„Das ist richtig, 50 Dollar nur für das Recht, meine eigene Steuererklärung zu sehen“, sagte Kasper. „Und wieder einmal weiß die rechte Hand nicht, was die linke Hand tut, denn es hat mich nur 50 Dollar gekostet, sie dazu zu bringen, ihre eigenen Datenschutzregeln zu ignorieren. Das Interessanteste an dieser merkwürdigen Regelung ist, dass sich das Finanzamt auch weigert, die Kontodaten selbst einzusehen, bevor sie nicht vollständig untersucht wurden. Die Banken sind gesetzlich verpflichtet, verdächtige Erstattungseinzahlungen zu melden, aber der IRS macht sich nicht einmal die Mühe, die Banken zu kontaktieren, um ihnen mitzuteilen, dass eine Erstattungseinzahlung als betrügerisch gemeldet wurde, zumindest im Falle einzelner Steuerzahler, die anrufen, ihre Identität bestätigen und es melden, so wie ich es getan habe.“
Kasper sagte, die Abschrift zeige, dass die Betrüger seinen Erstattungsantrag über die eigene kostenlose E-File-Website des IRS für Personen mit einem Einkommen von über 60.000 Dollar eingereicht hätten. Es zeigte auch die Routing-Nummer für die First National Bank of Pennsylvania und die Girokontonummer der Person, die die Einzahlung erhielt, sowie das Datum, an dem sie den Antrag stellte: 31. Januar 2015.
Die Abschrift legt nahe, dass die Betrüger, die seine Rückerstattung beanspruchten, dies taten, indem sie alle Daten aus seinem W2 des Vorjahres kopierten und die Beträge des Vorjahres leicht erhöhten. Kasper sagte, dass er es nicht beweisen kann, aber er glaubt, dass die Betrüger diese W2-Daten direkt von der IRS selbst erhalten haben, nachdem sie ein Konto auf dem IRS-Portal in seinem Namen (aber mit einer anderen E-Mail-Adresse) erstellt und seine Abschrift angefordert haben.
„Die Person, die sie eingereicht hat, hat irgendwie auf meine Steuererklärung aus dem Vorjahr 2013 zugegriffen, um meinen Arbeitgeber und mein Gehalt aus diesem Jahr, 2013, aufzulisten und sie dann stattdessen in der Steuererklärung 2014 zu verwenden“, sagte Kasper. „Außerdem reichten sie eine korrigierte W-2 ein, die den Einbehaltungsbetrag um genau 6.000 Dollar erhöhte, so dass sich die fällige Gesamterstattung auf 8.936 Dollar belief.“
Geldvermehrung
Am Mittwoch, den 18. März 2015, setzte sich Kasper mit der First National Bank of Pennsylvania in Verbindung, deren Routing-Nummer in dem gefälschten Steuererstattungsantrag aufgeführt war, und erreichte deren Leiter der Kontosicherheit. Diese bestätigte, dass am 9. Februar 2015 eine direkte Einzahlung des IRS in Höhe von 8.936,00 Dollar auf ein individuelles Girokonto vorgenommen wurde, wobei Kaspers vollständiger Name und SSN in den Metadaten der Einzahlung angegeben wurden.
„Sie sagte mir, dass sie auch sehen konnte, dass Transaktionen in einer oder mehreren Filialen in der Stadt Williamsport, PA, vorgenommen wurden, um diese Gelder auszuzahlen oder abzuheben, und dass mehrere Käufe per Debitkarte ebenfalls in der Stadt Williamsport getätigt wurden, so dass zu diesem Zeitpunkt ein erheblicher Teil der Gelder verschwunden war“, so Kasper. „Sie sagte mir außerdem, dass sich niemand von der Steuerbehörde bei ihrer Bank gemeldet hat, um Fragen zu diesem Konto zu stellen, obwohl ich am 9. Februar 2015 eine Betrugsanzeige erstattet habe.“
Die Leiterin der Kontosicherheitsabteilung der Bank erklärte, dass sie gerne mit der Polizei von Williamsport zusammenarbeiten würde, wenn diese den erforderlichen rechtlichen Antrag stellen würde, damit sie den Namen, die Adresse und die Kontodaten freigeben kann. Die Bankangestellte bot Kasper ihre Bürotelefonnummer und ihr Mobiltelefon an, um sie der Polizei mitzuteilen. Die First National-Mitarbeiterin erwähnte auch, dass der Verdächtige in der Stadt Williamsport, PA, lebte und dass diese Person das Konto offenbar immer noch nutzte.
