« C’est ça, 50 dollars juste pour avoir le droit de voir ma propre déclaration », a déclaré Kasper. « Et une fois de plus, la main droite ne sait pas ce que fait la main gauche, car il ne m’a coûté que 50 dollars pour qu’ils ignorent leurs propres règles de confidentialité ». Le plus intéressant dans cette étrange règle est que l’IRS refuse également d’examiner les données du compte lui-même tant qu’il n’a pas fait l’objet d’une enquête approfondie. Les banques sont tenues par la loi de signaler les dépôts de remboursement suspects, mais l’IRS ne prend même pas la peine de contacter les banques pour leur faire savoir qu’un dépôt de remboursement a été signalé comme frauduleux, du moins dans le cas de contribuables individuels qui appellent, confirment leur identité et le signalent, comme je l’ai fait. »
Kasper a déclaré que la transcription indique que les fraudeurs ont déposé sa demande de remboursement en utilisant le propre site Web gratuit d’e-file de l’IRS pour ceux dont les revenus sont supérieurs à 60 000 $. Il a également montré le numéro d’acheminement de la First National Bank of Pennsylvania et le numéro de compte chèque de l’individu qui a obtenu le dépôt plus la date qu’ils ont déposé : 31 janvier 2015.
La transcription suggère que les fraudeurs qui ont réclamé son remboursement l’avaient fait en copiant toutes les données de son W2 de l’année précédente, et en augmentant légèrement les montants de l’année précédente. Kasper dit qu’il ne peut pas le prouver, mais il croit que les escrocs ont obtenu ces données W2 directement de l’IRS lui-même, après avoir créé un compte sur le portail de l’IRS en son nom (mais en utilisant une adresse électronique différente) et demandé sa transcription.
« La personne qui l’a soumise a en quelque sorte accédé à ma déclaration de revenus de l’année précédente 2013 afin de répertorier mon employeur et mon salaire de cette année-là, 2013, puis de l’utiliser sur la déclaration de 2014, à la place », a déclaré Kasper. « En outre, ils ont également soumis un W-2 corrigé qui a augmenté le montant de la retenue d’exactement 6 000 $ pour augmenter leur remboursement total dû à 8 936 $. »
MULING D’ARGENT
Le mercredi 18 mars 2015, Kasper a contacté la First National Bank of Pennsylvania dont le numéro d’acheminement était indiqué dans la demande de remboursement d’impôt bidon, et a joint leur responsable de la sécurité des comptes. Cette personne a confirmé qu’un dépôt direct par l’IRS de 8 936,00 $ a été effectué le 9 février 2015 sur un compte chèque individuel en spécifiant le nom complet et le SSN de Kasper dans les métadonnées avec le dépôt.
« Elle m’a dit qu’elle pouvait également voir que des transactions ont été effectuées dans une ou plusieurs succursales dans la ville de Williamsport, PA pour débourser ou retirer ces fonds et que plusieurs achats ont été effectués par carte de débit dans la ville de Williamsport également, de sorte qu’à ce stade, une partie substantielle des fonds a disparu », a déclaré Kasper. « Elle m’a en outre dit que personne de l’IRS n’avait contacté sa banque pour soulever des questions sur ce compte, malgré mon rapport de fraude déposé le 9 février 2015. »
La responsable de la sécurité des comptes à la banque a déclaré qu’elle serait heureuse de coopérer avec la police de Williamsport si elle fournissait la demande légale requise pour lui permettre de divulguer le nom, l’adresse et les détails du compte. La responsable de la banque a offert à Kasper le numéro de téléphone de son bureau et son téléphone portable pour qu’il les communique aux policiers. L’employé de la First National a également mentionné que le suspect vivait dans la ville de Williamsport, PA, et que cet individu semblait toujours utiliser le compte.
Kasper a déclaré que la police locale de sa ville natale de New York n’avait pas pris la peine de répondre à sa demande d’assistance, mais que le lieutenant du service de police de Williamsport qui a entendu son histoire a eu pitié de lui et lui a demandé d’écrire un courriel sur l’incident à son capitaine, que Kasper a dit avoir envoyé plus tard dans la matinée.
Deux heures plus tard, il a reçu un appel d’un enquêteur qui avait été affecté à l’affaire. L’enquêteur a ensuite interrogé la personne qui détenait le compte le jour même et a dit à Kasper que le service des fraudes de la banque enquêtait et avait demandé à la personne de rendre l’argent.
« Mon affaire de fraude au remboursement d’impôt était passée d’embourbée à ouverte, presque du jour au lendemain », s’attriste Kasper. « Ou du moins, cela semblait être aussi simple. Il s’est avéré être beaucoup plus complexe. »
Pour commencer, la femme qui possédait le compte bancaire qui a reçu son faux remboursement – une étudiante d’une université locale de Pennsylvanie – a déclaré avoir obtenu le transfert après avoir répondu à une annonce Craigslist pour une opportunité de gagner de l’argent.
Kasper a déclaré que le détective a appris que l’argent a été déposé sur son compte, et qu’elle a envoyé l’argent à des endroits au Nigeria par virement bancaire Western Union, en gardant une partie comme profit, et apparemment sans jamais soupçonner qu’elle pourrait faire quelque chose d’illégal.
« Elle a jusqu’à présent fourni une quantité importante d’informations, et je suis enclin à croire son histoire », a déclaré Kasper. « Qui serait assez fou pour déposer un remboursement d’impôt frauduleux sur son propre compte chèque, par opposition à une carte de débit intraçable qu’il pourrait obtenir dans un magasin de proximité. En même temps, quelqu’un qui serait capable de faire cela n’aurait-il pas aussi une explication comme celle-ci prête ? »
La femme en question, dont le nom n’est pas divulgué dans cette histoire, a décliné de multiples demandes de parler avec KrebsOnSecurity, menaçant de déposer des plaintes pour harcèlement si je ne cessais pas d’essayer de la contacter. Quoi qu’il en soit, il semble qu’elle ait été une mule involontaire – sinon involontaire – dans une escroquerie qui cherche à recruter les personnes non averties pour des projets lucratifs.
