„To je pravda, 50 dolarů jen za právo vidět své vlastní přiznání,“ řekl Kasper. „A opět pravá ruka neví, co dělá levá, protože mě to stálo jen 50 dolarů, abych je přiměl ignorovat jejich vlastní pravidla ochrany osobních údajů. Nejzajímavější na tomto podivném pravidle je, že IRS odmítá nahlédnout i do samotných údajů o účtu, dokud nebude plně prošetřen. Banky jsou ze zákona povinny hlásit podezřelé vklady vratek, ale IRS se ani neobtěžuje kontaktovat banky, aby jim dal vědět, že vklad vratky byl nahlášen jako podvodný, alespoň v případě jednotlivých daňových poplatníků, kteří zavolají, potvrdí svou totožnost a nahlásí to, stejně jako jsem to udělal já.“
Kasper uvedl, že z přepisu vyplývá, že podvodníci podali jeho žádost o vrácení peněz pomocí vlastní bezplatné webové stránky IRS e-file pro osoby s příjmy nad 60 000 dolarů. Bylo v něm také uvedeno směrovací číslo First National Bank of Pennsylvania a číslo šekového účtu fyzické osoby, která dostala vklad, plus datum, kdy žádost podali:
Z přepisu vyplývá, že podvodníci, kteří si nárokovali jeho vrácení peněz, tak učinili zkopírováním všech údajů z jeho W2 z předchozího roku a mírným navýšením částek z předchozího roku. Kasper uvedl, že to nemůže dokázat, ale domnívá se, že podvodníci získali tyto údaje W2 přímo od samotného finančního úřadu poté, co si vytvořili účet na portálu finančního úřadu na jeho jméno (ale s použitím jiné e-mailové adresy) a požádali o jeho přepis.
„Osoba, která ho předložila, se nějakým způsobem dostala k mému daňovému přiznání z předchozího roku 2013, aby uvedla mého zaměstnavatele a plat z tohoto roku, tedy 2013, a pak je místo toho použila v přiznání za rok 2014,“ uvedl Kasper. „Kromě toho také předložila opravený formulář W-2, který zvyšoval částku srážek přesně o 6 000 dolarů, čímž se celková částka k vrácení zvýšila na 8 936 dolarů.“
MĚNA MULING
Ve středu 18. března 2015 se Kasper spojil s First National Bank of Pennsylvania, jejíž směrovací číslo bylo uvedeno ve falešné žádosti o vrácení daní, a dovolal se jejímu vedoucímu oddělení zabezpečení účtů. Tato osoba potvrdila, že dne 9. února 2015 byl proveden přímý vklad IRS ve výši 8 936,00 USD na individuální běžný účet, přičemž v metadatech u vkladu bylo uvedeno celé jméno a SSN Kaspera.
„Řekla mi, že také vidí, že byly provedeny transakce na jedné nebo více pobočkách ve městě Williamsport v Pensylvánii za účelem vyplacení nebo výběru těchto prostředků a že bylo provedeno také několik nákupů debetní kartou ve městě Williamsport, takže v tomto okamžiku byla podstatná část prostředků pryč,“ uvedl Kasper. „Dále mi sdělila, že nikdo z finančního úřadu nekontaktoval její banku, aby vznesl jakékoli dotazy ohledně tohoto účtu, a to navzdory mému oznámení o podvodu podanému 9. února 2015.“
Vedoucí oddělení zabezpečení účtů v bance uvedla, že by ráda spolupracovala s policií ve Williamsportu, pokud by poskytla požadovanou právní žádost, která by jí umožnila zveřejnit jméno, adresu a údaje o účtu. Pracovnice banky nabídla Kasperovi telefonní číslo do své kanceláře a mobilní telefon, aby je policistům sdělil. Zaměstnankyně First National se také zmínila, že podezřelý žije ve městě Williamsport v Pensylvánii a že tato osoba zřejmě účet stále používá.
