“Isso mesmo, $50 apenas pelo direito de ver meu próprio retorno”, disse Kasper. “E mais uma vez a mão direita não sabe o que a esquerda está fazendo, porque me custou apenas 50 dólares para que eles ignorassem suas próprias regras de privacidade”. O mais interessante sobre essa estranha regra é que o IRS também se recusa a olhar para os dados da conta em si até que seja totalmente investigada. Os bancos são obrigados por lei a reportar depósitos suspeitos de reembolso, mas a Receita não se preocupa sequer em contatar os bancos para informá-los de que um depósito de reembolso foi reportado como fraudulento, pelo menos no caso de contribuintes individuais que ligam, confirmam sua identidade e reportam, assim como eu fiz”
Kasper disse que a transcrição indica que os fraudadores apresentaram seu pedido de reembolso usando o próprio site gratuito de arquivos eletrônicos da Receita para aqueles com rendimentos acima de $60.000. Ele também mostrou o número de encaminhamento para o First National Bank of Pennsylvania e o número da conta corrente do indivíduo que recebeu o depósito mais a data que eles arquivaram: 31 de janeiro de 2015.
A transcrição sugere que os fraudadores que solicitaram seu reembolso tinham feito isso copiando todos os dados do seu W2 do ano anterior, e aumentando ligeiramente os valores do ano anterior. Kasper disse que não pode provar isso, mas ele acredita que os golpistas obtiveram os dados do W2 diretamente do próprio IRS, depois de criar uma conta no portal do IRS em seu nome (mas usando um endereço de e-mail diferente) e solicitar sua transcrição.
“A pessoa que a enviou de alguma forma acessou minha declaração de impostos do ano anterior de 2013 para listar meu empregador e salário daquele ano, 2013, e depois usá-la na declaração de 2014”, disse Kasper. “Além disso, eles também submeteram um W-2 corrigido que aumentou a quantia retida em exatamente $6.000 para aumentar a restituição total devido a $8.936”
MULING DE DINHEIRO
Na quarta-feira, 18 de março de 2015, Kasper contactou o First National Bank of Pennsylvania cujo número de roteamento foi listado no pedido de reembolso de impostos falso, e alcançou o seu chefe de segurança de conta. Essa pessoa confirmou um depósito directo pelo IRS de $8.936,00 foi feito a 9 de Fevereiro de 2015 numa conta corrente individual especificando o nome completo de Kasper e SSN nos metadados com o depósito.
“Ela disse-me que também podia ver que as transacções eram feitas numa ou mais agências na cidade de Williamsport, PA para desembolsar ou levantar esses fundos e que várias compras eram feitas por cartão de débito na cidade de Williamsport também, de modo que neste ponto uma parte substancial dos fundos tinham desaparecido”, disse Kasper. “Ela me disse ainda que ninguém do IRS havia contatado seu banco para levantar quaisquer questões sobre esta conta, apesar do meu relatório de fraude arquivado em 9 de fevereiro de 2015”
O chefe da segurança da conta no banco declarou que ela ficaria feliz em cooperar com a Polícia Williamsport se eles fornecessem o pedido legal necessário para permitir que ela liberasse o nome, endereço e detalhes da conta. O oficial do banco ofereceu a Kasper o número de telefone do escritório e do celular dela para compartilhar com a polícia. O funcionário da First National também mencionou que o suspeito vivia na cidade de Williamsport, PA, e que este indivíduo parecia ainda estar usando a conta.
Kasper disse que a polícia local em sua cidade natal, Nova York, não se preocupou em responder ao seu pedido de assistência, mas que o tenente do departamento de polícia de Williamsport, que ouviu sua história, teve pena dele e pediu-lhe para escrever um e-mail sobre o incidente para seu capitão, que Kasper disse que ele enviou mais tarde naquela manhã.
Apenas duas horas depois, ele recebeu uma ligação de um investigador que tinha sido designado para o caso. O detetive então entrevistou o indivíduo que tinha a conta no mesmo dia e disse a Kasper que o departamento de fraude do banco estava investigando e tinha pedido à pessoa para devolver o dinheiro.
“Meu caso de fraude de reembolso de impostos tinha passado de preso na lama para um caso aberto, quase da noite para o dia”, lamenta Kasper. “Ou pelo menos parecia ser assim tão simples”. Acabou sendo muito mais complexo”.
Para começar, a mulher que era dona da conta bancária que recebeu seu falso reembolso – uma estudante de uma universidade local da Pensilvânia – disse que recebeu a transferência depois de responder a um anúncio da Craigslist por uma oportunidade de fazer dinheiro.
Kasper disse que a detetive soube que o dinheiro foi depositado em sua conta, e que ela enviou o dinheiro para locais na Nigéria via transferência bancária da Western Union, mantendo algum como lucro, e aparentemente nunca suspeitando que ela poderia estar fazendo algo ilegal.
“Ela tem fornecido até agora uma quantidade significativa de informações, e estou inclinada a acreditar na sua história”, disse Kasper. “Quem seria louco o suficiente para depositar um reembolso de impostos fraudulento em sua própria conta corrente, ao contrário de um cartão de débito indetectável que poderiam obter em uma loja de conveniência. Ao mesmo tempo, alguém que conseguisse fazer isso também não teria uma explicação como esta pronta?”
