“Dat klopt, $50 alleen voor het recht om mijn eigen aangifte in te zien,” zei Kasper. “En weer weet de rechterhand niet wat de linkerhand doet, want het kostte me slechts $50 om ze zover te krijgen dat ze hun eigen privacyregels negeerden. Het meest interessante aan deze vreemde regel is dat de IRS ook weigert naar de rekeninggegevens zelf te kijken totdat deze volledig zijn onderzocht. Banken zijn wettelijk verplicht om verdachte terugstortingen te melden, maar de IRS neemt niet eens de moeite om contact op te nemen met banken om hen te laten weten dat een terugstorting frauduleus werd gemeld, althans in het geval van individuele belastingbetalers die bellen, hun identiteit bevestigen en het melden, net zoals ik deed.”
Kasper zei dat het transcript aangeeft dat de fraudeurs zijn terugbetalingsverzoek hebben ingediend met behulp van de eigen gratis e-file-website van de IRS-website voor mensen met inkomens boven de $ 60.000. Het toonde ook het routingnummer voor First National Bank of Pennsylvania en het controlerekeningnummer van het individu dat de storting kreeg plus de datum dat ze indienden: 31 januari 2015.
Het transcript suggereert dat de fraudeurs die zijn terugbetaling claimden, dit hadden gedaan door alle gegevens van zijn W2 van vorig jaar te kopiëren, en door de bedragen van het vorige jaar iets te verhogen. Kasper zei dat hij het niet kan bewijzen, maar hij gelooft dat de oplichters die W2-gegevens rechtstreeks van de IRS zelf hebben verkregen, na het aanmaken van een account bij het IRS-portaal in zijn naam (maar met behulp van een ander e-mailadres) en het aanvragen van zijn transcript.
“De persoon die het heeft ingediend, heeft op de een of andere manier toegang gekregen tot mijn belastingaangifte van het voorgaande jaar 2013 om mijn werkgever en salaris van dat jaar, 2013, te vermelden, en het vervolgens te gebruiken op de aangifte van 2014, in plaats daarvan,” zei Kasper. “Bovendien dienden ze ook een gecorrigeerde W-2 in die het inhoudingsbedrag met precies $ 6.000 verhoogde om hun totale verschuldigde terugbetaling te verhogen tot $ 8.936.”
GELDMULDEN
Op woensdag 18 maart 2015 nam Kasper contact op met First National Bank of Pennsylvania, wiens routingnummer werd vermeld in het valse belastingteruggaafverzoek, en bereikte hun hoofd van de accountbeveiliging. Die persoon bevestigde dat een directe storting door de IRS voor $ 8.936,00 werd gedaan op 9 februari 2015 op een individuele betaalrekening met vermelding van Kasper’s volledige naam en SSN in de metadata met de storting.
“Ze vertelde me dat ze ook kon zien dat er transacties werden gedaan bij een of meer filialen in de stad Williamsport, PA om die fondsen uit te betalen of op te nemen en dat er ook verschillende aankopen werden gedaan met een debetkaart in de stad Williamsport, zodat op dit punt een aanzienlijk deel van de fondsen verdwenen was,” zei Kasper. “Ze vertelde me verder dat niemand van de IRS contact had opgenomen met haar bank om vragen te stellen over deze rekening, ondanks mijn fraudemelding die op 9 februari 2015 werd ingediend.”
Het hoofd van de accountbeveiliging bij de bank verklaarde dat ze graag zou samenwerken met de politie van Williamsport als ze het vereiste wettelijke verzoek zouden indienen om haar in staat te stellen de naam, het adres en de rekeninggegevens vrij te geven. De bankmedewerker bood Kasper haar telefoonnummer van kantoor en mobiele telefoon aan om met de agenten te delen. De First National medewerker vermeldde ook dat de verdachte in de stad Williamsport, PA woonde, en dat deze persoon de rekening nog steeds leek te gebruiken.
