“Így van, 50 dollár csak azért, hogy láthassam a saját bevallásomat” – mondta Kasper. “És a jobb kéz megint nem tudja, mit csinál a bal kéz, mert nekem csak 50 dollárba került, hogy rávegyem őket, hogy figyelmen kívül hagyják a saját adatvédelmi szabályaikat. A legérdekesebb ebben a furcsa szabályban az, hogy az IRS magát a számlaadatokat sem hajlandó megnézni, amíg nem vizsgálják ki teljesen. A bankoknak a törvény szerint jelenteniük kell a gyanús visszatérítési befizetéseket, de az IRS még csak nem is veszi a fáradságot, hogy kapcsolatba lépjen a bankokkal, hogy tudassa velük, hogy egy visszatérítési befizetést csalásnak jelentettek, legalábbis az egyéni adófizetők esetében, akik telefonálnak, megerősítik a személyazonosságukat és bejelentik, ahogy én is tettem.”
Kasper szerint az átirat szerint a csalók az IRS saját, 60 000 dollár feletti jövedelemmel rendelkezők számára ingyenes e-file weboldalát használva nyújtották be a visszatérítési kérelmét. Megmutatta továbbá a First National Bank of Pennsylvania irányítószámát és annak a magánszemélynek a folyószámlaszámát, aki a befizetést kapta, valamint a benyújtás dátumát: 2015. január 31.
A jegyzőkönyvből kiderül, hogy a visszatérítést igénylő csalók úgy tették ezt, hogy az előző évi W2-es adatainak összes adatát lemásolták, és az előző évi összegeket kissé megemelték. Kasper elmondta, hogy nem tudja bizonyítani, de úgy véli, hogy a csalók közvetlenül magától az IRS-től szerezték meg ezeket a W2-es adatokat, miután az ő nevében (de más e-mail címet használva) fiókot hoztak létre az IRS portálon, és elkérték az átiratát.
“Az a személy, aki benyújtotta, valahogyan hozzáfért az előző, 2013-as adóbevallásomhoz, hogy abban az évben, 2013-ban feltüntetje a munkáltatómat és a fizetésemet, majd felhasználja a 2014-es bevallásban, helyette” – mondta Kasper. “Ezenkívül egy javított W-2-t is benyújtott, amely pontosan 6000 dollárral megnövelte a forráslevonás összegét, hogy a teljes esedékes visszatérítésüket 8936 dollárra növelje.”
PÉNZÜGYI MULING
2015. március 18-án, szerdán Kasper kapcsolatba lépett a First National Bank of Pennsylvaniával, amelynek routingszáma szerepelt a hamis adó-visszatérítési kérelemben, és elérte a számlavédelmi vezetőjüket. Ez a személy megerősítette, hogy 2015. február 9-én 8.936,00 dollár közvetlen befizetés történt az IRS részéről egy egyéni folyószámlára, amely a befizetés metaadataiban Kasper teljes nevét és SSN-számát adta meg.
“Azt mondta nekem, hogy azt is látta, hogy egy vagy több fiókban is történtek tranzakciók Williamsport, PA városában, hogy ezeket az összegeket kifizessék vagy kivegyék, és hogy több vásárlás is történt bankkártyával Williamsport városában, így ezen a ponton az összegek jelentős része eltűnt” – mondta Kasper. “Elmondta továbbá, hogy az IRS-től senki sem kereste meg a bankját, hogy kérdéseket tegyen fel ezzel a számlával kapcsolatban, annak ellenére, hogy 2015. február 9-én tettem csalási bejelentést.”
A bank számlavédelmi vezetője kijelentette, hogy szívesen együttműködik a williamsporti rendőrséggel, ha azok benyújtják a szükséges jogi kérelmet, hogy kiadhassa a nevet, a címet és a számla adatait. A banki tisztviselő felajánlotta Kaspernek az irodai telefonszámát és a mobiltelefonját, hogy ossza meg a rendőrökkel. A First National alkalmazottja azt is megemlítette, hogy a gyanúsított a PA állambeli Williamsport városában lakik, és úgy tűnik, hogy ez a személy még mindig használja a számlát.
