”Det stämmer, 50 dollar bara för rätten att se min egen deklaration”, sa Kasper. ”Och återigen vet den högra handen inte vad den vänstra handen gör, för det kostade mig bara 50 dollar att få dem att ignorera sina egna sekretessregler. Det mest intressanta med denna märkliga regel är att IRS också vägrar att titta på själva kontouppgifterna tills de är helt utredda. Bankerna är enligt lag skyldiga att rapportera misstänkta återbetalningsinsättningar, men IRS bryr sig inte ens om att kontakta bankerna för att låta dem veta att en återbetalningsinsättning rapporterats som bedräglig, åtminstone när det gäller enskilda skattebetalare som ringer, bekräftar sin identitet och rapporterar det, precis som jag gjorde.”
Kasper sade att transkriptet tyder på att bedragarna lämnade in hans återbetalningsansökan med hjälp av IRS:s egen kostnadsfria webbplats för e-filering för dem med inkomster över 60 000 dollar. Det visade också rutnummer för First National Bank of Pennsylvania och checkkontonumret för den person som fick inbetalningen plus datumet som de lämnade in: 31 januari 2015.
Utskrivningen tyder på att de bedragare som krävde hans återbetalning hade gjort det genom att kopiera alla uppgifter från hans W2 från föregående år och genom att öka beloppen från föregående år en aning. Kasper sa att han inte kan bevisa det, men han tror att bedragarna fick dessa W2-uppgifter direkt från IRS, efter att ha skapat ett konto på IRS-portalen i hans namn (men med en annan e-postadress) och begärt hans utskrift.
”Personen som skickade in den fick på något sätt tillgång till min skattedeklaration från föregående år 2013 för att lista min arbetsgivare och lön från det året, 2013, för att sedan använda den på 2014 års deklaration, i stället”, sa Kasper. ”Dessutom skickade de också in en korrigerad W-2 som ökade källskattebeloppet med exakt 6 000 dollar för att öka deras totala återbetalning till 8 936 dollar.”
MONEY MULING
Onsdagen den 18 mars 2015 kontaktade Kasper First National Bank of Pennsylvania vars routningsnummer fanns med i den falska begäran om skatteåterbetalning, och nådde deras chef för kontosäkerhet. Den personen bekräftade att en direkt insättning från IRS på 8 936 dollar gjordes den 9 februari 2015 till ett individuellt checkkonto som angav Kaspers fullständiga namn och SSN i metadata med insättningen.
”Hon berättade för mig att hon också kunde se att transaktioner gjordes på en eller flera filialer i staden Williamsport, PA, för att betala ut eller ta ut dessa medel och att flera köp gjordes med betalkort i staden Williamsport också, så att en betydande del av medlen vid det här laget var borta”, sa Kasper. ”Hon berättade vidare att ingen från skattemyndigheten hade kontaktat hennes bank för att ta upp några frågor om detta konto, trots min anmälan om bedrägeri som lämnades in den 9 februari 2015.”
Kontosäkerhetschefen på banken uppgav att hon gärna skulle samarbeta med polisen i Williamsport om de lämnade in den erforderliga rättsliga begäran för att låta henne lämna ut namn, adress och kontouppgifter. Banktjänstemannen erbjöd Kasper sitt kontorsnummer och sin mobiltelefon att dela med sig av till polisen. First National-anställda nämnde också att den misstänkte bodde i staden Williamsport, PA, och att denna person verkade fortfarande använda kontot.
Kasper sade att den lokala polisen i hans hemstad i New York inte hade brytt sig om att svara på hans begäran om hjälp, men att löjtnanten vid polisen i Williamsport som hörde hans berättelse förbarmade sig över honom och bad honom skriva ett mejl om händelsen till sin kommissarie, vilket Kasper sade att han skickade senare på morgonen.
Bara två timmar senare fick han ett samtal från en utredare som hade tilldelats fallet. Utredaren intervjuade sedan samma dag den person som hade kontot och berättade för Kasper att bankens bedrägeriavdelning höll på att utreda och hade bett personen att lämna tillbaka kontanterna.
”Mitt fall av skatteåterbäringsbedrägeri hade gått från att ha fastnat i leran till ett öppet fall, nästan över en natt”, beklagar Kasper. ”Eller åtminstone verkade det vara så enkelt. Det visade sig vara mycket mer komplicerat.”
För det första sa kvinnan som ägde bankkontot som fick hans falska återbetalning – en student vid ett lokalt universitet i Pennsylvania – att hon fick överföringen efter att ha svarat på en annons på Craigslist om en möjlighet att tjäna pengar.
Kasper sade att detektiven fick reda på att pengar sattes in på hennes konto och att hon skickade pengarna till platser i Nigeria via Western Union-överföring, behöll en del som vinst och tydligen aldrig misstänkte att hon kunde göra något olagligt.
”Hon har hittills lämnat en betydande mängd information och jag är benägen att tro på hennes berättelse”, sade Kasper. ”Vem skulle vara galen nog att sätta in en bedräglig skatteåterbäring på sitt eget checkkonto, till skillnad från ett ospårbart betalkort som de kan få i en närbutik. Samtidigt, skulle inte någon som kunde göra det här också ha en förklaring som den här redo?”
