”Aivan oikein, 50 dollaria vain oikeudesta nähdä oma palautukseni”, Kasper sanoi. ”Ja jälleen kerran oikea käsi ei tiedä, mitä vasen käsi tekee, koska maksoin vain 50 dollaria saadakseni heidät jättämään huomiotta omat tietosuojasääntönsä”. Mielenkiintoisin asia tässä oudossa säännössä on se, että IRS kieltäytyy myös katsomasta itse tilitietoja ennen kuin ne on tutkittu perusteellisesti. Pankkien on lain mukaan ilmoitettava epäilyttävistä palautustalletuksista, mutta IRS ei edes vaivaudu ottamaan yhteyttä pankkeihin ilmoittaakseen niille, että palautustalletus on ilmoitettu petolliseksi, ainakaan yksittäisten veronmaksajien tapauksessa, jotka soittavat, vahvistavat henkilöllisyytensä ja ilmoittavat asiasta, kuten minä tein.”
Kasperin mukaan transkripti osoittaa, että petkuttajat jättivät hänen palautuspyyntönsä IRS:n verkkosivujen oman ilmaisen sähköisen arkistointisivuston kautta, joka on tarkoitettu niille, joilla on tuloja enemmän kuin 60000 dollaria. Se osoitti myös First National Bank of Pennsylvanian reititysnumeron ja talletuksen saaneen henkilön sekkitilin numeron sekä päivämäärän, jolloin he jättivät hakemuksen: 31. tammikuuta 2015.
Pöytäkirjasta käy ilmi, että huijarit, jotka vaativat hänen palautustaan, olivat tehneet sen kopioimalla kaikki tiedot hänen edellisen vuoden W2-asiakirjastaan ja korottamalla hieman edellisen vuoden summia. Kasper sanoi, ettei hän voi todistaa sitä, mutta hän uskoo huijareiden saaneen nämä W2-tiedot suoraan IRS:ltä itseltään sen jälkeen, kun he olivat luoneet tilin IRS-portaaliin hänen nimissään (mutta käyttäen eri sähköpostiosoitetta) ja pyytäneet hänen transkriptiotaan.
”Henkilö, joka toimitti sen, pääsi jotenkin käsiksi veroilmoitukseeni edelliseltä vuodelta 2013 luodakseen luettelon työnantajastani ja palkastani kyseiseltä vuodelta, vuodelta 2013, ja käyttääkseen sitten niitä vuoden 2014 veroilmoituksessani sen sijasta”, Kasper sanoi. ”Lisäksi hän toimitti myös korjatun W-2:n, joka lisäsi ennakonpidätyksen määrää tasan 6 000 dollarilla, jotta hänen maksettavakseen tuleva kokonaispalautus nousisi 8 936 dollariin.”
RAHANMUUTOKSET
Keskiviikkona 18. maaliskuuta 2015 Kasper otti yhteyttä First National Bank of Pennsylvaniaan, jonka reititysnumero oli lueteltu väärennetyssä veronpalautuspyynnössä, ja tavoitteli heidän tiliensä turvapäällikköä. Kyseinen henkilö vahvisti, että IRS:n tekemä 8 936,00 dollarin suoratalletus tehtiin 9. helmikuuta 2015 yksilölliselle sekkitilille, jossa täsmennettiin Kasperin koko nimi ja SSN-tunnus talletuksen metatiedoissa.
”Hän kertoi minulle, että hän näki myös, että yhdessä tai useammassa konttorissa Williamsportissa, PA:ssa, oli tehty tapahtumia näiden varojen maksamiseksi tai nostamiseksi, ja että useita ostoksia oli tehty pankkikorttimaksukorttina myös Williamsportin kaupungissa, joten tässä vaiheessa huomattava osa varoista oli jo kadonnut”, Kasper sanoi. ”Lisäksi hän kertoi minulle, että kukaan IRS:stä ei ollut ottanut yhteyttä hänen pankkiinsa esittääkseen kysymyksiä tästä tilistä, huolimatta 9. helmikuuta 2015 jättämästäni petosilmoituksesta.”
Pankin tiliturvapäällikkö totesi, että hän tekisi mielellään yhteistyötä Williamsportin poliisin kanssa, jos tämä toimittaisi vaaditun laillisen pyynnön, jonka perusteella hän saisi luovuttaa nimen, osoitteen ja tilitiedot. Pankkivirkailija tarjosi Kasperille toimistonsa puhelinnumeroa ja kännykkää jaettavaksi poliisin kanssa. First Nationalin työntekijä mainitsi myös, että epäilty asui Williamsportin kaupungissa, PA:ssa, ja että tämä henkilö näytti edelleen käyttävän tiliä.