Kasper zei dat de lokale politie in zijn woonplaats in New York niet de moeite had genomen om te reageren op zijn verzoek om hulp, maar dat de luitenant bij de politie van Williamsport die zijn verhaal hoorde, medelijden met hem had en hem vroeg om een e-mail over het incident aan zijn kapitein te schrijven, die Kasper zei dat hij later die ochtend verzond.
Slechts twee uur later kreeg hij een telefoontje van een rechercheur die aan de zaak was toegewezen. De detective interviewde vervolgens dezelfde dag de persoon die de rekening aanhield en vertelde Kasper dat de fraudeafdeling van de bank bezig was met een onderzoek en de persoon had gevraagd het geld terug te geven.
“Mijn fraudezaak met belastingteruggave was van vastgelopen in de modder naar een open zaak gegaan, bijna van de ene op de andere dag,” zei Kasper verdrietig. “Of althans zo eenvoudig leek het te zijn. Het bleek veel complexer te zijn.”
Om te beginnen, de vrouw die eigenaar was van de bankrekening waarop zijn nepteruggave werd ontvangen – een student aan een lokale universiteit in Pennsylvania – zei dat ze de overdracht kreeg nadat ze had gereageerd op een Craigslist-advertentie voor een geldverdienmogelijkheid.
Kasper zei dat de detective erachter kwam dat geld op haar rekening werd gestort, en dat ze het geld via Western Union-overboekingen naar locaties in Nigeria stuurde, waarbij ze een deel als winst hield, en blijkbaar nooit vermoedde dat ze misschien iets illegaals aan het doen was.
“Ze heeft tot nu toe een aanzienlijke hoeveelheid informatie verstrekt, en ik ben geneigd om haar verhaal te geloven,” zei Kasper. “Wie is er zo gek om een frauduleuze belastingteruggave op zijn eigen betaalrekening te storten, in tegenstelling tot een onvindbare pinpas die hij in een buurtwinkel kan krijgen. Tegelijkertijd, zou iemand die dit zou kunnen doen niet ook een verklaring als deze klaar hebben?”
De vrouw in kwestie, wiens naam in dit verhaal wordt achtergehouden, weigerde meerdere verzoeken om met KrebsOnSecurity te spreken, dreigend met het indienen van intimidatieclaims als ik niet zou stoppen met proberen om contact met haar op te nemen. Niettemin lijkt ze een onwetende – zo niet onwillige – geldezel te zijn geweest in een zwendel die probeert onoplettende mensen te rekruteren voor geld verdienende regelingen.
ANALYSE
Het IRS-proces voor het verifiëren van mensen die afschriften aanvragen, is kwetsbaar voor misbruik door fraudeurs omdat het berust op statische identificatiemiddelen en zogenaamde “kennisgebaseerde authenticatie” (KBA) – d.w.z. uitdagingsvragen die gemakkelijk kunnen worden verslagen met informatie die op grote schaal te koop is in de cybercriminele ondergrondse en/of met een kleine hoeveelheid zoekwerk online.
Om een kopie van uw meest recente belastingafschrift te verkrijgen, heeft de IRS de volgende informatie nodig: De naam van de aanvrager, geboortedatum, sofinummer en indieningsstatus. Nadat die gegevens met succes zijn verstrekt, gebruikt de IRS een dienst van kredietbureau Equifax die vier KBA-vragen stelt. Iedereen die erin slaagt de juiste antwoorden te geven, kan het volledige belastingafschrift van de aanvrager zien, inclusief eerdere W2’s, huidige W2’s en min of meer alles wat men nodig zou hebben om frauduleus een belastingteruggave aan te vragen.
De KBA-vragen – die meerkeuze, “uit de portemonnee” vragen omvatten, zoals vorig adres, leenbedragen en data – kunnen met succes worden opgesomd met willekeurig gokken. Maar in de praktijk is het veel gemakkelijker, zei Nicholas Weaver, een onderzoeker aan het International Computer Science Institute (ICSI) en aan de Universiteit van Californië, Berkeley.
