IRS — 安全峰会合作伙伴在特别系列的第三部分中,提醒税务专业人士警惕不断演变的网络钓鱼诈骗和旨在窃取敏感纳税人信息的云端骗局。
国税局(IRS)及其安全峰会合作伙伴(包括州税务机构和全国税务行业)继续观察到针对全国税务专业人士社区的源源不断的攻击,目的是从客户那里窃取敏感的税务和财务信息。
国税局局丹尼·韦菲尔(Danny Werfel)表示︰「我们继续看到诈骗者不断试图窃取敏感的税务专业信息。身份窃贼和欺诈者持续寻找新的、层出不穷的方法来欺骗税务专家。这些骗局复杂且不易被发现,税务专业人士应保持警惕,以保护他们的客户和企业。」
网络钓鱼、鱼叉式网络钓鱼和捕鲸式网络攻击
税务专业人士面临的最常见威胁之一是网络钓鱼和相关诈骗。这些旨在诱骗收件人泄露个人信息,例如密码、银行帐号、信用卡号码或社会安全号码。
税务专业人士和纳税人应了解不同的网络钓鱼术语以及诈骗形式︰
- 网络钓鱼电子邮件/钓鱼短信︰网络钓鱼电子邮件或短信(称为「钓鱼短信」)试图诱骗收件人点击可疑链接、填写信息或下载恶意软件文档。通常,网络钓鱼攻击会发送到企业或机构的多个电子邮件地址,以此增加了有人上当的机会。
- 鱼叉式网络钓鱼︰这是一种特定类型的网络钓鱼诈骗,它不会向机构内的大型群体发送电子邮件,而是识别潜在受害者并发送看似更加真实的电子邮件(称为「诱饵」)。此类型的诈骗可能比较难以识别,因为它们不会大量发送。他们挑选出个人,进行专门化处理,并让电子邮件看起来更合法。这些人可能冒充税务专业人士的潜在客户,引诱税务业者分享敏感信息。
- 捕鲸式网络攻击︰捕鲸式网络攻击与鱼叉式网络钓鱼非常相似,不同之处在于这些攻击通常针对有权访问机构或企业大量信息的领导者或其他高管。捕鲸式网络攻击还可能针对薪资办公室、人力资源个人和财务办公室的人员。
安全峰会合作伙伴持续观察到税务专业人士特别容易受到冒充潜在客户的电子邮件的影响。犯罪分子利用这种伎俩来诱骗税务业者打开电子邮件链接或附件,继而导致电脑系统被感染,客户信息可能被盗窃。在捕鲸式网络攻击的情况中可以看到类似骗局,诈骗者试图通过看似合法的电子邮件来攫取大量信息。
韦菲尔说︰「所有这些骗局复杂而具有欺骗性,让税务专家和其他许多人措手不及。诈骗者可能诡计多端且花样繁多。我们敦促税务界、纳税人及任何掌握敏感财务信息的人要保持警惕。」
诈骗的警示信号
无论网络钓鱼攻击的类型如何,税务专业人士都可以通过了解这些诈骗并寻找以下警示信号来保护自己或其机构︰
- 无预期的电子邮件或短信,声称来自已知或可信来源,例如同事、银行、信用卡公司、云储存供应商、报税软件供应商,甚至是国税局和其它政府机构。
- 虚假叙述通常带有紧急语气,敦促接收者打开链接或附件。
- 电子邮件地址、号码或链接拼写错误或具有不同的域名或URL (irs.com vs. IRS.gov) 。
云端骗局危害不小
使用云端系统来存储信息或运行报税软件的税务专业人士,应使用多重身份验证来帮助保护数据。
具体来说,安全峰会持续观察到攻击会利用云端系统并危及个人信息。多重身份验证选项为使用电话、短信或令牌来访问系统提供了额外一层的安全保护。由于身份窃贼更容易访问电子邮件,因此拥有多层安全保护有助于防范潜在的漏洞。
税务专业人士应了解身份盗窃的危险讯号
作为安全峰会特别系列第四部分,IRS和安全峰会合作伙伴敦促税务专业人士了解数据盗窃的迹象,以便他们能够迅速反应来保护客户。
