IRS︰安全峰會提醒稅務專業人士保持警惕及做好規劃等提示

IRS — 安全峰會合作夥伴在特別系列的第三部分中，提醒稅務專業人士警惕不斷演變的網絡釣魚詐騙和旨在竊取敏感納稅人信息的雲端騙局。

國稅局（IRS）及其安全峰會合作夥伴（包括州稅務機構和全國稅務行業）繼續觀察到針對全國稅務專業人士社區的源源不斷的攻擊，目的是從客戶那裡竊取敏感的稅務和財務信息。

國稅局局丹尼·韋菲爾（Danny Werfel）表示︰「我們繼續看到詐騙者不斷試圖竊取敏感的稅務專業信息。身份竊賊和欺詐者持續尋找新的、層出不窮的方法來欺騙稅務專家。這些騙局複雜且不易被發現，稅務專業人士應保持警惕，以保護他們的客戶和企業。」

網絡釣魚、魚叉式網絡釣魚和捕鯨式網絡攻擊 

稅務專業人士面臨的最常見威脅之一是網絡釣魚和相關詐騙。這些旨在誘騙收件人洩露個人信息，例如密碼、銀行帳號、信用卡號碼或社會安全號碼。

稅務專業人士和納稅人應了解不同的網絡釣魚術語以及詐騙形式︰

• 網絡釣魚電子郵件/釣魚短信︰網絡釣魚電子郵件或短信（稱為「釣魚短信」）試圖誘騙收件人點擊可疑鏈接、填寫信息或下載惡意軟件文檔。通常，網絡釣魚攻擊會發送到企業或機構的多個電子郵件地址，以此增加了有人上當的機會。
• 魚叉式網絡釣魚︰這是一種特定類型的網絡釣魚詐騙，它不會向機構內的大型群體發送電子郵件，而是識別潛在受害者並發送看似更加真實的電子郵件（稱為「誘餌」）。此類型的詐騙可能比較難以識別，因為它們不會大量發送。他們挑選出個人，進行專門化處理，並讓電子郵件看起來更合法。這些人可能冒充稅務專業人士的潛在客戶，引誘稅務業者分享敏感信息。
• 捕鯨式網絡攻擊︰捕鯨式網絡攻擊與魚叉式網絡釣魚非常相似，不同之處在於這些攻擊通常針對有權訪問機構或企業大量信息的領導者或其他高管。捕鯨式網絡攻擊還可能針對薪資辦公室、人力資源個人和財務辦公室的人員。

安全峰會合作夥伴持續觀察到稅務專業人士特別容易受到冒充潛在客戶的電子郵件的影響。犯罪分子利用這種伎倆來誘騙稅務業者打開電子郵件鏈接或附件，繼而導致電腦系統被感染，客戶信息可能被盜竊。在捕鯨式網絡攻擊的情況中可以看到類似騙局，詐騙者試圖通過看似合法的電子郵件來攫取大量信息。

韋菲爾說︰「所有這些騙局複雜而具有欺騙性，讓稅務專家和其他許多人措手不及。詐騙者可能詭計多端且花樣繁多。我們敦促稅務界、納稅人及任何掌握敏感財務信息的人要保持警惕。」

詐騙的警示信號

無論網絡釣魚攻擊的類型如何，稅務專業人士都可以通過了解這些詐騙並尋找以下警示信號來保護自己或其機構︰

• 無預期的電子郵件或短信，聲稱來自已知或可信來源，例如同事、銀行、信用卡公司、雲儲存供應商、報稅軟件供應商，甚至是國稅局和其它政府機構。
• 虛假敘述通常帶有緊急語氣，敦促接收者打開鏈接或附件。
• 電子郵件地址、號碼或鏈接拼寫錯誤或具有不同的域名或URL (irs.com vs. IRS.gov) 。

雲端騙局危害不小

使用雲端系統來存儲信息或運行報稅軟件的稅務專業人士，應使用多重身份驗證來幫助保護數據。

具體來說，安全峰會持續觀察到攻擊會利用雲端系統並危及個人信息。多重身份驗證選項為使用電話、短信或令牌來訪問系統提供了額外一層的安全保護。由於身份竊賊更容易訪問電子郵件，因此擁有多層安全保護有助於防範潛在的漏洞。