Kasper kertoi, että hänen New Yorkin kotikaupunkinsa paikallinen poliisi ei ollut vaivautunut vastaamaan hänen avunpyyntöönsä, mutta hänen tarinansa kuullut Williamsportin poliisilaitoksen komisario sääli häntä ja pyysi häntä kirjoittamaan tapauksesta sähköpostiviestin ylikomisariolleen, jonka Kasper kertoi lähettäneensä myöhemmin samana aamuna.
Vähän kahta tuntia myöhemmin Kasper sai puhelun tapaukseen määrätyltä tutkijalta. Etsivä haastatteli tiliä pitänyttä henkilöä samana päivänä ja kertoi Kasperille, että pankin petososasto tutki asiaa ja oli pyytänyt henkilöä palauttamaan käteisvarat.
”Veronpalautuspetosjuttuni oli muuttunut mutaan jämähtäneestä avoimeksi jutuksi lähes yhdessä yössä”, Kasper suri. ”Tai ainakin se näytti olevan niin yksinkertaista. Se osoittautui paljon monimutkaisemmaksi.”
Alkajaisiksi nainen, joka omisti pankkitilin, jolle hänen väärennetty palautuksensa saapui – paikallisen pennsylvanialaisen yliopiston opiskelija – kertoi saaneensa tilisiirron vastattuaan Craigslist-ilmoitukseen, jossa haettiin tilaisuutta ansaita rahaa.
Kasperin mukaan etsivä sai selville, että rahat talletettiin hänen tililleen ja että hän lähetti rahat Western Unionin tilisiirrolla Nigeriassa sijaitseviin paikkoihin pitäen osan itsellään voittona eikä ilmeisesti koskaan epäillyt tekevänsä jotakin laitonta.
”Hän on tähän mennessä toimittanut huomattavan määrän tietoja, ja olen taipuvainen uskomaan hänen tarinaansa”, Kasper sanoi. ”Kuka olisi niin hullu, että tallettaisi petollisen veronpalautuksen omalle sekkitililleen, toisin kuin jäljittämätön pankkikortti, jonka voisi saada lähikaupasta. Eikö samalla jollakulla, joka pystyisi tällaiseen, olisi myös tällainen selitys valmiina?”
Kyseinen nainen, jonka nimeä ei mainita tässä jutussa, kieltäytyi useista pyynnöistä puhua KrebsOnSecurityn kanssa ja uhkasi tehdä häirintäkanteen, jos en lopettaisi yhteydenottopyyntöjä. Hän näyttää kuitenkin olleen tahtomattaan – ellei jopa vastentahtoisesti – rahan muuli huijauksessa, jolla pyritään värväämään varomattomia ihmisiä rahan ansaitsemiskeinoihin.
ANALYYSI
IRS:n prosessi, jonka avulla veroilmoituksia pyytävät henkilöt tarkistetaan, on altis huijareiden hyväksikäytölle, koska se perustuu staattisiin tunnisteisiin ja niin sanottuun tietoon perustuvaan todennukseen (knowledge-based authentication, KBA) – eli haastekysymyksiin, jotka voidaan helposti päihittää tietoverkkorikollisuuden alamaailmassa laajalti myynnissä olevilla tiedoilla ja/tai pienellä määrällä etsintää internetissä.
Voidakseen hankkia jäljennöksen viimeisimmästä veroilmoituksestasi verovirasto vaatii seuraavat tiedot: Hakijan nimi, syntymäaika, sosiaaliturvatunnus ja hakemuksen jättämisen asema. Kun nämä tiedot on toimitettu onnistuneesti, IRS käyttää luottotietotoimisto Equifaxin palvelua, joka kysyy neljä KBA-kysymystä. Kuka tahansa, joka onnistuu antamaan oikeat vastaukset, voi nähdä hakijan täydellisen veropöytäkirjan, joka sisältää aiemmat W2-todistukset, nykyiset W2-todistukset ja suurin piirtein kaiken, mitä tarvitaan veronpalautuksen hakemiseen vilpillisesti.
KBA-kysymykset – joihin sisältyy monivalintakysymyksiä, kuten aiempi osoite, lainasummat ja -päivämäärät – voidaan onnistuneesti luetella satunnaisella arvauksella. Käytännössä se on kuitenkin paljon helpompaa, sanoo Nicholas Weaver, joka on tutkija International Computer Science Institutessa (ICSI) ja Kalifornian yliopistossa Berkeleyssä.