Kasper uvedl, že místní policie v jeho rodném městě v New Yorku se neobtěžovala reagovat na jeho žádost o pomoc, ale poručík z policejního oddělení ve Williamsportu, který si vyslechl jeho příběh, se nad ním slitoval a požádal ho, aby o incidentu napsal e-mail svému kapitánovi, který Kasper podle svých slov odeslal později ráno.
O pouhé dvě hodiny později mu zavolal vyšetřovatel, který byl k případu přidělen. Detektiv pak ještě téhož dne vedl rozhovor s osobou, která byla majitelem účtu, a sdělil Kasperovi, že oddělení banky pro vyšetřování podvodů požádalo dotyčnou osobu, aby peníze vrátila.
„Můj případ podvodu s daňovými vratkami se téměř přes noc změnil z případu uvízlého v bahně na případ otevřený,“ smutní Kasper. „Nebo se to alespoň zdálo být tak jednoduché. Ukázalo se, že je to mnohem složitější.“
Pro začátek žena, které patřil bankovní účet, na nějž přišla jeho falešná vratka – studentka místní pensylvánské univerzity – uvedla, že převod získala poté, co odpověděla na inzerát na Craigslistu o možnosti výdělku.
Kasper uvedl, že detektiv zjistil, že peníze byly vloženy na její účet a že je odeslala na místa v Nigérii prostřednictvím bankovního převodu Western Union, přičemž si část ponechala jako zisk a zřejmě nikdy netušila, že by mohla dělat něco nezákonného.
„Zatím poskytla značné množství informací a já jsem nakloněn jejímu příběhu věřit,“ řekl Kasper. „Kdo by byl takový blázen, aby si na svůj vlastní běžný účet uložil podvodnou daňovou vratku, na rozdíl od nevystopovatelné debetní karty, kterou by mohl získat v samoobsluze. Zároveň, neměl by někdo, kdo by to dokázal, také připravené podobné vysvětlení?“
Dotyčná žena, jejíž jméno v tomto příběhu neuvádím, odmítla několik žádostí o rozhovor s KrebsOnSecurity a pohrozila mi, že pokud se ji nepřestanu snažit kontaktovat, podá žalobu na obtěžování. Nicméně se zdá, že se stala nedobrovolnou – ne-li nechtěnou – peněžní mulou v podvodu, který se snaží získat nepozorné lidi pro výdělečné programy.
ANALÝZA
Postup IRS při ověřování osob žádajících o výpisy je náchylný ke zneužití podvodníky, protože se opírá o statické identifikátory a takzvané „ověřování založené na znalostech“ (knowledge-based authentication, KBA) – tedy o záludné otázky, které lze snadno překonat pomocí informací běžně dostupných k prodeji v kyberzločineckém podsvětí a/nebo při troše hledání na internetu.
Pro získání kopie posledního daňového výpisu vyžaduje IRS následující informace: Jméno a příjmení žadatele, datum narození, číslo sociálního pojištění a status žadatele. Po úspěšném dodání těchto údajů využívá IRS službu úvěrové kanceláře Equifax, která klade čtyři otázky KBA. Každý, komu se podaří dodat správné odpovědi, si může prohlédnout kompletní daňový výpis žadatele, včetně předchozích W2, aktuálních W2 a víceméně všeho, co by člověk potřeboval k podvodnému podání žádosti o vrácení daní.
Otázky KBA – které zahrnují otázky s možností výběru z několika odpovědí, otázky „z peněženky“, jako je předchozí adresa, výše půjček a data – lze úspěšně vyčíslit náhodným hádáním. V praxi je to však mnohem jednodušší, uvedl Nicholas Weaver, výzkumný pracovník Mezinárodního institutu počítačových věd (ICSI) a Kalifornské univerzity v Berkeley.