Kasper sagte, die örtliche Polizei in seiner Heimatstadt New York habe sich nicht die Mühe gemacht, auf sein Hilfeersuchen zu reagieren, aber der Leutnant bei der Polizei in Williamsport, der seine Geschichte gehört hatte, hatte Mitleid mit ihm und bat ihn, eine E-Mail über den Vorfall an seinen Captain zu schreiben, die Kasper nach eigenen Angaben später am Morgen abschickte.
Nur zwei Stunden später erhielt er einen Anruf von einem Ermittler, der dem Fall zugeteilt worden war. Der Detektiv befragte die Person, die das Konto besaß, noch am selben Tag und teilte Kasper mit, dass die Betrugsabteilung der Bank ermittelte und die Person aufgefordert hatte, das Bargeld zurückzugeben.
„Mein Fall von Steuerrückerstattungsbetrug war fast über Nacht von einer Sackgasse zu einem offenen Fall geworden“, sagte Kasper traurig. „Oder zumindest schien es so einfach zu sein. Es stellte sich heraus, dass es viel komplexer war.“
Zunächst sagte die Frau, der das Bankkonto gehörte, auf das die gefälschte Rückerstattung einging – eine Studentin an einer örtlichen Universität in Pennsylvania -, dass sie die Überweisung erhielt, nachdem sie auf eine Craigslist-Anzeige für eine Geldverdienstmöglichkeit geantwortet hatte.
Kasper sagte, der Detektiv habe erfahren, dass das Geld auf ihr Konto eingezahlt wurde und dass sie das Geld per Western Union-Überweisung an Orte in Nigeria schickte, wobei sie einen Teil als Gewinn behielt und offenbar nie den Verdacht hatte, dass sie etwas Illegales tun könnte.
„Sie hat bisher eine beträchtliche Menge an Informationen geliefert, und ich bin geneigt, ihrer Geschichte zu glauben“, sagte Kasper. „Wer wäre so verrückt, eine betrügerische Steuerrückerstattung auf sein eigenes Girokonto einzuzahlen, im Gegensatz zu einer nicht zurückverfolgbaren Debitkarte, die man in einem Laden kaufen kann. Hätte jemand, der so etwas durchziehen könnte, nicht auch eine Erklärung wie diese parat?“
Die fragliche Frau, deren Name in dieser Geschichte nicht genannt wird, lehnte mehrere Anfragen ab, mit KrebsOnSecurity zu sprechen, und drohte damit, Anzeige wegen Belästigung zu erstatten, wenn ich nicht aufhöre, sie zu kontaktieren. Nichtsdestotrotz scheint sie ein unwissentlicher – wenn nicht gar unwilliger – Geldkurier in einem Betrug gewesen zu sein, der darauf abzielt, die Unvorsichtigen für Geldmacherei zu rekrutieren.
ANALYSE
Das Verfahren des IRS zur Überprüfung von Personen, die eine Abschrift beantragen, ist anfällig für die Ausnutzung durch Betrüger, da es auf statischen Identifikatoren und der so genannten „wissensbasierten Authentifizierung“ (KBA) beruht – d.h. auf Fragen, die mit Informationen, die im Cybercrime-Untergrund weithin zum Verkauf angeboten werden, und/oder mit einer kleinen Online-Suche leicht zu umgehen sind.
Um eine Kopie der letzten Steuerabschrift zu erhalten, benötigt der IRS die folgenden Informationen: Name des Antragstellers, Geburtsdatum, Sozialversicherungsnummer und Status der Steuererklärung. Nachdem diese Daten erfolgreich übermittelt wurden, nutzt die IRS einen Dienst des Kreditbüros Equifax, der vier KBA-Fragen stellt. Jeder, dem es gelingt, die richtigen Antworten zu geben, kann die vollständige Steuerabschrift des Antragstellers einsehen, einschließlich früherer W2s, aktueller W2s und mehr oder weniger allem, was man braucht, um in betrügerischer Absicht eine Steuerrückerstattung zu beantragen.
Die KBA-Fragen – bei denen es sich um Multiple-Choice-Fragen handelt, wie frühere Adressen, Darlehensbeträge und Daten – können durch zufälliges Raten erfolgreich ausgezählt werden. Aber in der Praxis ist es viel einfacher, sagte Nicholas Weaver, ein Forscher am International Computer Science Institute (ICSI) und an der University of California, Berkeley.
