「その通り、自分の申告書を見る権利のためだけに50ドル」カスパーは言った。 “そしてまたしても、右手は左手が何をしているのかわからない。”なぜなら、彼ら自身のプライバシールールを無視させるために、たった50ドルかかっただけだからだ。 この奇妙な規則で最も興味深いのは、IRSは完全に調査されるまで口座データそのものを見ることも拒否していることだ。 銀行は疑わしい還付金の入金を報告するよう法律で義務づけられていますが、IRSは、少なくとも私がしたように、電話で本人確認をして報告した個人の納税者の場合には、還付金の入金が不正であると報告されたことを銀行に連絡することさえしません」
Kasper は、記録から詐欺師がIRSのウェブサイト独自の所得6万ドル以上の人用の無料の電子ファイルウェブサイトを使って彼の還付要求を行ったことを示していると述べました。 また、ペンシルバニアのファースト・ナショナル・バンクのルーティング番号と、入金を受けた個人の当座預金口座番号に加えて、彼らが申告した日付が示されていました。 2015年1月31日
この記録は、彼の還付金を請求した詐欺師が、前年のW2のデータをすべてコピーし、前年の金額を少し増やすことによって行ったことを示唆しています。 カスパーは、証明はできないが、詐欺師が、彼の名前で(しかし別の電子メールアドレスを使って)IRSのポータルにアカウントを作成し、彼の転写を要求した後、IRS自体から直接そのW2データを入手したと考えていると述べた。
「それを提出した人は、私の雇用主と2013年の給与を記載し、代わりにそれを2014年の申告で使用するために、なぜか前年2013年の申告書にアクセスしました」と、カスパーは述べている。 「さらに、彼らは、源泉徴収額をちょうど6,000ドル増やし、還付金の総額を8,936ドルに増やす修正W-2も提出しました」
MONEY MULING
2015年3月18日水曜日、Kasperは偽の税金還付請求にルーティング番号が載っていたファーストナショナルバンクオブペンシルバニアと連絡し、口座保安責任者と連絡を取りました。 その担当者は、IRSによる8936ドルの直接預金が2015年2月9日に個人の当座預金口座に行われたことを確認し、その預金のメタデータにキャスパーのフルネームとSSNを指定しました。
「彼女は、これらの資金を払い出すか、引き出すために、ペンシルバニア州のウィリアムズポート市の一つまたは複数の支店で取引が行われ、同様に、いくつかの購入がウィリアムズポート市のデビットカードで行われ、この時点で資金のかなりの部分が消えていたことがわかると私に言いました」キャスパーの発言は、次のとおりです。 “彼女はさらに、2015年2月9日に提出した私の詐欺報告にもかかわらず、IRSの誰もこの口座について疑問を提起するために彼女の銀行に連絡していないと言いました。”
銀行の口座セキュリティの責任者は、ウィリアムズポート警察が、名前、住所、口座詳細を公開できるよう必要な法的要請を提供すれば、喜んで協力すると述べています。 この銀行の職員は、キャスパーに自分のオフィスの電話番号と携帯電話を提供し、警察と共有するようにと言った。 ファースト・ナショナル社の従業員は、容疑者がペンシルベニア州ウィリアムズポート市に住んでいること、この人物がまだ口座を使用しているようであることも述べました。
Kasper によると、彼の故郷であるニューヨークの地元警察は、彼の支援の要請に応じる気はなかったそうですが、彼の話を聞いたウィリアムズポート警察の警部補が同情して、事件について警部にメールを書くように頼み、その朝遅く、Kasper は送信したそうです。 その刑事は、同日、口座を持っていた人物に面会し、銀行の詐欺部門が調査しており、その人物に現金を返却するよう求めていることをカスパーに伝えました。
「私の税金還付詐欺事件は、ほとんど一夜にして、行き詰まりからオープンケースになった」とカスパーは悲しんでいます。 「少なくとも、そのように単純に思えたのです。 そのため、このような事態が発生したのです。
Kasper によると、刑事は彼女の口座にお金が入金され、彼女はウェスタンユニオン電信送金でナイジェリアの場所にお金を送り、一部を利益として残し、明らかに違法なことをやっているかもしれないと疑うことはなかったと言いました。 同時に、これをやり遂げられる人は、このような説明も用意しているのではないでしょうか?」
問題の女性は、この記事では名前を伏せていますが、KrebsOnSecurity と話すための複数のリクエストを拒否し、私が彼女に連絡しようとしないなら嫌がらせの申し立てをすると脅しました。 それにもかかわらず、彼女は無意識のうちに、いやがおうにも、金儲けのために不心得者を勧誘しようとする詐欺の金の亡者になってしまったようだ。