税务专业人士拥有身份窃贼迫切想要得到的宝贝 — 客户税务信息。国税局和安全峰会合作伙伴采取了更强有力的欺诈防御措施后,身份窃贼需要这些关键信息来帮助其完成犯罪。
韦菲尔表示︰「对于税务专业人士来说,保护他们的系统免遭身份窃贼的侵害非常重要,因为身份窃贼总是在寻找新方法来窃取数据。税务从业人员可以通过一些实用的方法来掌握数据和身份盗窃的最新趋势和迹象。」
国税局、州税务机构和全国税务行业以安全峰会的形式通力合作,以此来提醒税务专业人士,当遭遇身份盗窃问题时,他们应立即联系国税局,同时联系保险或网络安全专家,协助他们确定原因和损失程度。
成为受害者的税务专业人士经常向国税局表达他们的担忧,因为他们并没有立即发现数据盗窃的迹象。以下则是可以提供帮助的一些事项。
税务专业人士︰了解警示信号
税务专业人士应留意来自其客户的以下重要警示信号︰
- 客户收到通知称有一个国税局在线账户在其未经其同意的情况下而创建,或者︰
- 有人在他们不知情的情况下访问了他们的国税局在线帐户。
- 国税局禁用了他们的在线帐户。
- 客户收到了他们未申请的税务誊本。
- 收到来自国税局的余额到期或其它通知,与提交的税表上的信息不符。
- 客户回复了并非来自税务专家的电话或电子邮件。
- 客户没有报税却获得退税。
如果税务专业人士的业务遇到以下情况,就应留意危险讯号︰
- 缓慢的或无预期的电脑或网络反应,例如︰
- 软件或操作的处理时间比平时更长。
- 电脑光标在没有触碰鼠标或键盘的情况下移动或更改数字。
- 无预期地被网络或电脑锁定。
- 客户税表被拒,因为他们的社会安全号码已在另一份税表中被使用。
- 虽然尚未提交税表,却收到国税局身份验证信函(5071C、6331C、4883C、5747C)。
- 税务专业人士收到的电子税表收据确认比实际提交的税表要多。
虽然这些只是几个例子,但税务专业人士应确保他们拥有尽可能最高的安全防护,并准备好快速反应以保护自己和客户。为了帮助税务专业人士,峰会合作伙伴创建了书面信息安全计划,也称为WISP,这是一份由税务和业界专家所开发并为这一群体所服务的28页通俗易懂的文件,旨在确保客户和企业信息的安全。
立即报告
如果税务专业人士或其公司成为数据盗窃的受害者,他们应该︰
- 报告给当地的国税局公共事务联络处。速度至关重要。国税局公共事务联络处将确保所有相关的国税局部门收到警报。如果报告迅速,国税局可以采取措施来阻拦以客户名义提交的欺诈性税表,并在整个过程中协助税务专业人士。
- 向税务管理人员联合会发送电子邮件︰StateAlert@taxadmin.org。他们将提供向州税务机构报告的指导。大多数州要求将数据泄露情况通知州检察长。
- 税务专业人士应积极主动地帮助可能受到影响的客户,并建议采取适当的行动,例如获取IP PIN或填写 《表格14039,身份盗窃宣誓书》(如果适用的话)。
做好规划、保护数据、防范身份盗用
国税局和安全峰会合作伙伴为特别意识系列活动收尾,敦促税务专业人士保持强有力的安全措施,并采取重要步骤来保护自己及其纳税人客户免遭身份盗窃。
税务相关身份盗窃诈骗继续以税务专业人士为目标,为获取敏感纳税人信息而定期炮制一系列的诈骗和骗局。这些骗局不断进化来诱骗受害者,威胁税务专业人士及其服务的客户。