”Tein sen kahdesti, ja ensimmäisellä kerralla se liittyi nykyiseen osoitteeseeni, yhteen vanhaa osoitetta koskevaan kysymykseen ja yhteen ’minkä luottokortin sait’ -kysymykseen”, Weaver sanoi. ”Toisella kerralla oli kaksi kysymystä, jotka liittyivät nykyiseen osoitteeseeni, ja kaksi kysymystä, jotka liittyivät autolainaan, jonka maksoin pois vuonna 2007.”
Toisella kerralla Weaver sanoi, että muutama minuutti Zillow.com-sivustolla antoi hänelle kaikki vastaukset, joita hän tarvitsi KBA-kysymyksiin. Spokeo ratkaisi ”vanhaa osoitetta” koskevat kysymykset hänelle 100-prosenttisella tarkkuudella.
”Zillow vastasi osoitteeni avulla kaikkiin neljään kysymykseen, jos vain oletetaan, että ’muutin, kun ostin talon'”, hän sanoi. ”Itse asiassa minun PITI käyttää Zillow’ta toisella kerralla, koska hitto vieköön, jos muistan, milloin taloni on rakennettu. Joten Zillow’n ja Spokeon tietojen avulla se ei ole edes yksi 256:sta, se on yksi neljästä ensimmäisellä kerralla ja yksi 16:sta toisella kerralla, eikä sinun tarvitse arvailla sokeasti myöskään hiukan useammalla Google-hakukoneella.”
Jos joku lukijoista epäilee, kuinka helppoa on ostaa henkilökohtaisia tietoja melkein kenestä tahansa, tutustukaa tarinaan, jonka kirjoitin joulukuussa 2014 ja jossa onnistuin löytämään kaikkien nykyisten Yhdysvaltain senaatin kauppakomitean jäsenten nimen, osoitteen, sosiaaliturvatunnuksen, aiemman osoitteen ja puhelinnumeron. Nämä tiedot eivät ole enää salaisia (eivätkä myöskään vastaukset KBA-pohjaisiin kysymyksiin), ja me kaikki olemme alttiita identiteettivarkauksille niin kauan kuin laitokset luottavat edelleen staattisiin tietoihin todentajina. Ks. äskettäinen juttuni Apple Pay -palvelusta, jossa muistutetaan tästä tosiseikasta.
Valitettavasti IRS ei ole ainoa valtion virasto, jonka riippuvuus staattisista tunnisteista tekee siitä osallisena amerikkalaisiin kohdistuvien identiteettivarkauksien helpottamisessa. Sama prosessi, jota kuvattiin veroilmoituksen saamiseksi osoitteesta irs.gov, toimii ilmaisen luottotietoraportin saamiseksi kongressin valtuuttamalta annualcreditreport.com-sivustolta. Lisäksi amerikkalaiset, jotka eivät ole vielä luoneet sosiaaliturvanumerollaan tiliä sosiaaliturvavirastoon, ovat alttiita huijareille, jotka voivat kaapata sosiaaliturvaetuuksia nyt tai tulevaisuudessa. Lue lisää siitä, miten huijarit kaappaavat sosiaaliturvaetuuksia hallituksen sivustojen kautta, tästä jutusta.
Kasper sanoi olevansa kiitollinen poliisiraportista, jonka hän sai Pennsylvanian viranomaisilta, koska sen avulla hän voi jäädyttää luottotietonsa maksamatta New Yorkissa tavanomaista viiden dollarin maksua jäädytyksen asettamisesta ja sulattamisesta.
Luottojen jäädyttäminen estää mahdollisia luotonantajia hyväksymästä uusia luottolimiittejä nimissäsi – ja itse asiassa edes katsomasta tai ”vetämästä” luottotietojasi – mutta jäädyttäminen ei välttämättä estä huijareita tekemästä väärennettyjä veroilmoituksia nimissäsi.
Ei tietenkään, elleivät kyseiset huijarit laske sen varaan, että he voivat hankkia veroilmoituksiasi IRS:n omien verkkosivujen kautta. IRS:n mukaan ihmisten, joiden tiedostoissa on luottotietojen jäädytys, on poistettava jäädytys (ainakin Equifaxin kanssa), ennen kuin virasto voi jatkaa KBA-kysymysten esittämistä osana todentamisprosessiaan.
Päivitys, 22:46, ET: Tämän jutun ensimmäisessä kappaleessa oleva linkki, joka ohjaa lukijoita luomaan tilin IRS:ään, palauttaa tällä hetkellä viestin: ”Meillä on tällä hetkellä teknisiä ongelmia, emmekä pysty käsittelemään uusia rekisteröintejä.”