|
哥伦布、匹兹堡及各地消息
|
|
安全峰會提醒稅務專業人士警惕不斷演變的電子
郵件騙局以及可竊取納稅人數據的雲端騙局
|
|
2022 年 7 月 26 日, 華府
— 作爲安全峰會特別系列的一部分,美國國稅局、州稅務機構和全美稅務領域提醒稅務專業人士警惕旨在竊取客戶數據的不斷演變的騙局。
安全峰會(英文)
合作夥伴持續觀察到僞裝成潜在客戶的身份盜用網絡釣魚電子郵件給稅務專業人士所帶來的安全隱患。犯罪分子通過誘騙稅務業者打開電子郵件中的鏈接或附件,來感染電腦系統,從而竊取客戶信息。
峰會還提醒使用雲端系統來存儲並準備稅表和信息的稅務專業人士,要
確保他們使用多因素身份驗證來應對最近的攻擊。峰會合作夥伴特別敦促使用雲端平台的人利用電話、短信或令牌等多因素驗證選項。這可以避免僅通過電子郵件完成驗證所帶來的潜在安全隱患,防止身份竊賊僅通過電子郵件就能輕易訪問。
美國國稅局、州稅務機構和全美稅務領域,通過安全峰會協力合作,重點強調稅務專業人士可採取的保護客戶數據的關鍵步驟,“避免騙局”是本系列五部分中的第二部分。安全峰會系列,作爲保護您的客戶,保護您自己活動的一部分,其重點是敦促稅務專業人士努力強化他們的系統並保護客戶數據。
“身份盜竊詐騙者不斷嘗試新的騙局,從稅務專業人士那里竊取客戶的個人和財務信息。我們持續觀察到大量針對稅務專業人士的電子郵件,試圖誘騙他們爲身份竊賊提供有價値的訪問權限,”美國國稅局局長Chuck
Rettig表示。“我們繼續敦促人們使用多因素身份驗證,包括那些使用雲端服務的人。保持警惕是必要的,不僅在報稅季,而是全年都需要。我們敦促稅務專業人士,不論是來自大型機構還是小型企業,都考慮採納這些寶貴的建議,從而幫忙保護他們的客戶和他們自己。”
網絡釣魚電子郵件或短信/文本(稱爲“釣魚短信”)試圖誘騙收件人泄露個人信息,例如密碼、銀行帳號、信用卡號或社會安全號碼。稅務專業人士是經常被攻擊的目標。
詐騙的主題可能不同,但它們通常具有兩個特徵:
它們看上去來自已知或信賴的一方,例如同事、銀行、信用卡公司、雲存儲供應商、稅務軟件供應商,甚至是國稅局和其他政府機構。
製造虛假的叙述,通常帶有緊急的語氣,以誘騙接收者打開鏈接或附件。
一種特定類型的網絡釣魚電子郵件稱爲魚叉式網絡釣魚。與一般網絡釣魚電子郵件漫不經心的性質不同,詐騙者會花時間識別受害者並製作更誘人的網絡釣魚電子郵件,作爲誘餌。詐騙者經常使用魚叉式網絡釣魚來瞄準稅務專業人士。
在一個反復發生且經常得手的騙局中,犯罪分子冒充潜在客戶,與稅務專業人士先進行幾封電子郵件往來,然後跟進發送聲稱是其稅務信息的附件。由於新冠疫情,許多稅務專業人士遠程工作並通過電子郵件而非面對面的方式或通過電話來與客戶溝通,從而給這種騙局帶來了可乘之機。
一旦稅務專業人士點擊嵌入的URL和/或打開附件,惡意軟件就會秘密下載到他們的電腦上,使竊賊能夠訪問客戶帳戶的密碼或遠程訪問電腦。
之後,竊賊使用這種稱爲遠程訪問木馬 (RAT)
的惡意軟件來接管稅務專業人士辦公室的電腦系統,識別待處理的稅表,完成稅表並以電子方式報稅,僅通過更改銀行賬戶信息即可竊取退稅。
過去,犯罪分子利用勒索軟件進行攻擊致使許多公司關門倒閉。犯罪分子可以對稅務專家使用類似的、規模較小的攻擊手法。當毫無戒心的稅務專業人士打開鏈接或附件時,惡意軟件會攻擊稅務專業人士的電腦系統以加密文件,竊賊會拿着獲取的數據進行勒索。
國稅局觀察到的另一個新騙局涉及使用雲端系統存儲客戶數據的稅務專業人員,利用其安全性不強的弱點進行攻擊。雖然許多雲端系統都是安全的,但使用這些系統的稅務專業人員應確保他們在這些系統上使用強大的多因素身份驗證,從而避免竊賊獲取其敏感信息。
國稅局觀察到多起雲端平台上個人賬戶遭到入侵的案件,大部分涉及小規模運作的稅務專業人士或企業。身份竊賊可以訪問這些信息,然後使用納稅人稅表中的現有數據提交新的稅表以獲取退稅,通常是通過郵件作案。
當稅務專業人士不使用強大的多因素身份驗證來驗證誰在使用該平台時,這些雲端帳戶更容易受到攻擊。峰會合作夥伴敦促使用除電子郵件之外的身份驗證方法,因爲僅使用電子郵件的話,竊賊更容易訪問並進入稅務專業人士的賬戶。使用短信、電話或令牌是更安全的選擇。
這些騙局突出了安全峰會所推薦的保護數據的基本安全步驟的重要性:
使用稅務軟件供應商或儲存供應商提供的雙因素 (2FA) 或多因素身份驗證 (MFA) 選項可以保護客戶帳戶,即使密碼被無意泄露。
保持防病毒軟件自動更新還有助于防範針對軟件漏洞的詐騙。
使用驅動器加密和定期備份文件有助于防範盜竊和勒索軟件攻擊。
對於稅務專業人士來説,保障他們的網絡安全從而保護納稅人數據是他們作爲代報稅人的職責所在。
爲了幫助稅務專業人員防範網絡釣魚詐騙並更好地保護納稅人信息,國稅局第4557號出版物,保護納稅人數據(英文)
,包含了一些最新的建議,例如使用稅務軟件産品所提供的多因素身份驗證選項以及幫助客戶獲取身份保護個人識別號碼。
其它資源
除了查看國稅局第4557號出版物,保護納稅人數據(英文)
,稅務專業人員還可以通過查看美國國家標準與技術硏究院的《小型企業信息安全:基礎知識》(英文)
,獲得有關安全建議的幫助。面向稅務專家、個人和企業的國稅局身份盜竊中心 頁面也提供了重要的詳細信息。
第5293號出版物,稅務專業人員數據安全資源指南(英文) 提供了IRS.gov上可用的數據盜竊信息的匯總。此外,稅務專業人士應通過訂閲稅務專業人士電子新聞(英文)
和社交媒體(英文) 與國稅局保持聯繫。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|