A mulher em questão, cujo nome está sendo retido desta história, recusou vários pedidos para falar com a KrebsOnSecurity, ameaçando arquivar reclamações de assédio se eu não parasse de tentar contatá-la. No entanto, ela parece ter sido uma mula de dinheiro involuntária – se não mesmo indisponível – num esquema que procura recrutar os incautos para esquemas de fazer dinheiro.
ANÁLISE
O processo do IRS para verificar pessoas solicitando transcrições é vulnerável à exploração por fraudadores porque se baseia em identificadores estáticos e na chamada “autenticação baseada no conhecimento” (KBA) – ou seja, perguntas desafiadoras que podem ser facilmente vencidas com informações amplamente disponíveis para venda no subsolo do crime cibernético e/ou com uma pequena quantidade de pesquisas on-line.
Para obter uma cópia de sua transcrição fiscal mais recente, o IRS requer as seguintes informações: O nome do requerente, data de nascimento, número de Segurança Social e estado de arquivamento. Depois que esses dados são fornecidos com sucesso, a Receita Federal utiliza um serviço da agência de crédito Equifax que faz quatro perguntas da KBA. Qualquer pessoa que tenha sucesso no fornecimento das respostas corretas pode ver a transcrição fiscal completa do requerente, incluindo W2s anteriores, W2s atuais e mais ou menos tudo o que seria necessário para pedir uma restituição fraudulenta.
As perguntas KBA – que envolvem múltipla escolha, perguntas “fora da carteira” como endereço anterior, valores de empréstimo e datas – podem ser enumeradas com sucesso com adivinhação aleatória. Mas na prática é muito mais fácil, disse Nicholas Weaver, um pesquisador do International Computer Science Institute (ICSI) e da Universidade da Califórnia, Berkeley.
“Eu fiz isso duas vezes, e na primeira vez foi relacionado ao meu endereço atual, uma pergunta de endereço antigo, e uma pergunta ‘qual cartão de crédito você recebeu'”, disse Weaver. “A segunda vez foram duas perguntas relacionadas ao meu endereço atual, e duas relacionadas a um empréstimo de carro que eu paguei em 2007”
A segunda vez, Weaver disse alguns minutos no Zillow.com deu a ele todas as respostas que precisava para as perguntas da KBA. Spokeo resolveu as perguntas “endereço antigo” para ele com 100% de precisão.
“Zillow com meu endereço respondeu às quatro, se você simplesmente assumir ‘mudou-se quando eu comprei a casa'”, disse ele. “Na verdade, eu preciso usar Zillow pela segunda vez, porque maldito seja se eu me lembro de quando minha casa foi construída. Então com os dados de Zillow e Spokeo, não é nem 1 em 256, é 1 em 4 da primeira vez e 1 em 16 da segunda, e você também não precisa adivinhar às cegas com um pouco mais de busca no Google”
Se algum leitor aqui duvida de como é fácil comprar dados pessoais de qualquer pessoa, confira a história que escrevi em dezembro de 2014, na qual consegui encontrar o nome, endereço, número do Seguro Social, endereço anterior e número de telefone de todos os membros atuais do Comitê de Comércio do Senado dos Estados Unidos. Essas informações não são mais secretas (nem as respostas às perguntas baseadas na KBA), e todos nós ficamos vulneráveis ao roubo de identidade enquanto as instituições continuarem a confiar em informações estáticas como autenticadores. Veja minha história recente sobre a Apple Pay para outro lembrete deste fato.
Felizmente, o IRS não é a única agência governamental cuja dependência de identificadores estáticos realmente os torna cúmplices na facilitação do roubo de identidade contra americanos. O mesmo processo descrito para obter uma transcrição fiscal no irs.gov funciona para obter um relatório de crédito gratuito do annualcreditreport.com, um website mandatado pelo Congresso. Além disso, os americanos que ainda não criaram uma conta na Administração da Previdência Social sob seu número de Previdência Social são vulneráveis a seqüestrar os benefícios da SSA, agora ou no futuro. Para saber mais sobre como os bandidos estão desviando benefícios da Previdência Social através de sites do governo, confira esta história.
Kasper disse que está grato pelo relatório policial que conseguiu obter das autoridades da Pensilvânia, pois permite que ele obtenha um congelamento no seu arquivo de crédito sem pagar a habitual taxa de 5 dólares em Nova York para colocar e descongelar um congelamento.
O congelamento do crédito impede que os potenciais credores aprovem novas linhas de crédito em seu nome – e até mesmo que possam ver ou “puxar” seu arquivo de crédito – mas um congelamento não necessariamente bloqueará os fraudadores de apresentar declarações de impostos falsas em seu nome.
Sem dúvida, os golpistas em questão estão contando com a obtenção de suas transcrições de impostos através do próprio site do IRS. De acordo com o IRS, pessoas com um congelamento de crédito em seu arquivo devem levantar o congelamento (com Equifax, pelo menos) antes que a agência possa continuar com as perguntas KBA como parte do seu processo de verificação.
Atualizar, 22:46 p.m., ET: O link incluído no primeiro parágrafo desta história que orienta os leitores a criarem uma conta com o IRS está atualmente retornando a mensagem: “Estamos actualmente a ter problemas técnicos e não conseguimos processar novos registos.”