“Questo è giusto, 50 dollari solo per il diritto di vedere il mio ritorno,” Kasper ha detto. “E ancora una volta la mano destra non sa cosa sta facendo la mano sinistra, perché mi è costato solo 50 dollari per fargli ignorare le loro stesse regole sulla privacy. La cosa più interessante di questa strana regola è che l’IRS si rifiuta anche di guardare i dati del conto stesso fino a quando non viene investigato completamente. Le banche sono tenute per legge a segnalare depositi di rimborsi sospetti, ma l’IRS non si preoccupa nemmeno di contattare le banche per far loro sapere che un deposito di rimborso è stato segnalato come fraudolento, almeno nel caso di singoli contribuenti che chiamano, confermano la loro identità e lo segnalano, proprio come ho fatto io.”
Kasper ha detto che la trascrizione indica che i truffatori hanno presentato la sua richiesta di rimborso utilizzando il sito web dell’IRS e-file gratuito per quelli con redditi superiori a $ 60.000. Ha anche mostrato il numero di routing per la First National Bank of Pennsylvania e il numero di conto corrente dell’individuo che ha ottenuto il deposito più la data che hanno archiviato: 31 gennaio 2015.
La trascrizione suggerisce che i truffatori che hanno richiesto il suo rimborso lo hanno fatto copiando tutti i dati dal suo W2 dell’anno precedente, e aumentando leggermente gli importi dell’anno precedente. Kasper ha detto che non può provarlo, ma crede che i truffatori abbiano ottenuto quei dati W2 direttamente dall’IRS stesso, dopo aver creato un account sul portale IRS a suo nome (ma utilizzando un indirizzo email diverso) e aver richiesto la sua trascrizione.
“La persona che l’ha presentata in qualche modo ha avuto accesso alla mia dichiarazione dei redditi dell’anno precedente 2013 per elencare il mio datore di lavoro e lo stipendio di quell’anno, 2013, per poi utilizzarlo sul ritorno 2014, invece”, ha detto Kasper. “Inoltre, hanno anche presentato un W-2 corretto che ha aumentato l’importo della ritenuta di esattamente $ 6.000 per aumentare il loro rimborso totale dovuto a $ 8.936.”
MONEY MULING
Mercoledì 18 marzo 2015, Kasper ha contattato la First National Bank of Pennsylvania il cui numero di routing era elencato nella richiesta di rimborso fiscale fasullo, e ha raggiunto il loro capo della sicurezza del conto. Quella persona ha confermato un deposito diretto da parte dell’IRS per $ 8.936,00 è stato fatto il 9 febbraio 2015 in un conto corrente individuale specificando il nome completo di Kasper e SSN nei metadati con il deposito.
“Mi ha detto che poteva anche vedere le transazioni sono state fatte in una o più filiali nella città di Williamsport, PA per erogare o ritirare quei fondi e che diversi acquisti sono stati fatti con carta di debito nella città di Williamsport pure, in modo che a questo punto una parte sostanziale dei fondi erano andati”, Kasper ha detto. “Mi ha anche detto che nessuno dell’IRS aveva contattato la sua banca per sollevare questioni su questo conto, nonostante la mia denuncia di frode presentata il 9 febbraio 2015.”
Il capo della sicurezza dei conti della banca ha dichiarato che sarebbe stata felice di collaborare con la polizia di Williamsport se avessero fornito la richiesta legale necessaria per permetterle di rilasciare il nome, l’indirizzo e i dettagli del conto. L’impiegata della banca ha offerto a Kasper il numero di telefono del suo ufficio e del suo cellulare da condividere con i poliziotti. L’impiegato della First National ha anche menzionato che il sospetto viveva nella città di Williamsport, PA, e che questo individuo sembrava usare ancora il conto.
Kasper ha detto che la polizia locale nella sua città natale di New York non si era preoccupata di rispondere alla sua richiesta di assistenza, ma che il tenente del dipartimento di polizia di Williamsport che ha sentito la sua storia ha avuto pietà di lui e gli ha chiesto di scrivere una e-mail sull’incidente al suo capitano, che Kasper ha detto di aver inviato più tardi quella mattina.
Solo due ore dopo, ha ricevuto una chiamata da un investigatore che era stato assegnato al caso. Il detective ha poi intervistato la persona che teneva il conto lo stesso giorno e ha detto a Kasper che il dipartimento frodi della banca stava indagando e aveva chiesto alla persona di restituire i contanti.
“Il mio caso di frode sui rimborsi fiscali era passato da bloccato nel fango a un caso aperto, quasi durante la notte”, Kasper è triste. “O almeno sembrava essere così semplice. Si è rivelato essere molto più complesso.”
Per cominciare, la donna che possedeva il conto bancario che ha ricevuto il suo rimborso fasullo – una studentessa di una università locale della Pennsylvania – ha detto che ha ottenuto il trasferimento dopo aver risposto a un annuncio su Craigslist per un’opportunità di guadagno.
Kasper ha detto che il detective ha appreso che il denaro è stato depositato sul suo conto, e che lei ha inviato il denaro a luoghi in Nigeria tramite Western Union wire transfer, tenendone un po’ come profitto, e apparentemente senza mai sospettare che potrebbe fare qualcosa di illegale.
“Lei ha finora fornito una quantità significativa di informazioni, e io sono incline a credere alla sua storia”, ha detto Kasper. “Chi sarebbe abbastanza pazzo da depositare un rimborso fiscale fraudolento sul proprio conto corrente, invece di una carta di debito non rintracciabile che potrebbe ottenere in un negozio. Allo stesso tempo, qualcuno che potrebbe fare questo non avrebbe anche una spiegazione come questa pronta?”