ANALYSIS
IRS の成績証明書を要求する人の確認プロセスは、静的な識別子といわゆる「知識ベース認証」(KBA)、つまり、サイバー犯罪の地下で広く販売されている情報やオンラインで少し検索するだけで簡単に破ることができるチャレンジ質問に依存しているので、詐欺師に利用されやすくなっています。 申請者の氏名、生年月日、社会保障番号、および申告状況。 このデータが正常に提供された後、IRSは信用調査会社Equifaxのサービスを利用し、4つのKBAの質問をします。 正しい答えを提供することに成功した人は、以前の W2 や現在の W2 など、不正に税金の払い戻しを申請するために必要なほぼすべてのものを含む、申請者の完全な納税記録を見ることができます。
KBA 質問(以前の住所、ローンの額、日付などの複数選択の「財布からはみ出す」質問を含む)は、ランダムに推測してうまく列挙できるものばかりです。 しかし、実際にははるかに簡単であると、International Computer Science Institute (ICSI) とカリフォルニア大学バークレー校の研究者である Nicholas Weaver 氏は述べています。
「私は 2 回やりましたが、1 回目は現住所に関連し、古い住所に関する質問が 1 つ、『どのクレジット カードにした』という質問が 1 つありました」と、Weaver 氏は述べています。 「2 回目は、現住所に関連する 2 つの質問と、2007 年に完済した車のローンに関連する 2 つの質問でした」
2 回目、Weaver は Zillow.com で数分間検索し、KBA に関する質問に必要なすべての答えを得たと語りました。 Spokeo は、「古い住所」の質問を 100% の精度で解決しました。
「私の住所のある Zillow は、『家を買ったときに引っ越した』と仮定すれば、4 つすべての質問に答えてくれました」と、彼は言います。 「実際、2 回目には Zillow を使用する必要がありました。なぜなら、自分の家がいつ建てられたかを覚えているかどうか、くそったれだからです。 Zillow と Spokeo のデータでは、256 分の 1 でもなく、1 回目は 4 分の 1、2 回目は 16 分の 1 であり、さらに Google で検索すれば、ブラインドを当てる必要もありません」
ここで読者が、ほぼ全員の個人データを購入することがいかに簡単かを疑うなら、私が 2014 年 12 月に書いた記事をチェックしてみてください。 この情報はもはや秘密ではなく(KBAベースの質問に対する答えも同様)、金融機関が認証情報として静的な情報に依存し続ける限り、私たちは皆、個人情報盗難の危険にさらされているのです。 この事実のもうひとつの注意点として、Apple Pay に関する私の最近の記事を参照してください。
IRS は、残念ながら、静的な識別子に依存している唯一の政府機関ではなく、実際にアメリカ人に対する ID 窃盗を促進することに加担している機関です。 irs.gov で納税証明書を取得するために説明したのと同じプロセスは、議会によって義務付けられた Web サイトである annualcreditreport.com から無料の信用報告書を取得するために機能します。 さらに、社会保障番号で社会保障庁のアカウントを作成していない米国人は、現在も将来も、詐欺師によるSSA給付金の乗っ取りに遭う可能性があります。 ペンシルベニア州当局から入手した警察の報告書のおかげで、ニューヨークで通常必要とされる5ドルの凍結解除手数料を払うことなく、自分のクレジット・ファイルを凍結することができたので、感謝しているとKasperは言っています。
クレジット凍結は、自称債権者があなたの名前で新しいクレジットラインを承認するのを防ぎ、実際、あなたのクレジットファイルを閲覧したり「引き出す」ことさえも防ぎますが、凍結は詐欺師があなたの名前で偽の税金申告をするのを必ずしも阻止するわけではありません。 IRSによると、クレジットフリーズされている人は、IRSが確認プロセスの一環としてKBAの質問を続けることができるようになる前に、(少なくともEquifaxで)フリーズを解除しなければならないそうです。 この記事の最初の段落に含まれる、読者に IRS のアカウントを作成するように指示するリンクは、現在メッセージを返しています。 「現在、技術的な問題が発生しており、新しい登録を処理することができません」
。