Kasper elmondta, hogy New York-i szülővárosában a helyi rendőrség nem foglalkozott azzal, hogy válaszoljon a segítségkérésére, de a williamsporti rendőrség hadnagya, aki meghallotta a történetét, megszánta őt, és megkérte, hogy írjon egy e-mailt az esetről a kapitányának, amit Kasper elmondása szerint még aznap reggel elküldött.
Alig két órával később kapott egy hívást az ügyre kijelölt nyomozótól. A nyomozó még aznap kihallgatta a számlát vezető személyt, és elmondta Kaspernek, hogy a bank csalási osztálya vizsgálódik, és megkérte az illetőt, hogy adja vissza a készpénzt.
“Az adó-visszatérítési csalási ügyem a sárban ragadtból nyitott üggyé vált, szinte egyik napról a másikra” – szomorkodott Kasper. “Vagy legalábbis ilyen egyszerűnek tűnt. Kiderült, hogy sokkal összetettebb.”
Először is, a nő, akié volt a bankszámla, amelyre a hamis visszatérítés érkezett – egy helyi pennsylvaniai egyetem hallgatója – azt mondta, hogy az átutalást azután kapta, hogy válaszolt egy Craigslist-hirdetésre, amelyben pénzkereseti lehetőséget keresett.
Kasper szerint a nyomozó megtudta, hogy a pénzt a számlájára utalták, és hogy a pénzt Western Union átutalással küldte el nigériai helyekre, egy részét nyereségként megtartva, és nyilvánvalóan soha nem gyanította, hogy esetleg valami illegálisat csinál.
“Eddig jelentős mennyiségű információt szolgáltatott, és hajlamos vagyok hinni a történetének” – mondta Kasper. “Ki lenne olyan őrült, hogy egy csalárd adó-visszatérítést befizessen a saját folyószámlájára, szemben egy lenyomozhatatlan bankkártyával, amit egy kisboltban kaphat. Ugyanakkor, aki képes lenne ilyesmire, annak nem állna készen egy ilyen magyarázat is?”
A kérdéses nő, akinek a nevét nem közöljük a történetben, többször is visszautasította a KrebsOnSecurity kérését, és azzal fenyegetőzött, hogy zaklatási keresetet nyújt be, ha nem hagyom abba a kapcsolatfelvételt. Mindazonáltal úgy tűnik, hogy a nő akaratlanul – ha nem is akaratlanul – pénzszállító futtatója volt egy olyan átverésnek, amelynek célja, hogy az óvatlan embereket pénzkereső rendszerekhez toborozza.
ANALÍZIS
Az IRS által az átiratokat kérő személyek ellenőrzésére alkalmazott eljárás kiszolgáltatott a csalók általi kihasználásnak, mivel statikus azonosítókra és úgynevezett “tudásalapú hitelesítésre” (KBA) támaszkodik – azaz olyan kihívást jelentő kérdésekre, amelyek könnyen legyőzhetők a kiberbűnözés alvilágában széles körben elérhető információkkal és/vagy egy kis online kereséssel.
Az IRS a következő adatokat kéri a legutóbbi adókivonat másolatának megszerzéséhez: A kérelmező nevét, születési dátumát, társadalombiztosítási számát és bejelentési státuszát. Ezen adatok sikeres megadása után az IRS az Equifax hitelinformációs iroda szolgáltatását veszi igénybe, amely négy KBA-kérdést tesz fel. Akinek sikerül megadni a helyes válaszokat, az láthatja a kérelmező teljes adóigazolását, beleértve a korábbi W2-eket, a jelenlegi W2-eket és többé-kevésbé mindent, amire szükség lehet az adóvisszatérítés csalárd módon történő igényléséhez.
A KBA-kérdések – amelyek többszörösen megválaszolható, “pénztárcán kívüli” kérdéseket tartalmaznak, mint például korábbi cím, hitelösszegek és dátumok – véletlenszerű találgatással sikeresen megszámolhatók. A gyakorlatban azonban sokkal egyszerűbb – mondta Nicholas Weaver, a Nemzetközi Számítástechnikai Intézet (ICSI) és a Berkeley-i Kaliforniai Egyetem kutatója.
“Kétszer csináltam meg, és az első alkalommal a jelenlegi címemre vonatkozott, egy régi címre vonatkozó kérdés és egy “melyik hitelkártyát kaptad” kérdés” – mondta Weaver. “A második alkalommal két kérdés kapcsolódott a jelenlegi címemhez, és két kérdés egy 2007-ben visszafizetett autóhitelhez.”
