美国国税局(IRS)敦促税务专业人员在使用密码的同时使用多因素身份验证

美国国税局(IRS)建议税务专业人员在新闻稿IR-2020-32中使用多因素身份验证来保护其系统和信息。[1]

多因素身份验证(MFA)要求用户提供多个独立的信息或项目,以验证其访问系统或信息的权利。这种系统将涉及提供以下两项或多项:

  • 您所知道的(用户名/密码组合);

  • 你是什​​么(指纹);

  • 您拥有的东西(硬件令牌)

阅读更多

国税局讨论税务专业人员面临的数据安全问题

IRS代表在康涅狄格州北黑文市举行的新英格兰IRS代表会议上讨论了有关使用编制者系统进行退税欺诈的方法的信息, 今日联邦税务说明.[1]

IRS利益相关者联络部区域经理Margaret Romaniello所描述的一种方法是,网络上的入侵者可以修改正在等待传输到IRS进行电子归档的收益的银行帐户信息。 退款最终将被存放在纳税人打算存放的地方以外的其他地方,例如用Romaniello的话说的Green Dot预付借记卡。

阅读更多

GAO发布报告,建议加强对电子文件提供商和软件开发人员的IT安全性的监督

事实证明,政府责任办公室(GAO)的时机非常好,由于发现了恶意软件,Wolters Kluwer在一周之内关闭了税务准备人员使用的在线系统后,就发布了有关商业税务准备系统组件整体安全性的报告。在他们的网络中。  The report (国税局需要加强对第三方网络安全实践的监督(美国政府问责局,GAO-19-340,2019年5月)通常建议IRS尝试对所有参与者(税务准备者,电子退税发起者和软件开发者)强加特定的安全规则,但IRS对此建议不同意,主要是基于他们的观点,即他们没有法定权力采取建议的行动。

阅读更多

Wolters Kluwer CCH系统从恶意软件事件中恢复,Axcess系统已为用户部分恢复

对于Wolters Kluwer的CCH税收产品的用户来说,这是艰难的几天,尤其是对于使用CCH Axcess的用户而言。 根据恶意软件引发的中断发生后第二天发布的公司公告,Wolters Kluwers的系统受到了恶意软件的影响。

由于用户发现CCH的在线系统无法访问,因此问题开始于周一早。 如果使用现场版本的CCH税收产品(ProsystemFX)的用户失去了电子备案的访问权限,并且如果用户用尽了已下载的权限,则无法获得其他单项退货许可证来运行退货,而托管的Axcess产品上的用户却失去了访问权限他们在平台上许可的所有程序。

阅读更多

美国国税局警告专业人员有关数据安全计划的要求

新闻发布IR-2018-175 警告税务专业人员,未准备书面数据安全性表示违反了 FTC的保障规则 并且IRS可以将违反FTC保障规则的行为视为违反《 2007-40年收入程序》中授权IRS电子文件提供商的标准。

美国国税局(IRS)电子税务管理咨询委员会(ETAAC)成员在6月指出,他们相信只有不到一半的税务专业人士了解FTC规则,并制定了符合该规则的计划。

图片版权 badboo / 123RF股票照片

阅读更多

现在,只有使用详细的安全访问方法建立的帐户才可以访问电子服务帐户

国税局在其网站页面上宣布了“电子服务-税务专业人员的在线工具”[1] 从2017年12月10日开始的所有对电子服务的访问都需要使用通过IRS的安全访问身份验证建立的帐户。 如果专业人员没有通过更详细的过程来建立电子服务帐户,则将要求该专业人员使用更详细(且难以完成)的过程再次注册。

安全访问的目的是使个人更难以冒充纳税人或专业人员。 正如美国国税局在12月8日发布的公告中所描述的那样[2]:

安全访问以两种方式帮助保护在线工具:它具有更严格的身份证明流程,可以帮助确保用户所称的身份;它要求回头用户通过输入其凭据来使用两因素访问过程(用户名和密码),以及通过短信发送到其手机的安全代码,或新的IRS2Go应用功能生成的安全代码。此两因素身份验证过程符合保护信息所需的联邦标准。

美国国税局(IRS)在技术上是正确的,因为美国国家科学技术研究所(NIST)标准目前允许使用这两种方法,将SMS作为两因素车辆使用的安全性较低,并且NIST已表示已弃用该标志,并且可能不再使用在将来的某个时候是可以接受的。[3] NIST一年前发表了此声明。

图像版权pixelbrat / 123RF股票照片

阅读更多

新的网络钓鱼电子邮件伪装成电子服务安全通知,然后窃取专业人士的凭据

骗局不断从税务专业人士那里窃取信息,而最新的骗局电子邮件是 国税局新闻稿IR-2016-145. 这种网络钓鱼诈骗程序正在寻求为税务专业人员获取电子服务凭据,并且像大多数优秀的网络钓鱼诈骗程序一样,电子邮件看上去也足够可信,足以引起某人不关注(或根本不了解电子邮件和网络钓鱼诈骗的工作方式)以提供所请求的内容。信息。

好的网络钓鱼电子邮件必须看起来像收件人希望看到的东西,并且通常利用商标对某些内容已更改的意识,将电子邮件与该更改相关联。 近年来,人们常常以提高安全性为幌子掩盖电子邮件骗局(是的,我敢肯定,诈骗者会发现具有讽刺意味的可笑之处)。