稅務專業人士應了解身份盜竊的危險訊號

作為安全峰會特別系列第四部分，IRS和安全峰會合作夥伴敦促稅務專業人士了解數據盜竊的跡象，以便他們能夠迅速反應來保護客戶。

稅務專業人士擁有身份竊賊迫切想要得到的寶貝 — 客戶稅務信息。國稅局和安全峰會合作夥伴採取了更強有力的欺詐防禦措施後，身份竊賊需要這些關鍵信息來幫助其完成犯罪。

韋菲爾表示︰「對於稅務專業人士來說，保護他們的系統免遭身份竊賊的侵害非常重要，因為身份竊賊總是在尋找新方法來竊取數據。稅務從業人員可以通過一些實用的方法來掌握數據和身份盜竊的最新趨勢和跡象。」

國稅局、州稅務機構和全國稅務行業以安全峰會的形式通力合作，以此來提醒稅務專業人士，當遭遇身份盜竊問題時，他們應立即聯繫國稅局，同時聯繫保險或網絡安全專家，協助他們確定原因和損失程度。

成為受害者的稅務專業人士經常向國稅局表達他們的擔憂，因為他們並沒有立即發現數據盜竊的跡象。以下則是可以提供幫助的一些事項。

稅務專業人士︰了解警示信號

稅務專業人士應留意來自其客戶的以下重要警示信號︰

• 客戶收到通知稱有一個國稅局在線賬戶在其未經其同意的情況下而創建，或者︰
  • 有人在他們不知情的情況下訪問了他們的國稅局在線帳戶。
  • 國稅局禁用了他們的在線帳戶。
• 客戶收到了他們未申請的稅務謄本。
• 收到來自國稅局的餘額到期或其它通知，與提交的稅表上的信息不符。
• 客戶回復了並非來自稅務專家的電話或電子郵件。
• 客戶沒有報稅卻獲得退稅。

如果稅務專業人士的業務遇到以下情況，就應留意危險訊號︰

• 緩慢的或無預期的電腦或網絡反應，例如︰
  • 軟件或操作的處理時間比平時更長。
  • 電腦光標在沒有觸碰鼠標或鍵盤的情況下移動或更改數字。
  • 無預期地被網絡或電腦鎖定。
• 客戶稅表被拒，因為他們的社會安全號碼已在另一份稅表中被使用。
• 雖然尚未提交稅表，卻收到國稅局身份驗證信函（5071C、6331C、4883C、5747C）。
• 稅務專業人士收到的電子稅表收據確認比實際提交的稅表要多。

雖然這些只是幾個例子，但稅務專業人士應確保他們擁有盡可能最高的安全防護，並準備好快速反應以保護自己和客戶。為了幫助稅務專業人士，峰會合作夥伴創建了書面信息安全計劃，也稱為WISP，這是一份由稅務和業界專家所開發並為這一群體所服務的28頁通俗易懂的文件，旨在確保客戶和企業信息的安全。

立即報告

如果稅務專業人士或其公司成為數據盜竊的受害者，他們應該︰

• 報告給當地的國稅局公共事務聯絡處。速度至關重要。國稅局公共事務聯絡處將確保所有相關的國稅局部門收到警報。如果報告迅速，國稅局可以採取措施來阻攔以客戶名義提交的欺詐性稅表，並在整個過程中協助稅務專業人士。
• 向稅務管理人員聯合會發送電子郵件︰StateAlert@taxadmin.org。他們將提供向州稅務機構報告的指導。大多數州要求將數據洩露情況通知州檢察長。
• 稅務專業人士應積極主動地幫助可能受到影響的客戶，並建議採取適當的行動，例如獲取IP PIN或填寫 《表格14039，身份盜竊宣誓書》（如果適用的話）。

做好規劃、保護數據、防範身份盜用

國稅局和安全峰會合作夥伴為特別意識系列活動收尾，敦促稅務專業人士保持強有力的安全措施，並採取重要步驟來保護自己及其納稅人客戶免遭身份盜竊。

稅務相關身份盜竊詐騙繼續以稅務專業人士為目標，為獲取敏感納稅人信息而定期炮製一系列的詐騙和騙局。這些騙局不斷進化來誘騙受害者，威脅稅務專業人士及其服務的客戶。

韋菲爾表示︰「稅務專業人士是稅務領域抵禦身份竊賊和網絡攻擊的核心部分。無論稅務業者的規模大小，確保其強有力的安全性不僅保護了企業，還有助於個人納稅人以及州、聯邦稅務機構防範欺詐。國稅局和安全峰會合作夥伴繼續敦促稅務專業人士採取重要措施來保護自己及其客戶免遭身份竊賊的侵害。」