A második alkalommal Weaver azt mondta, hogy néhány perc a Zillow.com-on megadta neki az összes szükséges választ a KBA-kérdésekre. A Spokeo 100%-os pontossággal oldotta meg számára a “régi cím” kérdéseket.
“A Zillow a címemmel mind a négyre válaszolt, ha csak feltételezzük, hogy “elköltöztem, amikor megvettem a házat”” – mondta. “Valójában másodszorra KELLETT a Zillow-t használnom, mert átkozottul nem emlékszem, mikor épült a házam. Tehát a Zillow és a Spokeo adatokkal még csak nem is 1 a 256-ból, hanem 1 a 4-ből az első alkalommal, és 1 a 16-ból a második alkalommal, és egy kicsit több Google-kereséssel sem kell vakon találgatni.”
Ha az itt olvasók kételkednek abban, hogy milyen könnyű szinte bárkiről személyes adatokat vásárolni, nézzék meg a 2014 decemberében írt cikkemet, amelyben az amerikai szenátus kereskedelmi bizottságának összes jelenlegi tagjának nevét, címét, társadalombiztosítási számát, korábbi címét és telefonszámát meg tudtam találni. Ezek az információk már nem titkosak (ahogy a KBA-alapú kérdésekre adott válaszok sem), és mindannyian ki vagyunk téve a személyazonosság-lopásnak mindaddig, amíg az intézmények továbbra is statikus adatokra támaszkodnak hitelesítőként. Lásd az Apple Pay-ről szóló nemrégiben megjelent cikkemet, amely szintén emlékeztet erre a tényre.
Sajnos az IRS nem az egyetlen olyan kormányzati szerv, amelynek a statikus azonosítókra való támaszkodása valójában bűnrészessé teszi őket az amerikaiak elleni személyazonosság-lopás elősegítésében. Ugyanaz a folyamat, amelyet az irs.gov oldalon az adókivonat megszerzéséhez leírtak, működik az ingyenes hiteljelentés megszerzéséhez az annualcreditreport.com, a kongresszus által megbízott weboldalon. Ezenkívül azok az amerikaiak, akik még nem hoztak létre fiókot a Social Security Administrationnél a társadalombiztosítási számuk alatt, ki vannak téve annak, hogy csalók most vagy a jövőben eltérítsék az SSA juttatásait. Ha többet szeretne megtudni arról, hogy a csalók hogyan nyúlják le a társadalombiztosítási juttatásokat a kormányzati oldalakon keresztül, olvassa el ezt a történetet.
Kasper elmondta, hogy hálás a rendőrségi jelentésért, amelyet a pennsylvaniai hatóságoktól tudott megszerezni, mert ez lehetővé teszi számára, hogy befagyassza a hiteladatait anélkül, hogy a New Yorkban szokásos 5 dolláros díjat kellene fizetnie a befagyasztás elhelyezéséért és felolvasztásáért.
A hitel befagyasztása megakadályozza, hogy a leendő hitelezők új hitelkereteket hagyjanak jóvá az Ön nevére – sőt, még azt is, hogy egyáltalán megnézhessék vagy “lehívhassák” a hitelaktáját -, de a befagyasztás nem feltétlenül akadályozza meg a csalókat abban, hogy hamis adóbevallásokat nyújtsanak be az Ön nevében.
Kivéve persze, ha a szóban forgó csalók arra számítanak, hogy az Ön adóigazolását az IRS saját weboldalán keresztül szerzik meg. Az IRS szerint azoknak, akiknek az aktáján hitelkifagyasztás van, fel kell oldaniuk a befagyasztást (legalábbis az Equifaxnál), mielőtt az ügynökség folytatni tudja a KBA-kérdéseket az ellenőrzési folyamat részeként.
Frissítés, 22:46, ET: A történet első bekezdésében szereplő link, amely arra irányítja az olvasókat, hogy hozzanak létre egy fiókot az IRS-nél, jelenleg visszaküldi az üzenetet: “Jelenleg technikai problémákkal küzdünk, és nem tudjuk feldolgozni az új regisztrációkat.”