„Ich habe es zweimal gemacht, und beim ersten Mal ging es um meine aktuelle Adresse, eine Frage zur alten Adresse und eine Frage ‚welche Kreditkarte haben Sie bekommen'“, sagte Weaver. „Beim zweiten Mal waren es zwei Fragen zu meiner aktuellen Adresse und zwei zu einem Autokredit, den ich 2007 abbezahlt habe.“
Beim zweiten Mal sagte Weaver, dass ihm ein paar Minuten auf Zillow.com alle Antworten auf die KBA-Fragen lieferten. Spokeo löste die Fragen zur „alten Adresse“ mit 100-prozentiger Genauigkeit für ihn.
„Zillow hat mit meiner Adresse alle vier Fragen beantwortet, wenn man einfach davon ausgeht, dass ich umgezogen bin, als ich das Haus gekauft habe“, sagte er. „Tatsächlich musste ich Zillow beim zweiten Mal benutzen, denn ich weiß nicht mehr, wann mein Haus gebaut wurde. Mit den Daten von Zillow und Spokeo ist es also nicht einmal 1 zu 256, sondern 1 zu 4 beim ersten Mal und 1 zu 16 beim zweiten Mal, und man muss auch nicht blind raten, wenn man ein bisschen mehr bei Google sucht.“
Wenn einige Leser hier daran zweifeln, wie einfach es ist, persönliche Daten über so gut wie jeden zu kaufen, lesen Sie die Geschichte, die ich im Dezember 2014 geschrieben habe, in der ich in der Lage war, den Namen, die Adresse, die Sozialversicherungsnummer, die frühere Adresse und die Telefonnummer aller derzeitigen Mitglieder des Handelsausschusses des US-Senats zu finden. Diese Informationen sind nicht mehr geheim (ebenso wenig wie die Antworten auf KBA-basierte Fragen), und wir alle sind anfällig für Identitätsdiebstahl, solange sich Institutionen weiterhin auf statische Informationen als Authentifikatoren verlassen. Ein weiterer Hinweis auf diese Tatsache findet sich in meinem kürzlich erschienenen Artikel über Apple Pay.
Leider ist die IRS nicht die einzige Regierungsbehörde, die sich auf statische Identifikatoren verlässt und sich damit mitschuldig macht, Identitätsdiebstahl gegen Amerikaner zu erleichtern. Das gleiche Verfahren, das beschrieben wurde, um eine Steuerabschrift auf irs.gov zu erhalten, funktioniert auch, um einen kostenlosen Kreditbericht von annualcreditreport.com zu erhalten, einer vom Kongress beauftragten Website. Darüber hinaus sind Amerikaner, die noch kein Konto bei der Sozialversicherungsbehörde unter ihrer Sozialversicherungsnummer eingerichtet haben, anfällig für Betrüger, die jetzt oder in Zukunft SSA-Leistungen abgreifen. Weitere Informationen darüber, wie Gauner Sozialversicherungsleistungen über Regierungsseiten abzweigen, finden Sie in diesem Artikel.
Kasper sagte, er sei dankbar für den Polizeibericht, den er von den Behörden in Pennsylvania erhalten habe, weil er dadurch seine Kreditakte einfrieren lassen könne, ohne die in New York übliche Gebühr von 5 Dollar für das Einfrieren und Auftauen zu zahlen.
Kreditsperren verhindern, dass potenzielle Gläubiger neue Kreditlinien in Ihrem Namen genehmigen – und sogar, dass sie Ihre Kreditakte einsehen oder „abrufen“ können -, aber eine Kreditsperre hindert Betrüger nicht unbedingt daran, falsche Steuererklärungen in Ihrem Namen einzureichen.
Es sei denn, die betreffenden Betrüger setzen darauf, Ihre Steuerabschriften über die Website des IRS zu erhalten. Nach Angaben der IRS müssen Personen mit einer Kreditsperre in ihrer Akte die Sperre aufheben (zumindest bei Equifax), bevor die Behörde mit den KBA-Fragen als Teil ihres Überprüfungsprozesses fortfahren kann.
Aktualisierung, 10:46 p.m., ET: Der im ersten Absatz dieser Meldung enthaltene Link, der die Leser dazu auffordert, ein Konto bei der IRS zu erstellen, gibt derzeit die Meldung zurück: „Wir haben derzeit technische Probleme und können keine neuen Registrierungen verarbeiten.“