„Așa este, 50 de dolari doar pentru dreptul de a-mi vedea propria declarație”, a spus Kasper. „Și încă o dată, mâna dreaptă nu știe ce face mâna stângă, pentru că m-a costat doar 50 de dolari să îi fac să ignore propriile reguli de confidențialitate. Cel mai interesant lucru în legătură cu această regulă ciudată este că IRS refuză, de asemenea, să se uite la datele contului în sine până când acesta nu este investigat pe deplin. Băncile sunt obligate prin lege să raporteze depunerile de rambursare suspecte, dar IRS nici măcar nu se obosește să contacteze băncile pentru a le anunța că o depunere de rambursare a fost raportată ca fiind frauduloasă, cel puțin în cazul contribuabililor individuali care sună, își confirmă identitatea și o raportează, așa cum am făcut eu.”
Kasper a declarat că transcrierea indică faptul că escrocii au depus cererea sa de rambursare folosind propriul site web gratuit e-file al IRS pentru cei cu venituri de peste 60.000 de dolari. De asemenea, a arătat numărul de rutare pentru First National Bank of Pennsylvania și numărul contului de cecuri al persoanei care a primit depunerea, plus data la care au depus cererea: 31 ianuarie 2015.
Transcrierea sugerează că escrocii care i-au cerut restituirea au făcut acest lucru copiind toate datele din W2 din anul anterior și mărind ușor sumele din anul anterior. Kasper a spus că nu poate dovedi acest lucru, dar crede că escrocii au obținut acele date W2 direct de la IRS însuși, după ce au creat un cont pe portalul IRS în numele său (dar folosind o altă adresă de e-mail) și au solicitat transcrierea sa.
„Persoana care a trimis-o a accesat cumva declarația mea fiscală din anul precedent 2013 pentru a lista angajatorul și salariul meu din acel an, 2013, pentru ca apoi să le folosească în declarația din 2014, în schimb”, a spus Kasper. „În plus, ei au prezentat și un W-2 corectat care a mărit suma reținută cu exact 6.000 de dolari pentru a crește suma totală de rambursare datorată la 8.936 de dolari.”
MĂSURI DE BANI
Miercuri, 18 martie 2015, Kasper a contactat First National Bank of Pennsylvania, al cărei număr de rutare a fost listat în cererea falsă de rambursare a impozitelor, și a ajuns la șeful lor de securitate a conturilor. Persoana respectivă a confirmat că o depunere directă de către IRS în valoare de 8.936,00 USD a fost efectuată la 9 februarie 2015 într-un cont curent individual, specificând numele complet și SSN-ul lui Kasper în metadatele cu depozitul.
„Mi-a spus că a putut vedea, de asemenea, că au fost efectuate tranzacții la una sau mai multe sucursale din orașul Williamsport, PA, pentru a debloca sau retrage aceste fonduri și că au fost efectuate mai multe achiziții cu cardul de debit în orașul Williamsport, de asemenea, astfel încât, în acest moment, o parte substanțială a fondurilor dispăruse”, a declarat Kasper. „Ea mi-a mai spus că nimeni de la IRS nu a contactat banca ei pentru a ridica întrebări cu privire la acest cont, în ciuda raportului meu de fraudă depus la 9 februarie 2015.”
Șefa de securitate a conturilor de la bancă a declarat că ar fi bucuroasă să coopereze cu poliția din Williamsport dacă aceasta ar furniza cererea legală necesară pentru a-i permite să elibereze numele, adresa și detaliile contului. Ofițerul băncii i-a oferit lui Kasper numărul ei de telefon de la birou și telefonul mobil pentru a le comunica polițiștilor. Angajata First National a menționat, de asemenea, că suspectul locuia în orașul Williamsport, PA, și că acest individ părea să folosească în continuare contul.
Kasper a spus că poliția locală din orașul său natal din New York nu s-a deranjat să răspundă la cererea sa de asistență, dar că locotenentului de la departamentul de poliție din Williamsport care i-a auzit povestea i s-a făcut milă de el și l-a rugat să scrie un e-mail despre incident către căpitanul său, pe care Kasper a spus că l-a trimis mai târziu în acea dimineață.
Doar două ore mai târziu, a primit un telefon de la un anchetator care fusese desemnat pentru acest caz. Detectivul l-a intervievat apoi pe individul care deținea contul în aceeași zi și i-a spus lui Kasper că departamentul de fraudă al băncii investighează și i-a cerut persoanei să returneze banii.
„Cazul meu de fraudă privind rambursarea de impozite a trecut de la blocat în noroi la un caz deschis, aproape peste noapte”, s-a întristat Kasper. „Sau, cel puțin, părea să fie atât de simplu. S-a dovedit a fi mult mai complex.”
Pentru început, femeia care deținea contul bancar care a primit rambursarea sa falsă – o studentă la o universitate locală din Pennsylvania – a spus că a obținut transferul după ce a răspuns la un anunț de pe Craigslist pentru o oportunitate de a face bani.
Kasper a declarat că detectivul a aflat că banii au fost depuși în contul ei și că ea a trimis banii în locații din Nigeria prin transfer bancar Western Union, păstrând o parte ca profit și, aparent, fără să bănuiască niciodată că ar putea face ceva ilegal.
„Până acum, ea a furnizat o cantitate semnificativă de informații și sunt înclinat să îi cred povestea”, a declarat Kasper. „Cine ar fi atât de nebun încât să depună o rambursare frauduloasă de taxe în propriul cont curent, spre deosebire de un card de debit nedetectabil pe care l-ar putea obține de la un magazin de proximitate. În același timp, nu ar trebui ca cineva care ar putea reuși acest lucru să aibă pregătită și o explicație ca aceasta?”
