“Det er rigtigt, $50 bare for retten til at se min egen afkast,” Kasper sagde. “Og endnu en gang ved den højre hånd ikke, hvad den venstre hånd laver, for det kostede mig kun 50 dollars at få dem til at ignorere deres egne regler om privatlivets fred. Det mest interessante ved denne mærkelige regel er, at skattevæsenet også nægter at se på selve kontodataene, indtil de er undersøgt til bunds. Bankerne er ved lov forpligtet til at rapportere mistænkelige tilbagebetalingsindbetalinger, men IRS gider ikke engang kontakte bankerne for at fortælle dem, at en tilbagebetalingsindbetaling blev rapporteret svigagtig, i det mindste i tilfælde af individuelle skatteydere, der ringer, bekræfter deres identitet og rapporterer det, ligesom jeg gjorde.”
Kasper sagde, at udskriftet indikerer, at svindlerne indgav hans anmodning om tilbagebetaling ved hjælp af IRS-webstedets egen gratis e-file-webside for dem med indkomster over 60.000 dollars. Det viste også routingnummeret for First National Bank of Pennsylvania og checkkontonummeret på den person, der fik indbetalingen plus den dato, de indgav: 31. januar 2015.
Den udskrift tyder på, at de svindlere, der krævede hans tilbagebetaling, havde gjort det ved at kopiere alle data fra hans tidligere års W2 og ved at forhøje det tidligere års beløb en smule. Kasper sagde, at han ikke kan bevise det, men han mener, at svindlerne fik disse W2-data direkte fra IRS selv, efter at de havde oprettet en konto på IRS-portalen i hans navn (men med en anden e-mailadresse) og anmodet om hans udskrift.
“Den person, der indsendte den, fik på en eller anden måde adgang til min selvangivelse fra det foregående år 2013 for at oplyse min arbejdsgiver og løn fra det år, 2013, og derefter bruge det på 2014-angivelsen i stedet,” sagde Kasper. “Derudover indsendte de også en korrigeret W-2, der øgede tilbageholdelsesbeløbet med præcis 6.000 dollars for at øge deres samlede skyldige tilbagebetaling til 8.936 dollars.”
MONEY MULING
Op onsdag den 18. marts 2015 kontaktede Kasper First National Bank of Pennsylvania, hvis routingnummer var anført i den falske anmodning om skattetilbagebetaling, og nåede frem til deres chef for kontosikkerhed. Denne person bekræftede, at en direkte indbetaling fra IRS på $8,936.00 blev foretaget den 9. februar 2015 til en individuel checkkonto, der angav Kaspers fulde navn og SSN i metadataene med indbetalingen.
“Hun fortalte mig, at hun også kunne se, at der blev foretaget transaktioner i en eller flere filialer i byen Williamsport, PA for at udbetale eller hæve disse midler, og at der også blev foretaget flere køb med betalingskort i byen Williamsport, så på dette tidspunkt var en betydelig del af midlerne væk,” sagde Kasper. “Hun fortalte mig endvidere, at ingen fra skattevæsenet havde kontaktet hendes bank for at rejse spørgsmål om denne konto, på trods af min anmeldelse af bedrageri indgivet den 9. februar 2015.”
Den ansvarlige for kontosikkerhed i banken erklærede, at hun gerne ville samarbejde med politiet i Williamsport, hvis de fremsendte den nødvendige juridiske anmodning om at give hende lov til at frigive navn, adresse og kontooplysninger. Den bankansvarlige tilbød Kasper sit kontortelefonnummer og sin mobiltelefon til at dele med politiet. First National-medarbejderen nævnte også, at den mistænkte boede i byen Williamsport, PA, og at denne person tilsyneladende stadig brugte kontoen.
Kasper sagde, at det lokale politi i hans hjemby i New York ikke havde gjort sig den ulejlighed at reagere på hans anmodning om hjælp, men at løjtnanten ved politiet i Williamsport, som hørte hans historie, fik medlidenhed med ham og bad ham skrive en e-mail om hændelsen til sin kaptajn, som Kasper sagde, at han sendte senere samme morgen.
Så sent som to timer senere modtog han et opkald fra en efterforsker, som var blevet sat på sagen. Efterforskeren interviewede derefter samme dag den person, der havde kontoen, og fortalte Kasper, at bankens bedrageriafdeling var ved at undersøge sagen og havde bedt personen om at returnere kontanterne.
“Min sag om bedrageri med skatterefusion var gået fra at være fastlåst i mudderet til en åben sag, næsten over natten,” beklagede Kasper. “Eller det så i hvert fald ud til at være så enkelt. Det viste sig at være meget mere komplekst.”
For startere, kvinden, der ejede den bankkonto, der modtog hans falske tilbagebetaling – en studerende på et lokalt universitet i Pennsylvania – sagde, at hun fik overførslen efter at have svaret på en Craigslist-annonce for en mulighed for at tjene penge.
Kasper sagde, at detektiven fandt ud af, at pengene blev indsat på hendes konto, og at hun sendte pengene ud til steder i Nigeria via Western Union-overførsel, idet hun beholdt nogle af dem som fortjeneste og tilsyneladende aldrig fattede mistanke om, at hun måske gjorde noget ulovligt.
“Hun har indtil videre givet en betydelig mængde oplysninger, og jeg er tilbøjelig til at tro på hendes historie,” sagde Kasper. “Hvem ville være skør nok til at indsætte en svigagtig skatterefusion på sin egen checkkonto i modsætning til et usporligt debetkort, som de kunne få i en nærbutik. På samme tid, ville nogen, der kunne trække dette ud, ikke også have en forklaring som denne klar?”