韦菲尔表示︰「税务专业人士是税务领域抵御身份窃贼和网络攻击的核心部分。无论税务业者的规模大小,确保其强有力的安全性不仅保护了企业,还有助于个人纳税人以及州、联邦税务机构防范欺诈。国税局和安全峰会合作伙伴继续敦促税务专业人士采取重要措施来保护自己及其客户免遭身份窃贼的侵害。」
安全峰会是2015年创建的公私合作伙伴关系,致力于保护税务系统免遭税务相关的身份盗窃和欺诈。该合作伙伴关系成功加强了税务系统内部对于欺诈的防御能力,从而防范了身份盗窃,具体措施包括共享有关新兴欺诈和网络骗局的信息。
这些防范措施的一个关键部分涉及税务专业人士和纳税公众的意识。本新闻稿系列提供了重要信息,有助于保护税务专业人士持有的敏感纳税人数据,同时保护他们的业务免遭身份窃贼的侵害。这是安全峰会合作伙伴通过「保护您的客户;保护您自己」活动以及国税局全国税务论坛的特别研讨会(本月晚些时候将在圣地亚哥和奥兰多继续举行),针对这些问题来努力提高人们意识的第八个年头。
安全峰会合作伙伴还继续提醒税务专业人士制定书面信息安全计划WISP的重要性。这份28页、易于理解的文件由税务和行业专业人士开发,同时也将服务于税务和行业专业人士,旨在确保客户和企业信息的安全。这份特别的模板旨在帮助税务专业人士(尤其是小型业务)简化数据安全规划。今年夏天的税务论坛会议上,以书面信息安全计划为主题的特别会议座无虚席,在华盛顿特区举行的会议有超过300人参加。
税务专业人士、纳税人降低身份盗窃风险的重要提示︰
- 请谨慎对待电子邮件附件和网页链接。不要打开无预期收到的链接或附件。许多骗子会仿冒合法企业、纳税人客户和政府机构(包括国税局)。如果对您对收到的内容有疑问,请在打开之前单独联系发件人来确认收件以及任何无预期链接或附件的真实性。
- 不要将敏感的商业信息发送到个人电子邮件设备。切勿在个人电脑或设备上开展业务,包括网上商业银行业务。同样地,切勿用商用电脑或设备上网冲浪、玩游戏或下载视频。所有这些都会增加安全风险。
- 切勿在个人和企业电脑或设备之间共享USB 驱动器或外部硬盘驱动器。切勿将未知/不可信赖的硬件连接到税务专业人士的系统或网络。也不要插入任何未知的 CD/DVD 或 USB 驱动器。禁用商用电脑上USB端口和光驱的「自动运行」功能,以帮助防止安装恶意程序。
- 谨慎下载。不要从未知网页下载软件。请务必谨慎使用免费软件或共享软件。
- 使用加强密码。切勿将用户名或密码透露给他人。加强密码由随机字母序列组成,其中包括大小写数字和特殊字符。理想情况下,密码长度应至少为 8 个字符。针对具有敏感信息的系统或应用程序,请使用多种形式的身份验证(多因素或双因素身份验证)。
- 更改默认密码。许多设备都带有默认管理密码。立即更改并定期更换。默认密码很容易被黑客找到或发现。
- 经常更改密码。建议每三个月一次。考虑使用密码管理应用程序来存储密码。包含企业信息的设备和应用程序的密码不应重复使用。
此外,由于许多人继续全职或兼职在家办公,国税局和安全峰会合作伙伴还敦促︰
- 使用虚拟专用网络(VPN)安全地开展业务,这一步骤可以减少数据丢失的威胁。
- 谨慎对待在线业务/商业和银行。只有在使用安全浏览器连接时才可进行此操作,切勿在咖啡店、餐厅或其它提供「免费」Wi-Fi 的商家来执行此操作。
- 个人与企业的电脑、移动设备和电子邮件帐户使用单独的密码。如果与其他家庭成员(尤其是可能不了解安全规则的儿童)共享硬件,那么这一点则尤其重要。
Photo by Markus Winkler on unsplash