美国国税局宣布未经授权的个人访问抄本的数量现在估计超过72​​0,000

国税局 向上修正 它估算了在IRS的“获取成绩单”应用程序遭到攻击时可以访问棋牌小游戏的个人数量,从而使受影响的纳税人人数超过了720,000。 美国国税局于2015年5月26日早些时候在 声明 该机构网页上发布的文章指出,犯罪分子已经通过未经授权使用IRS的“获取成绩单”应用程序来获取有关100,000名纳税人的棋牌小游戏。 在类似的情况下,肇事者曾试图获得通行权,但未能如此。 访问的棋牌小游戏包括社会保障棋牌小游戏,出生日期和街道地址。

之后,2015年8月17日,美国国税局 宣布 该问题比最初揭示的要大,这表明进一步的研究发现,现在可以访问棋牌小游戏的纳税人数量为330,000,并且同样数量更多的纳税人帐户尝试访问数据的尝试均失败。 现在,该数字已再次向上修改。

IRS已关闭“获取成绩单”应用程序,直到IRS决定对程序进行哪些修改以增强程序的安全性为止。

美国国税局(IRS)的公告表明,犯罪分子已经从“非IRS”来源获得了清除IRS原始身份验证过程所需的棋牌小游戏,尽管这些来源并未得到确认。 正如IRS在其发行版中所描述的那样,所需的棋牌小游戏将包括:

  •  社会保障棋牌小游戏
  • 出生日期
  • 报税状态
  • 街道地址
  • 与其他项目有关的问题,只有纳税人才能知道(美国国税局通常使用从信用报告中获得的棋牌小游戏)

原始版本指出总共进行了200,000次尝试,因此大约一半尝试失败,而另一半成功访问了笔录系统。 美国国税局发现有问题的活动,认为与2月中旬至5月试图获得未经授权的访问有关。 如上所述,八月的声明表明,尝试是较早开始的,并且再次将类似的“成功/失败”比率应用于发现的新活动。

尽管该通知未提供此方面的详细棋牌小游戏,但更复杂的欺诈行为是使用从一个来源(可能是通过站点的真实黑客入侵)获得的棋牌小游戏,然后能够通过简单地获得对另一个站点(及其棋牌小游戏)的访问权限能够登录或创建帐户。

关于计算机安全性的长期作家Brian Krebs在他的网站KrebsonSecurity上发表了一篇 文章 在国税局发布公告的当天讨论了此事。 克雷布斯先生发表了一篇 文章 3月份详细介绍了一个纳税人遇到的问题,当第三方创建一个帐户时,该帐户阻止他在纳税申报欺诈中受害时无法在线获取成绩单。 在8月发行之后,Brian尚未发布 另一篇文章 处理这个问题,他继续 另一篇文章 当人数在2016年2月再次扩大时。

看来,克雷布斯先生在三月份的原始文章中的这位绅士很可能是美国国税局现在认定为更广泛的犯罪欺诈行为之一。

美国国税局将通知所有尝试访问其数据的纳税人(无论尝试是否成功),并向实际访问其帐户的330,000+个人提供信用监控。

突破的广泛影响

顾问可能会从一个或另一个列表中的客户那里接到电话。 虽然在“失败”级别上看起来“更好”,但顾问应告诫客户,目前我们对于这些特定帐户为何被定位没有足够的棋牌小游戏。 但是,针对这些客户的人似乎掌握了有关这些人的大量棋牌小游戏,使他们相信他们有合理的成功机会(大约50%)。

如果是这样,这些人应该意识到,未经授权的人很可能拥有他们认为与他们有关的大量个人和私人棋牌小游戏,并且可以利用这些棋牌小游戏来使这些人冒充客户。 因此,个人应考虑在可预见的将来进行自己的信用报告监控,并注意任何未经授权的帐户访问。

这些棋牌小游戏可能会导致其他问题-许多站点和组织为声称自己输入了用户名和密码不正确的用户提供了“密码恢复”选项,常常通过询问某种个人棋牌小游戏来“验证”用户。如果犯罪分子掌握了这些棋牌小游戏,那么“劫持”一个帐户并在锁定合法客户的同时进行恶意使用就很简单了。