„Dělal jsem to dvakrát a poprvé se to týkalo mé současné adresy, jedné otázky na starou adresu a jedné otázky ‚kterou kreditní kartu jste dostali‘,“ řekl Weaver. „Podruhé to byly dvě otázky týkající se mé současné adresy a dvě otázky týkající se půjčky na auto, kterou jsem splatil v roce 2007.“
Podruhé Weaver řekl, že několik minut na stránkách Zillow.com mu poskytlo všechny odpovědi, které potřeboval na otázky KBA. Spokeo za něj vyřešilo otázky týkající se „staré adresy“ se stoprocentní přesností.
„Zillow s mou adresou odpověděl na všechny čtyři, pokud předpokládáte jen ‚přestěhoval jsem se, když jsem koupil dům‘,“ řekl. „Ve skutečnosti jsem NUTNĚ potřeboval použít Zillow podruhé, protože si sakra pamatuju, kdy byl můj dům postaven. Takže s údaji Zillow a Spokeo to není ani 1 z 256, je to 1 ze 4 poprvé a 1 ze 16 podruhé, a nemusíte hádat ani naslepo s trochou více vyhledávání na Googlu.“
Pokud zde někdo ze čtenářů pochybuje o tom, jak snadné je koupit osobní údaje téměř o komkoli, podívejte se na článek, který jsem napsal v prosinci 2014 a ve kterém jsem dokázal najít jméno, adresu, číslo sociálního pojištění, předchozí adresu a telefonní číslo na všechny současné členy obchodního výboru Senátu USA. Tyto informace již nejsou tajné (stejně jako odpovědi na otázky založené na KBA) a všichni se stáváme zranitelnými vůči krádežím identity, dokud se instituce budou spoléhat na statické informace jako na ověřovací prostředky. Další připomínku této skutečnosti naleznete v mém nedávném článku o Apple Pay.
Naneštěstí IRS není jedinou vládní agenturou, jejíž spoléhání na statické identifikátory ji ve skutečnosti činí spoluvinnou na usnadňování krádeží identity Američanů. Stejný postup popsaný pro získání daňového výpisu na irs.gov funguje i pro získání bezplatné úvěrové zprávy na webu annualcreditreport.com, který nařídil Kongres. Kromě toho jsou Američané, kteří si ještě nevytvořili účet na Správě sociálního zabezpečení pod svým číslem sociálního zabezpečení, zranitelní vůči podvodníkům, kteří se zmocní dávek SSA nyní nebo v budoucnu. Více informací o tom, jak podvodníci odčerpávají dávky sociálního zabezpečení prostřednictvím vládních stránek, naleznete v tomto článku.
Kasper uvedl, že je vděčný za policejní zprávu, kterou se mu podařilo získat od pensylvánských úřadů, protože mu umožňuje zmrazit jeho úvěrový soubor, aniž by musel platit v New Yorku obvyklý poplatek 5 dolarů za umístění a rozmrazení zmrazení.
Zmrazení úvěru zabrání případným věřitelům, aby schválili nové úvěrové linky na vaše jméno – a vlastně i tomu, aby si mohli prohlédnout nebo „vytáhnout“ váš úvěrový spis – ale zmrazení nemusí nutně zabránit podvodníkům, aby na vaše jméno podali falešné daňové přiznání.
Pokud ovšem dotyční podvodníci nepočítají s tím, že získají vaše daňové výpisy prostřednictvím vlastních webových stránek finančního úřadu. Podle IRS musí lidé se zmrazeným kreditním účtem ve své složce toto zmrazení zrušit (přinejmenším u společnosti Equifax), než bude agentura moci pokračovat v otázkách KBA v rámci svého ověřovacího procesu.
Aktualizace, 22:46, ET: Odkaz uvedený v prvním odstavci tohoto článku, který čtenáře odkazuje na vytvoření účtu u IRS, v současné době vrací zprávu: „V současné době se potýkáme s technickými problémy a nejsme schopni zpracovat nové registrace.“
.