„To prawda, 50 dolarów tylko za prawo do zobaczenia mój własny powrót,” Kasper powiedział. „I po raz kolejny prawa ręka nie wie, co robi lewa, ponieważ kosztowało mnie tylko 50 dolarów, aby skłonić ich do zignorowania ich własnych zasad prywatności. Najciekawsze w tej dziwnej regule jest to, że IRS odmawia również spojrzenia na same dane konta, dopóki nie zostanie ono w pełni zbadane. Banki są zobowiązane przez prawo do zgłaszania podejrzanych depozytów refundacji, ale IRS nawet nie zawraca sobie głowy kontaktem z bankami, aby dać im znać, że depozyt refundacji został zgłoszony jako fałszywy, przynajmniej w przypadku indywidualnych podatników, którzy dzwonią, potwierdzają swoją tożsamość i zgłaszają to, tak jak ja to zrobiłem.”
Kasper powiedział, że transkrypt wskazuje, że oszuści złożyli jego wniosek o refundację przy użyciu własnej strony internetowej IRS wolny e-file dla tych z dochodami powyżej $60,000. Pokazał również numer routingu dla First National Bank of Pennsylvania i numer konta czekowego osoby, która otrzymała depozyt plus datę, że złożyli: 31 stycznia 2015.
Stan zapisu sugeruje, że oszuści, którzy domagali się jego zwrotu pieniędzy, zrobili to kopiując wszystkie dane z jego W2 z poprzedniego roku i nieznacznie zwiększając kwoty z poprzedniego roku. Kasper powiedział, że nie może tego udowodnić, ale wierzy, że oszuści uzyskali te dane W2 bezpośrednio z samego IRS, po utworzeniu konta na portalu IRS w jego imieniu (ale przy użyciu innego adresu e-mail) i zażądaniu jego transkryptu.
„Osoba, która go złożyła, w jakiś sposób uzyskała dostęp do mojego zeznania podatkowego z poprzedniego roku 2013, aby wymienić mojego pracodawcę i wynagrodzenie z tego roku, 2013, a następnie użyć go w zeznaniu za rok 2014, zamiast” – powiedział Kasper. „Ponadto, przedłożyli również poprawione W-2, które zwiększyło kwotę potrącenia dokładnie o $6,000, aby zwiększyć ich całkowity należny zwrot do $8,936.”
MONEY MULING
W środę, 18 marca 2015 roku, Kasper skontaktował się z First National Bank of Pennsylvania, którego numer routingowy był wymieniony w fałszywym wniosku o zwrot podatku, i skontaktował się z szefem ochrony konta. Osoba ta potwierdziła, że bezpośredni depozyt IRS na kwotę $8,936.00 został dokonany 9 lutego 2015 r. na indywidualne konto czekowe, podając pełne imię i nazwisko Kaspera oraz SSN w metadanych z depozytem.
„Powiedziała mi, że może również zobaczyć, że transakcje zostały dokonane w jednym lub więcej oddziałów w mieście Williamsport, PA, aby wypłacić lub wycofać te fundusze i że kilka zakupów zostało dokonanych kartą debetową w mieście Williamsport, jak również, tak, że w tym momencie znaczna część funduszy zniknęła,” powiedział Kasper. „Dalej powiedziała mi, że nikt z IRS nie skontaktował się z jej bankiem, aby podnieść jakiekolwiek pytania dotyczące tego konta, pomimo mojego raportu o oszustwie złożonego 9 lutego 2015 r.”
Szef ochrony konta w banku stwierdził, że z przyjemnością będzie współpracować z policją w Williamsport, jeśli dostarczą wymagany wniosek prawny, aby umożliwić jej zwolnienie nazwy, adresu i szczegółów konta. Pracownica banku zaoferowała Kasperowi swój biurowy numer telefonu i telefon komórkowy, aby podzielił się nimi z policjantami. Pracownik First National wspomniał również, że podejrzany mieszkał w mieście Williamsport, PA, i że osoba ta wydawała się nadal korzystać z konta.