Kvinnan i fråga, vars namn undanhålls i den här berättelsen, avböjde flera förfrågningar om att prata med KrebsOnSecurity och hotade med att lämna in trakasserianspråk om jag inte slutade att försöka kontakta henne. Ändå verkar hon ha varit en ovetande – om inte ovillig – pengamula i en bluff som syftar till att rekrytera de oförsiktiga för att tjäna pengar.
ANALYS
Institutionens förfarande för att verifiera personer som begär utskrifter är sårbart för att utnyttjas av bedragare eftersom det bygger på statiska identifierare och s.k. ”kunskapsbaserad autentisering” (KBA) – dvs. utmanande frågor som lätt kan besegras med hjälp av information som är allmänt tillgänglig till försäljning i cyberbrottslighetens underjordiska miljöer och/eller med en liten sökning på nätet.
För att erhålla en kopia av din senaste skatteutskrift kräver IRS följande information: Den sökandes namn, födelsedatum, socialförsäkringsnummer och status. När dessa uppgifter har lämnats in använder IRS en tjänst från kreditupplysningsföretaget Equifax som ställer fyra KBA-frågor. Den som lyckas ge de korrekta svaren kan se den sökandes fullständiga skatteutskrift, inklusive tidigare W2:s, nuvarande W2:s och mer eller mindre allt man skulle behöva för att bedrägligt ansöka om skatteåterbäring.
KBA-frågorna – som omfattar flervalsfrågor, ”ur plånboken”, såsom tidigare adress, lånebelopp och datum – kan räknas upp med slumpmässiga gissningar. Men i praktiken är det mycket lättare, säger Nicholas Weaver, forskare vid International Computer Science Institute (ICSI) och vid University of California, Berkeley.
”Jag gjorde det två gånger, och första gången var det relaterat till min nuvarande adress, en fråga om min gamla adress och en fråga om ’vilket kreditkort fick du'”, säger Weaver. ”Andra gången var det två frågor om min nuvarande adress och två frågor om ett billån som jag betalade av 2007.”
Andra gången sa Weaver att några minuter på Zillow.com gav honom alla svar han behövde för KBA-frågorna. Spokeo löste frågorna om ”gammal adress” för honom med 100 procents noggrannhet.
”Zillow med min adress svarade på alla fyra frågorna, om man bara utgår från ’flyttade när jag köpte huset'”, sa han. ”Faktum är att jag behövde använda Zillow andra gången, eftersom jag inte minns när mitt hus byggdes. Så med data från Zillow och Spokeo är det inte ens 1 på 256, det är 1 på 4 första gången och 1 på 16 andra gången, och du behöver inte heller gissa dig blind med lite mer Google-sökning.”
Om någon av läsarna här tvivlar på hur lätt det är att köpa personuppgifter om nästan vem som helst, kolla in den artikel jag skrev i december 2014, där jag kunde hitta namn, adress, personnummer, socialförsäkringsnummer, tidigare adress och telefonnummer på alla nuvarande medlemmar i senatens handelskommitté. Denna information är inte längre hemlig (inte heller svaren på KBA-baserade frågor), och vi blir alla sårbara för identitetsstölder så länge institutionerna fortsätter att förlita sig på statisk information som autentiserare. Se min senaste artikel om Apple Pay för ytterligare en påminnelse om detta faktum.
Tyvärr är IRS inte den enda myndighet vars beroende av statiska identifierare faktiskt gör dem medskyldiga till att underlätta identitetsstölder mot amerikaner. Samma process som beskrivs för att få en skatteutskrift på irs.gov fungerar för att få en gratis kreditupplysning från annualcreditreport.com, en webbplats som kongressen har gett mandat för. Amerikaner som inte redan har skapat ett konto hos Social Security Administration under sitt personnummer är dessutom sårbara för att skurkar ska kunna kapa SSA-förmåner nu eller i framtiden. För mer information om hur skurkar stjäl socialförsäkringsförmåner via statliga webbplatser, se den här artikeln.
Kasper sa att han är tacksam för polisrapporten som han kunde få från myndigheterna i Pennsylvania eftersom den gör det möjligt för honom att frysa sin kreditfil utan att behöva betala den vanliga avgiften på 5 dollar i New York för att placera och tina upp en frysning.
Kreditfrysningar hindrar potentiella kreditgivare från att godkänna nya kreditlinjer i ditt namn – och till och med från att ens kunna se eller ”dra” din kreditfil – men en frysning hindrar inte nödvändigtvis bedragare från att lämna in falska skattedeklarationer i ditt namn.
Om inte bedragarna i fråga räknar med att få tag på dina skattedeklarationer via skattemyndighetens egen webbplats. Enligt IRS måste personer med en kreditfrysning häva frysningen (åtminstone hos Equifax) innan myndigheten kan fortsätta med KBA-frågorna som en del av verifieringsprocessen.
Uppdatering, 10:46 p.m., ET: Länken i det första stycket i den här artikeln som hänvisar läsare till att skapa ett konto hos IRS returnerar för närvarande meddelandet: ”Vi har för närvarande tekniska problem och kan inte behandla nya registreringar.”