Femeia în cauză, al cărei nume nu este dezvăluit în acest articol, a refuzat mai multe solicitări de a vorbi cu KrebsOnSecurity, amenințând că va depune plângeri de hărțuire dacă nu voi înceta să mai încerc să o contactez. Cu toate acestea, se pare că a fost un catâr de bani involuntar – dacă nu chiar involuntar – într-o înșelătorie care urmărește să recruteze persoane neavizate pentru scheme de a face bani.
ANALIZĂ
Procesul IRS de verificare a persoanelor care solicită transcrieri este vulnerabil la exploatarea de către escroci deoarece se bazează pe identificatori statici și pe așa-numita „autentificare bazată pe cunoaștere” (KBA) – adică întrebări provocatoare care pot fi ușor de învins cu ajutorul informațiilor disponibile pe scară largă la vânzare în mediul subteran al criminalității cibernetice și/sau cu o mică căutare online.
Pentru a obține o copie a celei mai recente transcrieri fiscale, IRS solicită următoarele informații: Numele solicitantului, data nașterii, numărul de asigurare socială și statutul de declarant. După ce aceste date sunt furnizate cu succes, IRS utilizează un serviciu de la biroul de credit Equifax care pune patru întrebări KBA. Oricine reușește să furnizeze răspunsurile corecte poate vedea transcrierea fiscală completă a solicitantului, inclusiv W2 anterioare, W2 curente și mai mult sau mai puțin tot ceea ce ar fi necesar pentru a depune în mod fraudulos o cerere de rambursare a impozitului.
Întrebările KBA – care implică întrebări cu alegere multiplă, „din portofel”, cum ar fi adresa anterioară, sumele și datele împrumuturilor – pot fi enumerate cu succes prin ghicire aleatorie. Dar, în practică, este mult mai ușor, a declarat Nicholas Weaver, cercetător la International Computer Science Institute (ICSI) și la University of California, Berkeley.
„Am făcut-o de două ori, iar prima dată a fost legată de adresa mea actuală, o întrebare despre adresa veche și una despre „ce card de credit ați primit””, a spus Weaver. „A doua oară au fost două întrebări legate de adresa mea actuală și două legate de un împrumut auto pe care l-am achitat în 2007.”
A doua oară, Weaver a spus că câteva minute pe Zillow.com i-au oferit toate răspunsurile de care avea nevoie pentru întrebările KBA. Spokeo i-a rezolvat întrebările referitoare la „adresa veche” cu o acuratețe de 100%.
„Zillow cu adresa mea a răspuns la toate cele patru, dacă presupunem doar „m-am mutat când am cumpărat casa””, a spus el. „De fapt, a fost NEVOIE să folosesc Zillow a doua oară, pentru că la naiba dacă îmi amintesc când a fost construită casa mea. Așadar, cu datele Zillow și Spokeo, nu este nici măcar 1 din 256, este 1 din 4 prima dată și 1 din 16 a doua oară, și nu trebuie să ghicești orbește nici cu un pic mai mult de căutare pe Google.”
Dacă vreun cititor de aici se îndoiește de cât de ușor este să cumperi date personale despre aproape oricine, consultați articolul pe care l-am scris în decembrie 2014, în care am reușit să găsesc numele, adresa, numărul de asigurare socială, adresa anterioară și numărul de telefon al tuturor membrilor actuali ai Comisiei de Comerț din Senatul SUA. Aceste informații nu mai sunt secrete (și nici răspunsurile la întrebările bazate pe KBA), iar noi toți suntem făcuți vulnerabili la furtul de identitate atâta timp cât instituțiile continuă să se bazeze pe informații statice ca autentificatori. A se vedea articolul meu recent despre Apple Pay pentru o altă reamintire a acestui fapt.
Din păcate, IRS nu este singura agenție guvernamentală a cărei încredere în identificatorii statici îi face de fapt complici în facilitarea furtului de identitate împotriva americanilor. Același proces descris pentru a obține o transcriere fiscală la irs.gov funcționează pentru a obține un raport de credit gratuit de la annualcreditreport.com, un site web mandatat de Congres. În plus, americanii care nu și-au creat încă un cont la Administrația de Securitate Socială sub numărul lor de securitate socială sunt vulnerabili la deturnarea de către escroci a beneficiilor SSA acum sau în viitor. Pentru mai multe informații despre modul în care escrocii deturnează beneficiile de securitate socială prin intermediul site-urilor guvernamentale, consultați acest articol.
Kasper a declarat că este recunoscător pentru raportul de poliție pe care a reușit să-l obțină de la autoritățile din Pennsylvania, deoarece îi permite să obțină o înghețare a dosarului său de credit fără a plăti taxa obișnuită de 5 dolari din New York pentru a plasa și dezgheța o înghețare.
Înghețarea creditelor îi împiedică pe potențialii creditori să aprobe noi linii de credit pe numele dumneavoastră – și chiar să vă poată vizualiza sau „extrage” dosarul de credit – dar o înghețare nu va împiedica neapărat escrocii să depună declarații fiscale false pe numele dumneavoastră.
Dacă nu cumva, desigur, escrocii în cauză se bazează pe obținerea transcrierilor fiscale prin intermediul propriului site web al IRS. Potrivit IRS, persoanele cu un îngheț de credit pe dosarul lor trebuie să ridice înghețul (cel puțin cu Equifax) înainte ca agenția să poată continua cu întrebările KBA ca parte a procesului de verificare.
Actualizare, 22:46 p.m., ET: Legătura inclusă în primul paragraf al acestei știri care îi îndrumă pe cititori să creeze un cont cu IRS returnează în prezent mesajul: „Ne confruntăm în prezent cu probleme tehnice și nu putem procesa noi înregistrări.”
.