ANALYSE
Le processus de l’IRS pour vérifier les personnes demandant des transcriptions est vulnérable à l’exploitation par des fraudeurs parce qu’il repose sur des identifiants statiques et ce qu’on appelle « l’authentification basée sur la connaissance » (KBA) – c’est-à-dire des questions de défi qui peuvent être facilement défaites avec des informations largement disponibles à la vente dans le sous-sol de la cybercriminalité et/ou avec une petite quantité de recherche en ligne.
Pour obtenir une copie de votre transcription fiscale la plus récente, l’IRS a besoin des informations suivantes : Le nom du demandeur, sa date de naissance, son numéro de sécurité sociale et son statut de déclarant. Une fois ces données fournies avec succès, l’IRS utilise un service du bureau de crédit Equifax qui pose quatre questions KBA. Quiconque réussit à fournir les bonnes réponses peut voir la transcription fiscale complète du demandeur, y compris les W2 antérieurs, les W2 actuels et plus ou moins tout ce dont on aurait besoin pour demander frauduleusement un remboursement d’impôt.
Les questions KBA – qui impliquent des choix multiples, des questions « hors portefeuille » telles que l’adresse précédente, les montants et les dates des prêts – peuvent être énumérées avec succès avec une devinette aléatoire. Mais en pratique, c’est beaucoup plus facile, a déclaré Nicholas Weaver, chercheur à l’International Computer Science Institute (ICSI) et à l’Université de Californie, Berkeley.
« Je l’ai fait deux fois, et la première fois, c’était lié à mon adresse actuelle, une question sur l’ancienne adresse, et une question « quelle carte de crédit avez-vous obtenue » », a déclaré Weaver. « La deuxième fois, c’était deux questions liées à mon adresse actuelle, et deux liées à un prêt automobile que j’ai remboursé en 2007. »
La deuxième fois, Weaver a déclaré que quelques minutes sur Zillow.com lui ont donné toutes les réponses dont il avait besoin pour les questions KBA. Spokeo a résolu pour lui les questions relatives à l' »ancienne adresse » avec une précision de 100 %.
« Zillow avec mon adresse a répondu aux quatre questions, si vous supposez simplement ‘déménagé quand j’ai acheté la maison' », a-t-il déclaré. « En fait, j’avais BESOIN d’utiliser Zillow la deuxième fois, parce que damné si je me souviens quand ma maison a été construite. Donc, avec les données de Zillow et Spokeo, ce n’est même pas 1 sur 256, c’est 1 sur 4 la première fois et 1 sur 16 la seconde, et vous n’avez pas besoin de deviner l’aveugle non plus avec un peu plus de recherche sur Google. »
Si des lecteurs ici doutent de la facilité d’acheter des données personnelles sur à peu près n’importe qui, consultez l’histoire que j’ai écrite en décembre 2014, dans laquelle j’ai pu trouver le nom, l’adresse, le numéro de sécurité sociale, l’adresse précédente et le numéro de téléphone sur tous les membres actuels de la commission du commerce du Sénat américain. Ces informations ne sont plus secrètes (pas plus que les réponses aux questions basées sur le KBA), et nous sommes tous rendus vulnérables à l’usurpation d’identité tant que les institutions continueront à s’appuyer sur des informations statiques comme authentifiants. Voir mon récent article sur Apple Pay pour un autre rappel de ce fait.
Malheureusement, l’IRS n’est pas la seule agence gouvernementale dont la dépendance aux identifiants statiques les rend en fait complices de la facilitation du vol d’identité contre les Américains. Le même processus décrit pour obtenir une transcription fiscale sur irs.gov fonctionne pour obtenir un rapport de crédit gratuit sur annualcreditreport.com, un site Web mandaté par le Congrès. En outre, les Américains qui n’ont pas encore créé de compte auprès de la Social Security Administration sous leur numéro de sécurité sociale risquent de voir des escrocs détourner les prestations de la SSA, maintenant ou à l’avenir. Pour en savoir plus sur la façon dont les escrocs siphonnent les prestations de sécurité sociale via les sites gouvernementaux, consultez cette histoire.
Kasper a déclaré qu’il est reconnaissant pour le rapport de police qu’il a pu obtenir des autorités de Pennsylvanie, car il lui permet d’obtenir un gel sur son dossier de crédit sans payer les frais habituels de 5 $ à New York pour placer et dégeler un gel.
Les gels de crédit empêchent les créanciers potentiels d’approuver de nouvelles lignes de crédit à votre nom – et même de pouvoir consulter ou « tirer » votre dossier de crédit – mais un gel n’empêchera pas nécessairement les fraudeurs de déposer de fausses déclarations de revenus à votre nom.
Sans compter, bien sûr, que les escrocs en question comptent obtenir vos relevés d’impôts par le biais du propre site Web de l’IRS. Selon l’IRS, les personnes dont le dossier est gelé pour des raisons de crédit doivent lever le gel (auprès d’Equifax, du moins) avant que l’agence puisse poursuivre les questions KBA dans le cadre de son processus de vérification.
Mise à jour, 22 h 46, ET : Le lien inclus dans le premier paragraphe de cette histoire dirigeant les lecteurs vers la création d’un compte avec l’IRS renvoie actuellement le message : « Nous rencontrons actuellement des problèmes techniques et sommes incapables de traiter les nouvelles inscriptions. »