Den pågældende kvinde, hvis navn er tilbageholdt fra denne historie, afviste flere anmodninger om at tale med KrebsOnSecurity og truede med at indgive chikanekrav, hvis jeg ikke stoppede med at forsøge at kontakte hende. Ikke desto mindre ser hun ud til at have været en uvidende – hvis ikke uvillig – pengesælger i et svindelnummer, der søger at rekruttere de uforsigtige til pengeskabende ordninger.
ANALYSE
Skattevæsenets proces til verifikation af personer, der anmoder om udskrifter, er sårbar over for udnyttelse af svindlere, fordi den er baseret på statiske identifikatorer og såkaldt “vidensbaseret autentifikation” (KBA) – dvs. spørgsmål, der let kan besejres med oplysninger, der i vid udstrækning er til salg i cyberkriminalitetens undergrund og/eller med lidt søgning på nettet.
For at få en kopi af din seneste skatteudskrift kræver skattevæsenet følgende oplysninger: Ansøgerens navn, fødselsdato, socialsikringsnummer og indbetalingsstatus. Når det er lykkedes at levere disse data, bruger IRS en tjeneste fra kreditbureauet Equifax, der stiller fire KBA-spørgsmål. Enhver, der har held til at give de korrekte svar, kan se ansøgerens fulde skatteudskrift, herunder tidligere W2’er, nuværende W2’er og mere eller mindre alt, hvad man har brug for til at indgive en svigagtig ansøgning om tilbagebetaling af skat.
KBA-spørgsmålene – som omfatter multiple choice-spørgsmål, “ud af tegnebogen” som f.eks. tidligere adresse, lånebeløb og datoer – kan opgøres med held ved hjælp af tilfældige gæt. Men i praksis er det langt nemmere, siger Nicholas Weaver, der er forsker ved International Computer Science Institute (ICSI) og ved University of California, Berkeley.
“Jeg gjorde det to gange, og første gang var det relateret til min nuværende adresse, et spørgsmål om gammel adresse og et ‘hvilket kreditkort har du fået’ spørgsmål,” siger Weaver. “Anden gang var det to spørgsmål relateret til min nuværende adresse og to spørgsmål relateret til et billån, som jeg betalte af i 2007.”
Anden gang sagde Weaver, at et par minutter på Zillow.com gav ham alle de svar, han havde brug for til KBA-spørgsmålene. Spokeo løste spørgsmålene om “gammel adresse” for ham med 100 % nøjagtighed.
“Zillow med min adresse besvarede alle fire af dem, hvis man bare antager ‘flyttede, da jeg købte huset'”, sagde han. “Faktisk var jeg NØDT til at bruge Zillow anden gang, for jeg kan fandeme ikke huske, hvornår mit hus blev bygget. Så med Zillow- og Spokeo-data er det ikke engang 1 ud af 256, det er 1 ud af 4 første gang og 1 ud af 16 anden gang, og du behøver heller ikke at gætte dig blind med lidt mere Google-søgning.”
Hvis nogen læsere her er i tvivl om, hvor nemt det er at købe personlige data om stort set alle, så tjek den historie, jeg skrev i december 2014, hvor jeg var i stand til at finde navn, adresse, socialsikringsnummer, tidligere adresse og telefonnummer på alle nuværende medlemmer af det amerikanske senats handelsudvalg. Disse oplysninger er ikke længere hemmelige (og det er svarene på KBA-baserede spørgsmål heller ikke længere), og vi er alle sårbare over for identitetstyveri, så længe institutionerne fortsætter med at stole på statiske oplysninger som autentificatorer. Se min nylige historie om Apple Pay for endnu en påmindelse om dette faktum.
Det er desværre ikke kun IRS, hvis afhængighed af statiske identifikatorer faktisk gør dem medskyldige i at lette identitetstyveri mod amerikanere. Den samme proces, der er beskrevet for at få en skatteudskrift på irs.gov, fungerer også for at få en gratis kreditrapport fra annualcreditreport.com, et websted, der er pålagt af Kongressen. Desuden er amerikanere, der ikke allerede har oprettet en konto hos Social Security Administration under deres socialsikringsnummer, sårbare over for svindlere, der nu eller i fremtiden kan kapre SSA-ydelser. For mere om, hvordan svindlere stjæler socialsikringsydelser via offentlige websteder, se denne historie.
Kasper sagde, at han er taknemmelig for den politirapport, han var i stand til at få fra myndighederne i Pennsylvania, fordi den giver ham mulighed for at få en fastfrysning på sin kreditfil uden at betale det sædvanlige gebyr på 5 dollars i New York for at placere og optø en fastfrysning.
Kreditfrysninger forhindrer potentielle kreditorer i at godkende nye kreditlinjer i dit navn – og endda i at kunne se eller “trække” din kreditfil – men en frysning vil ikke nødvendigvis forhindre svindlere i at indsende falske selvangivelser i dit navn.
Medmindre de pågældende svindlere naturligvis regner med at få fat i dine skatteudskrifter via skattevæsenets eget websted. Ifølge IRS skal personer med en kreditfrysning på deres fil ophæve frysningen (i hvert fald hos Equifax), før agenturet kan fortsætte med KBA-spørgsmålene som en del af sin verifikationsproces.
Ajourføring, 22:46 p.m., ET: Linket inkluderet i det første afsnit af denne historie, der henviser læserne til at oprette en konto hos IRS, returnerer i øjeblikket meddelelsen: “Vi oplever i øjeblikket tekniske problemer og er ikke i stand til at behandle nye registreringer.”