安全峰會是2015年創建的公私合作夥伴關係，致力於保護稅務系統免遭稅務相關的身份盜竊和欺詐。該合作夥伴關係成功加強了稅務系統內部對於欺詐的防禦能力，從而防範了身份盜竊，具體措施包括共享有關新興欺詐和網絡騙局的信息。

這些防範措施的一個關鍵部分涉及稅務專業人士和納稅公眾的意識。本新聞稿系列提供了重要信息，有助於保護稅務專業人士持有的敏感納稅人數據，同時保護他們的業務免遭身份竊賊的侵害。這是安全峰會合作夥伴通過「保護您的客戶；保護您自己」活動以及國稅局全國稅務論壇的特別研討會（本月晚些時候將在聖地亞哥和奧蘭多繼續舉行），針對這些問題來努力提高人們意識的第八個年頭。

安全峰會合作夥伴還繼續提醒稅務專業人士制定書面信息安全計劃WISP的重要性。這份28頁、易於理解的文件由稅務和行業專業人士開發，同時也將服務於稅務和行業專業人士，旨在確保客戶和企業信息的安全。這份特別的模板旨在幫助稅務專業人士（尤其是小型業務）簡化數據安全規劃。今年夏天的稅務論壇會議上，以書面信息安全計劃為主題的特別會議座無虛席，在華盛頓特區舉行的會議有超過300人參加。

稅務專業人士、納稅人降低身份盜竊風險的重要提示︰

• 請謹慎對待電子郵件附件和網頁鏈接。不要打開無預期收到的鏈接或附件。許多騙子會仿冒合法企業、納稅人客戶和政府機構（包括國稅局）。如果對您對收到的內容有疑問，請在打開之前單獨聯繫發件人來確認收件以及任何無預期鏈接或附件的真實性。
• 不要將敏感的商業信息發送到個人電子郵件設備。切勿在個人電腦或設備上開展業務，包括網上商業銀行業務。同樣地，切勿用商用電腦或設備上網衝浪、玩遊戲或下載視頻。所有這些都會增加安全風險。
• 切勿在個人和企業電腦或設備之間共享USB 驅動器或外部硬盤驅動器。切勿將未知/不可信賴的硬件連接到稅務專業人士的系統或網絡。也不要插入任何未知的 CD/DVD 或 USB 驅動器。禁用商用電腦上USB端口和光驅的「自動運行」功能，以幫助防止安裝惡意程序。
• 謹慎下載。不要從未知網頁下載軟件。請務必謹慎使用免費軟件或共享軟件。
• 使用加強密碼。切勿將用戶名或密碼透露給他人。加強密碼由隨機字母序列組成，其中包括大小寫數字和特殊字符。理想情況下，密碼長度應至少為 8 個字符。針對具有敏感信息的系統或應用程序，請使用多種形式的身份驗證（多因素或雙因素身份驗證）。
• 更改默認密碼。許多設備都帶有默認管理密碼。立即更改並定期更換。默認密碼很容易被黑客找到或發現。
• 經常更改密碼。建議每三個月一次。考慮使用密碼管理應用程序來存儲密碼。包含企業信息的設備和應用程序的密碼不應重複使用。

此外，由於許多人繼續全職或兼職在家辦公，國稅局和安全峰會合作夥伴還敦促︰

• 使用虛擬專用網絡（VPN）安全地開展業務，這一步驟可以減少數據丟失的威脅。
• 謹慎對待在線業務/商業和銀行。只有在使用安全瀏覽器連接時才可進行此操作，切勿在咖啡店、餐廳或其它提供「免費」Wi-Fi 的商家來執行此操作。
• 個人與企業的電腦、移動設備和電子郵件帳戶使用單獨的密碼。如果與其他家庭成員（尤其是可能不了解安全規則的兒童）共享硬件，那麼這一點則尤其重要。

Photo by Markus Winkler on unsplash