“Ik heb het twee keer gedaan, en de eerste keer had het betrekking op mijn huidige adres, één oude adresvraag, en één ‘welke creditcard heb je gekregen’-vraag,” zei Weaver. “De tweede keer waren het twee vragen met betrekking tot mijn huidige adres, en twee met betrekking tot een autolening die ik in 2007 heb afbetaald.”
De tweede keer zei Weaver dat een paar minuten op Zillow.com hem alle antwoorden gaven die hij nodig had voor de KBA-vragen. Spokeo loste de “oud adres” vragen voor hem op met 100% nauwkeurigheid.
“Zillow met mijn adres beantwoordde alle vier van hen, als je gewoon uitgaat van ‘verhuisd toen ik het huis kocht’,” zei hij. “In feite MOEST ik de tweede keer Zillow gebruiken, want ik kan me niet herinneren wanneer mijn huis gebouwd is. Dus met Zillow- en Spokeo-gegevens is het niet eens 1 op 256, het is 1 op 4 de eerste keer en 1 op 16 de tweede keer, en je hoeft ook niet blind te raden met een beetje meer Google-zoeken.”
Als lezers hier twijfelen aan hoe gemakkelijk het is om persoonlijke gegevens over zo ongeveer iedereen te kopen, bekijk dan het verhaal dat ik in december 2014 schreef, waarin ik in staat was om de naam, het adres, het sofinummer, het vorige adres en het telefoonnummer te vinden over alle huidige leden van de handelscommissie van de Amerikaanse senaat. Deze informatie is niet langer geheim (evenmin als de antwoorden op KBA-gebaseerde vragen), en we worden allemaal kwetsbaar gemaakt voor identiteitsdiefstal zolang instellingen blijven vertrouwen op statische informatie als authenticators. Zie mijn recente verhaal over Apple Pay voor een andere herinnering aan dit feit.
Helaas is de IRS niet de enige overheidsinstantie waarvan het vertrouwen op statische identificatiemiddelen hen feitelijk medeplichtig maakt aan het vergemakkelijken van identiteitsdiefstal tegen Amerikanen. Hetzelfde proces dat wordt beschreven voor het verkrijgen van een belastingafschrift op irs.gov werkt voor het verkrijgen van een gratis kredietrapport van annualcreditreport.com, een website die door het Congres is gemandateerd. Bovendien zijn Amerikanen die nog geen account hebben aangemaakt bij de Social Security Administration onder hun socialezekerheidsnummer kwetsbaar voor oplichters die nu of in de toekomst SSA-uitkeringen kapen. Voor meer over hoe oplichters Sociale Zekerheidsuitkeringen overhevelen via overheidssites, bekijk dit verhaal.
Kasper zei dat hij dankbaar is voor het politierapport dat hij van de autoriteiten in Pennsylvania kon krijgen, omdat het hem in staat stelt om een bevriezing van zijn kredietbestand te krijgen zonder de gebruikelijke $ 5 te betalen in New York om een bevriezing te plaatsen en te ontdooien.
Credit freezes voorkomen dat would-be schuldeisers nieuwe kredietlijnen op uw naam goedkeuren – en inderdaad van zelfs in staat zijn om uw kredietbestand te bekijken of te “trekken” – maar een bevriezing zal fraudeurs niet noodzakelijkerwijs blokkeren van het indienen van valse belastingaangiften in uw naam.
Of, natuurlijk, de oplichters in kwestie rekenen op het verkrijgen van uw belastingafschriften via de eigen website van de IRS. Volgens de IRS moeten mensen met een kredietbevriezing op hun bestand de bevriezing opheffen (bij Equifax, althans) voordat het bureau kan doorgaan met de KBA-vragen als onderdeel van zijn verificatieproces.
Update, 10:46 p.m., ET: De link in de eerste alinea van dit verhaal die lezers leidt naar het maken van een account bij de IRS geeft momenteel het bericht terug: “We ondervinden momenteel technische problemen en kunnen geen nieuwe registraties verwerken.”