Kasper powiedział, że lokalna policja w jego rodzinnym mieście w Nowym Jorku nie pofatygowała się, aby odpowiedzieć na jego prośbę o pomoc, ale porucznik w departamencie policji w Williamsport, który usłyszał jego historię, zlitował się nad nim i poprosił go o napisanie e-maila o tym incydencie do swojego kapitana, który Kasper wysłał później tego samego ranka.
Dwie godziny później otrzymał telefon od śledczego, który został przydzielony do tej sprawy. Detektyw przeprowadził rozmowę z osobą, która posiadała konto jeszcze tego samego dnia i powiedział Kasperowi, że dział oszustw banku prowadzi dochodzenie i poprosił tę osobę o zwrot gotówki.
„Moja sprawa oszustwa związanego ze zwrotem podatku zmieniła się z utknięcia w błocie w otwartą sprawę, niemalże z dnia na dzień,” zasmucił się Kasper. „A przynajmniej wydawało się, że to takie proste. Okazało się, że sprawa jest o wiele bardziej złożona.”
Na początek, kobieta, która posiadała konto bankowe, na które wpłynął jego fałszywy zwrot – studentka lokalnego uniwersytetu w Pensylwanii – powiedziała, że dostała przelew po odpowiedzi na ogłoszenie na Craigslist o możliwości zarobienia pieniędzy.
Kasper powiedział, że detektyw dowiedział się, że pieniądze zostały wpłacone na jej konto i że wysłała je do miejsc w Nigerii za pomocą przelewu Western Union, zatrzymując część jako zysk i najwyraźniej nigdy nie podejrzewając, że może robić coś nielegalnego.
„Do tej pory dostarczyła znaczną ilość informacji i jestem skłonny uwierzyć w jej historię,” powiedział Kasper. „Kto byłby na tyle szalony, aby zdeponować oszukańczy zwrot podatku na własnym koncie czekowym, w przeciwieństwie do niemożliwej do namierzenia karty debetowej, którą można dostać w sklepie. Jednocześnie, czy ktoś, kto mógłby to zrobić, nie miałby gotowego wyjaśnienia, jak to?”
Kobieta, o której mowa, której nazwisko nie jest ujawniane w tej historii, odrzuciła wiele próśb o rozmowę z KrebsOnSecurity, grożąc złożeniem pozwu o nękanie, jeśli nie przestanę próbować się z nią skontaktować. Niemniej jednak, wygląda na to, że była ona nieświadomym – jeśli nie niechętnym – mułem pieniężnym w oszustwie, które ma na celu zwerbowanie nieostrożnych ludzi do systemów zarabiania pieniędzy.
ANALIZA
Proces weryfikacji osób proszących o transkrypt jest podatny na wykorzystanie przez oszustów, ponieważ opiera się na statycznych identyfikatorach i tak zwanym „uwierzytelnianiu opartym na wiedzy” (KBA) – tj. pytaniach sprawdzających, które można łatwo pokonać za pomocą informacji szeroko dostępnych na sprzedaż w cyberprzestępczym podziemiu i/lub przy niewielkiej ilości poszukiwań online.
Aby uzyskać kopię ostatniego transkryptu podatkowego, IRS wymaga następujących informacji: Imię i nazwisko wnioskodawcy, data urodzenia, numer Social Security oraz status filing status. Po pomyślnym podaniu tych danych, IRS korzysta z usługi biura kredytowego Equifax, które zadaje cztery pytania KBA. Każdy, komu uda się udzielić poprawnych odpowiedzi, może zobaczyć pełną transkrypcję podatkową wnioskodawcy, w tym poprzednie W2s, bieżące W2s i mniej więcej wszystko, co byłoby potrzebne do nieuczciwego ubiegania się o zwrot podatku.
Pytania KBA – które obejmują pytania wielokrotnego wyboru, „z portfela”, takie jak poprzedni adres, kwoty pożyczek i daty – można z powodzeniem wyliczyć za pomocą losowego zgadywania. Ale w praktyce jest to o wiele łatwiejsze, powiedział Nicholas Weaver, badacz w International Computer Science Institute (ICSI) i na Uniwersytecie Kalifornijskim w Berkeley.