La donna in questione, il cui nome è stato nascosto da questa storia, ha rifiutato molteplici richieste di parlare con KrebsOnSecurity, minacciando di presentare reclami per molestie se non avessi smesso di cercare di contattarla. Ciononostante, sembra essere stata un inconsapevole – se non involontario – mulo di denaro in una truffa che cerca di reclutare gli incauti in schemi per fare soldi.
ANALISI
Il processo dell’IRS per verificare le persone che richiedono le trascrizioni è vulnerabile allo sfruttamento da parte dei truffatori perché si basa su identificatori statici e la cosiddetta “autenticazione basata sulla conoscenza” (KBA) – cioè, domande di sfida che possono essere facilmente sconfitte con informazioni ampiamente disponibili in vendita nell’underground del crimine informatico e/o con una piccola quantità di ricerca online.
Per ottenere una copia della vostra trascrizione fiscale più recente, l’IRS richiede le seguenti informazioni: Il nome del richiedente, la data di nascita, il numero di previdenza sociale e lo stato di archiviazione. Dopo che questi dati sono stati forniti con successo, l’IRS utilizza un servizio del credit bureau Equifax che pone quattro domande KBA. Chiunque riesca a fornire le risposte corrette può vedere l’intera trascrizione fiscale del richiedente, compresi i W2 precedenti, gli attuali W2 e più o meno tutto ciò di cui si avrebbe bisogno per presentare fraudolentemente una domanda di rimborso fiscale.
Le domande KBA – che coinvolgono domande a scelta multipla, “fuori dal portafoglio”, come l’indirizzo precedente, gli importi e le date dei prestiti – possono essere enumerate con successo con un indovinello casuale. Ma in pratica è molto più facile, ha detto Nicholas Weaver, un ricercatore presso l’International Computer Science Institute (ICSI) e presso l’Università della California, Berkeley.
“L’ho fatto due volte, e la prima volta era relativo al mio indirizzo attuale, una domanda vecchio indirizzo, e una domanda ‘quale carta di credito hai ottenuto'”, ha detto Weaver. “La seconda volta erano due domande relative al mio indirizzo attuale, e due relative a un prestito auto che ho pagato nel 2007.”
La seconda volta, Weaver ha detto che pochi minuti su Zillow.com gli hanno dato tutte le risposte di cui aveva bisogno per le domande KBA. Spokeo ha risolto le domande “vecchio indirizzo” per lui con il 100% di precisione.
“Zillow con il mio indirizzo ha risposto a tutte e quattro, se si assume semplicemente ‘si è trasferito quando ho comprato la casa’”, ha detto. “In effetti, ho avuto bisogno di usare Zillow la seconda volta, perché non ricordo quando è stata costruita la mia casa. Quindi, con i dati di Zillow e Spokeo, non è nemmeno 1 su 256, è 1 su 4 la prima volta e 1 su 16 la seconda, e non c’è bisogno di indovinare alla cieca nemmeno con un po’ più di ricerca su Google.”
Se qualche lettore qui dubita di quanto sia facile comprare dati personali su chiunque, controlla la storia che ho scritto nel dicembre 2014, in cui sono stato in grado di trovare il nome, l’indirizzo, il numero di previdenza sociale, l’indirizzo precedente e il numero di telefono di tutti gli attuali membri della Commissione Commercio del Senato americano. Queste informazioni non sono più segrete (né lo sono le risposte alle domande basate su KBA), e siamo tutti resi vulnerabili al furto di identità finché le istituzioni continuano a fare affidamento su informazioni statiche come autenticatori. Vedi la mia recente storia su Apple Pay per un altro promemoria di questo fatto.
Purtroppo, l’IRS non è l’unica agenzia governativa il cui affidamento su identificatori statici li rende effettivamente complici nel facilitare il furto di identità contro gli americani. Lo stesso processo descritto per ottenere una trascrizione fiscale su irs.gov funziona per ottenere un rapporto di credito gratuito da annualcreditreport.com, un sito web ordinato dal Congresso. Inoltre, gli americani che non hanno ancora creato un conto presso la Social Security Administration con il loro numero di previdenza sociale sono vulnerabili ai truffatori che dirottano i benefici SSA ora o in futuro. Per saperne di più su come i truffatori stanno dirottando i benefici della sicurezza sociale attraverso i siti del governo, guardate questa storia.
Kasper ha detto che è grato per il rapporto della polizia che è stato in grado di ottenere dalle autorità della Pennsylvania perché gli permette di ottenere un blocco del suo file di credito senza pagare la tassa abituale di 5 dollari a New York per mettere e scongelare un blocco.
Il blocco del credito impedisce ai potenziali creditori di approvare nuove linee di credito a vostro nome – e in effetti di essere anche in grado di vedere o “tirare” il vostro file di credito – ma un blocco non bloccherà necessariamente i truffatori dal presentare false dichiarazioni dei redditi a vostro nome.
A meno che, naturalmente, i truffatori in questione non contino di ottenere le vostre trascrizioni fiscali attraverso il sito web dell’IRS. Secondo l’IRS, la gente con un congelamento di credito sul loro file deve sollevare il congelamento (con Equifax, almeno) prima che l’agenzia è in grado di continuare con le domande KBA come parte del suo processo di verifica.
Aggiornamento, 10:46 p.m., ET: Il link incluso nel primo paragrafo di questa storia che indirizza i lettori a creare un account con l’IRS è attualmente restituendo il messaggio: “Stiamo attualmente sperimentando problemi tecnici e non siamo in grado di elaborare nuove registrazioni.”
.