图片版权 weerapat / 123RF股票照片

阅读更多

美国国税局宣布计划要求进行安全访问注册才能使用电子服务,并无限期跟进

美国国税局(IRS)希望将其“安全访问”扩展到税务专业人员使用的电子服务,但10月14日,美国国税局宣布无限期延迟实施该要求。  延迟的公告未提供有关程序何时开始运行或可能对该程序进行任何更改(如果有)的任何详细信息。

美国国税局于9月22日宣布,它将扩展安全访问计划,以涵盖对电子服务的访问(与电子服务迁移到安全访问有关的问答). 但是,正如已经讨论过将该程序推广到其他服务(例如在线成绩单系统)一样,通常无法在线完成此过程的个人数量也很少。

图片版权 ratoca / 123RF股票照片

阅读更多

美国国税局发现最新攻击中有两套预备系统

美国国税局在2016年9月的IR-2016-119新闻稿中指出,美国国税局已经意识到大约有二十多起案件被身份盗用者盗用的编制者系统。 正如美国国税局所描述的那样:

盗贼能够访问税务专业人员的计算机,并使用远程技术进行控制,访问客户数据并填写和电子提交纳税申报单,但将退款直接转移到罪犯自己的帐户中。

税务界的受害者在协调电子文件确认的同时了解了这些盗窃行为。

美国国税局(IRS)建议顾问处理该问题的具体步骤,以及运行安全扫描和对网络钓鱼欺诈进行教育的标准建议。

图片版权 mikkolem / 123RF股票照片

阅读更多

网络钓鱼电子邮件自称是发送给准备者的税务软件公司的软件更新通知

美国国税局发布了有关试图诱骗税务专业人员通过单击其税务软件的“更新”链接在其系统上安装恶意软件的警告。  [IR-2016-103] 单击后,“更新”将安装一个击键记录器,该记录器会将准备者的所有击键(可能包括重要的客户信息)发送给第三方-我们可以假定该党正计划将该信息用于各种恶意目的。

使用电子邮件诱骗用户安装恶意软件非常普遍,因为它非常有效。 如果电子邮件符合用户期望的一般情况(来自我们用于税务软件的软件提供商的电子邮件,其格式已按预期格式设置),并且该邮件本身似乎是合理的(有重要的软件更新,也许甚至是非常重要的一个,也可以避免收到您的电子邮件)系统受损),我们经常会点击电子邮件并按照其说明进行操作,不会再三思。

图片版权 pixelbrat / 123RF股票照片

阅读更多

准备者警告美国国税局(IRS)实施数据盗窃风险

美国国税局(IRS)已向税务筹办者发出警告,警告其数据盗窃给准备者及其客户带来的风险。 新闻稿IR-2016-96 and 概况介绍2016-23。该通知是在美国国税局承诺在2016年安全峰会之后向税务准备者提供信息的承诺之后发布的 保护您的客户;保护你自己 campaign.

该新闻稿指导准备者访问情况说明书以及更详细的信息 出版物4557,保护纳税人数据一个21页的PDF文档。

阅读更多

美国国税局(IRS)发现了准备者的IT系统被接管并用于欺诈性退货的案例

税务领域出现了另一个安全问题,这次的目标不是针对IRS,而是针对税务准备者。  在 Issue 2016-15 of 税务专业人士电子新闻 美国国税局(IRS)发布的新闻通讯警告该机构,犯罪分子将针对税务专业人员的控制权转移到使用客户的信息来归档欺诈性退货,并将欺诈性退款重定向至犯罪分子控制的帐户。

阅读更多

基于从非IRS来源获得的信息的自动攻击电子归档PIN系统主题

美国国税局Web系统再次受到使用犯罪者从其他服务获得的信息的攻击。  在 a 声明 美国国税局描述了对其系统的攻击。

在这种情况下,受攻击的系统是 国税局的电子填写PIN 当纳税人不使用准备者并且无法访问其2014纳税年度的纳税申报信息时,某些纳税人使用的Web应用程序获取PIN来提交纳税申报表。

阅读更多

美国国税局向与业务相关的身份盗窃问题发布计划经理技术咨询

计划经理2015-19年技术咨询 美国国税局(IRS)指出了该机构应如何应对在企业中发生身份盗用的情况。  

尽管个人身份盗用在媒体上引起了广泛关注,但在某些情况下,还有第三方出于恶意目的企图劫持企业的税收身份。 例如,劫持可用于创建虚拟的W2,从而使IRS更加难以发现个人退税退款欺诈或仅对所涉“企业”提出欺诈性退款。 

阅读更多

国税局提醒准备者检查EFIN信息并监控使用情况

美国国税局(IRS)提醒参加电子归档程序的人员其在EFIN号中的责任 情况说明书FS-2015-27.

美国国税局(IRS)对合法EFIN帐户受到那些通过提交欺诈性退税而进行退税欺诈的人“劫持”的担忧,并表示该机构希望EFIN持有人采取行动以保护和监控IRS电子服务帐户。

阅读更多

国税局将在2015年发布的W-2表格上对某些薪资服务测试W-2验证码

美国国税局(IRS)与某些薪资服务一起,将在美国国税局(IRS)在其网站上宣布的2015申请季节测试16个字符的W-2验证码。 //www.irs.gov/Individuals/IRS-Tests-W-2-Verification-Code.

要注意的一个重要事实是,IRS最初不会对该代码执行任何操作,除非“测试并学习”以查看它对确定W-2信息的完整性是否有用。 因此,换句话说,使用或不使用代码暂时不会做任何事情来提高纳税人不会遭受ID盗窃的可能性。

阅读更多