而且,正如Brian Krebs在8月和2月的文章中指出的那样,许多其他站点(包括政府机构和银行)也利用相同的“钱包外”棋牌小游戏来验证IRS成绩单站点的身份。有趣的是,其中包括美国国税局(IRS)自己的IP-PIN恢复站点,丢失ID-PIN的ID盗窃受害者可以在网上进行恢复。 同样,尽管这样做很方便,但它也比让纳税人进行更多耗时的步骤(通过纸质方式发布新的IP-PIN)安全性低。 希望,既然此事已经浮出水面,美国国税局将在一方盗窃受害者的IP-PIN再次使ID盗窃受害者受害之前填补此漏洞。

更为有趣的是,适用于准备者接受电子签名的IRS标准要求使用与该机构用于“钱包外”问题方法的相同来源来确认纳税人的身份。  As found in the “8878和8879表格的电子签名指南”:

通过远程交易进行电子签名

进行电子签名的远程交易是指纳税人对表单进行电子签名并且ERO在纳税人面前不存在的交易。对于远程交易,ERO必须记录姓名,社会安全号码,地址和出生日期。验证记录的姓名,社会安全号码,地址,出生日期和其他个人棋牌小游戏与通过与适用机构或机构的信用检查或通过信用局或类似数据库提供的棋牌小游戏一致。

其他一些利用这种“钱包外”技术的主要站点包括政府站点,例如社会保障局的站点和Annualcreditreport.com站点,人们每年可以获取一次免费的信用报告。同样,这使设置帐户变得很方便(因为您可以随时在家中舒适地进行设置),但安全性却要差得多(因为有权访问足够棋牌小游戏的人可以在任何地方进行设置)。

同样,如果用户声称忘记了他/她的密码,许多站点将使用类似类型的棋牌小游戏。 重置密码可以使访问该帐户的人既可以访问通过该登录名提供的任何内容,又可以将合法用户锁定在该帐户之外。

个人应采取的保护自己的步骤

这个问题不是唯一的,并且不仅限于税务相关棋牌小游戏或IRS。 而且,正如渗透到IRS网站的能力所显示的,犯罪分子正在研究如何解决人们容易理解和/或方便的“简便”技术(因此,我现在可以获取我的棋牌小游戏)。 无论我们是否喜欢,个人都需要承担更多保护自己的责任。

顾问可能希望对提供该选项的站点使用“两因素”身份验证来教育客户。 在这种情况下,除了用户名和密码外,网站通常还要求用户为网站提供唯一的一次性代码,该代码以短信形式发送给用户或由运行在网站上的应用程序(例如Google Authenticator)生成。用户的电话。 第二因素身份验证的使用大大增加了犯罪分子利用用户名/密码组合的任何尝试。

顾问还应强烈提醒客户注意在多个站点上“重用”密码的风险。 尽管可能很少有人担心第三方可以访问致力于橄榄球的博客上的客户帐户,但是如果该用户名密码组合也用于访问客户银行的网站,那么罪犯可以访问橄榄球网站的以下内容:用户名和密码可以用来访问银行帐户。 而且,在很多情况下,诸如橄榄球博客之类的网站上的密码数据库都不会得到强有力的保护,这通常是因为该博客只是一个由橄榄球(或针尖刺等)发烧友在业余时间运营的网站时间。

特别是那些维护允许客户访问棋牌小游戏(例如纳税申报表)的门户的顾问,应确保建议客户不要将您公司网站的密码用于其他地方。 因为不幸的是,如果客户的数据被第三方使用橄榄球网站上的密码访问,则该新闻故事将像IRS一样,即您公司的客户已被未经授权的第三方访问了数据。

同样,客户也应意识到使用“密码不佳”或较短密码(很容易猜到)的风险(密码是错误的密码,仅将字母o更改为零并不能真正改善情况)。