更好”,但顾问应告诫客户,目前我们对于这些特定帐户为何被定位没有足够的信息。 但是,针对这些客户的人似乎掌握了有关这些人的大量信息,使他们相信他们有合理的成功机会(大约50%)。

如果是这样,这些人应该意识到,未经授权的人很可能拥有他们认为与他们有关的大量个人和私人信息,并且可以利用这些信息来使这些人冒充客户。 因此,个人应考虑在可预见的将来进行自己的信用报告监控,并注意任何未经授权的帐户访问。

这些信息可能会导致其他问题-许多站点和组织为声称自己输入了用户名和密码不正确的用户提供了“密码恢复”选项,常常通过询问某种个人信息来“验证”用户。如果犯罪分子掌握了这些信息,那么“劫持”一个帐户并在锁定合法客户的同时进行恶意使用就很简单了。

顾问可能希望对提供该选项的站点使用“两因素”身份验证来教育客户。 在这种情况下,除了用户名和密码外,网站通常还要求用户为网站提供唯一的一次性代码,该代码以短信形式发送给用户或由运行在网站上的应用程序(例如Google Authenticator)生成。用户的电话。 第二因素身份验证的使用大大增加了犯罪分子利用用户名/密码组合的任何尝试。

顾问还应强烈提醒客户注意在多个站点上“重用”密码的风险。 尽管可能很少有人担心第三方可以访问致力于橄榄球的博客上的客户帐户,但是如果该用户名密码组合也用于访问客户银行的网站,那么罪犯可以访问橄榄球网站的以下内容:用户名和密码可以用来访问银行帐户。 而且,在很多情况下,诸如橄榄球博客之类的网站上的密码数据库都不会得到强有力的保护,这通常是因为该博客只是一个由橄榄球(或针尖刺等)发烧友在业余时间运营的网站时间。

特别是那些维护允许客户访问信息(例如纳税申报表)的门户的顾问,应确保建议客户不要将您公司网站的密码用于其他地方。 因为不幸的是,如果客户的数据被第三方使用橄榄球网站上的密码访问,则该新闻故事将像IRS一样,即您公司的客户已被未经授权的第三方访问了数据。