„Zrobiłem to dwa razy, a za pierwszym razem było to związane z moim obecnym adresem, jedno pytanie o stary adres i jedno pytanie 'którą kartę kredytową dostałeś'”, powiedział Weaver. „Za drugim razem były to dwa pytania związane z moim obecnym adresem, a dwa związane z kredytem samochodowym, który spłaciłem w 2007 r.”
Drugi raz Weaver powiedział, że kilka minut na Zillow.com dało mu wszystkie odpowiedzi, których potrzebował na pytania KBA. Spokeo rozwiązał „stary adres” pytania dla niego ze 100% dokładnością.
„Zillow z mojego adresu odpowiedział na wszystkie cztery z nich, jeśli po prostu założyć 'przeniósł się, kiedy kupiłem dom’,” powiedział. „W rzeczywistości, I NEED użyć Zillow drugi raz wokół, bo cholernie jeśli pamiętam, kiedy mój dom został zbudowany. Więc z Zillow i Spokeo danych, to nie jest nawet 1 na 256, to jest 1 na 4 za pierwszym razem wokół i 1 na 16 drugi, i nie trzeba zgadywać ślepy albo z nieco więcej wyszukiwania Google.”
Jeśli jakikolwiek czytelnik tutaj wątpliwości, jak łatwo jest kupić dane osobowe na byle kogo, sprawdź historię napisałem w grudniu 2014 roku, w którym byłem w stanie znaleźć nazwę, adres, numer ubezpieczenia społecznego, poprzedni adres i numer telefonu na wszystkich obecnych członków Komisji Handlu Senatu USA. Te informacje nie są już tajne (podobnie jak odpowiedzi na pytania oparte na KBA), a my wszyscy jesteśmy narażeni na kradzież tożsamości tak długo, jak instytucje nadal będą polegać na statycznych informacjach jako uwierzytelniaczach. Zobacz moją ostatnią historię o Apple Pay, aby przypomnieć ten fakt.
Niestety, IRS nie jest jedyną agencją rządową, której poleganie na statycznych identyfikatorach faktycznie czyni ich współwinnymi ułatwiania kradzieży tożsamości przeciwko Amerykanom. Ten sam proces opisany w celu uzyskania transkryptu podatkowego na irs.gov działa w celu uzyskania bezpłatnego raportu kredytowego z annualcreditreport.com, strony internetowej upoważnionej przez Kongres. Ponadto, Amerykanie, którzy nie założyli jeszcze konta w Social Security Administration pod swoim numerem Social Security, są narażeni na wyłudzenie świadczeń z SSA teraz lub w przyszłości. Więcej o tym, jak oszuści są siphoning Social Security świadczeń za pośrednictwem witryn rządowych, sprawdzić this story.
Kasper powiedział, że jest wdzięczny za raport policyjny był w stanie uzyskać od władz Pensylwanii, ponieważ pozwala mu uzyskać zamrożenie na jego pliku kredytowego bez płacenia zwyczajowe $ 5 opłaty w Nowym Jorku, aby umieścić i rozmrozić freeze.
Credit freezes prevent would-be creditors from approving new lines of credit in your name – and indeed from even from being able to view or „pull” your credit file – but a freeze will not necessarily block fraudsters from filing phony tax returns in your name.
Unnnless, of course, the scammers in question are counting on obtaining your tax transcripts through the IRS’s own Web site. Według IRS, ludzie z zamrożeniem kredytu na ich pliku musi podnieść zamrożenie (z Equifax, co najmniej) przed agencja jest w stanie kontynuować z pytań KBA jako część jego procesu weryfikacji.
Update, 10:46 p.m., ET: Link zawarty w pierwszym akapicie tej historii kierujący czytelników do utworzenia konta w IRS obecnie zwraca komunikat: „Mamy obecnie problemy techniczne i nie jesteśmy w stanie przetwarzać nowych rejestracji”
.