|
国税局在本日持续发布其制作的「肮脏 12 条骗术」诈骗系列,警告纳税人注意电子邮件、简讯或社交媒体讯息和电话等形式未经预期的骗局。
不择手段的个别人士基于与税务相关的身份窃取目的而寻求获取个人资讯。不论是透过电话、简讯还是电子邮件,这些诈骗者都在尝试让收件人相信他们需要提供社会安全号码、银行帐户或信用卡资讯或密码。骗局还可能包括发送连结,一旦按下这些连结,就能下载会收集或「挖掘」个人资料的恶意软体。
罪犯通常会伪装成收件人不论是在社交或家庭关系或是业务联络上认识或经常互动的人士。他们从社交媒体上收集了大多数的资讯。一个人的联络人或「朋友」会被用来诱使收件人认为他们正在与他们认识的人往来。
关于国税局的「肮脏 12 条骗术」清单的更多资讯均能在 IRS.gov 的特殊专区中找到。
与税务相关的网络钓鱼诈骗持续存在
国税局警告纳税人、企业和税务专业人士要警惕不断涌现的虚假电子邮件、简讯、网站和社交媒体试图窃取个人资讯的行为。这些攻击在报税季往往会增加,并且仍然是全年中身份窃取的主要原因。
钓鱼诈骗利用看似来自合法来源的通讯来针对个别人士,他们会透过说服目标下载恶意软体来收集被害人的个人及财务资料并可能感染他们的装置。网络罪犯通常是透过电子邮件发送这些网络钓鱼通讯,但也可能使用简讯或社交媒体贴文或讯息。
这些网络钓鱼诈骗可能很棘手,而且经过巧妙伪装,看起来就像是来自国税局或来自税务界的其他人士。提醒纳税人持续提防冒充国税局的电子邮件和其他骗局,例如那些承诺大额退税、错过刺激补助金,或甚至提出威胁的骗局。纳税人不应开启附件或按下这些电子邮件或简讯中的连结。
针对税务专业人士的网络钓鱼诈骗
作为安全峰会努力的一部份,国税局警告税务专业人士注意涉及验证电子申报识别号码 (EFIN)和集中授权申报(EFIN)号码的网络钓鱼诈骗。国税局留意到此类诈骗案件数量增加,并提供买卖电子申报识别号码和集中授权申报的要约。
税务专业人士通报从虚假的「国税局税务电子申报」收到诈骗电子邮件,并且国税局提醒收到这些电子邮件的税务专业人士不要打开任何附件或按下任何连结。相反地,他们应该项财政部税务总监通报骗局。
国税局提醒税务专业人士保护自己免受未经授权使用电子申报识别号码的影响。税务专业人士不得透过出售、合并、贷款、赠与或其他方式将其电子申报识别号码或电子纳税人识别号码转让给其他实体。
网络钓鱼 —— 瞄准税务专业人士的新客户骗局
「新客户」骗局对税务专业人士仍然是普遍存在的网络钓鱼形式。以下是电子邮件形式的范例:「我刚从密西根搬来这里。我有一个紧急的税务问题,希望您能帮忙。」电子邮件的开头是这么写的。「希望您还在收新客户。」
电子邮件中描述其中一个附件是国税局通知,另一个附件是潜在客户去年的纳税申报表。这种骗局有多种变体,因此税务专业人士应保持警惕,避免在不知道电子邮件发件人的情况下开启附件或按下连结。
知道要留意什么能有所帮助。下列是最近另一封新客户诈骗电子邮件的实际范例:
冒名者来电/电话钓鱼
个别人士应警惕要求提供个人财务资讯的意外电话。国税局发现与语音相关的钓鱼或称之为「电话钓鱼」的事件有所增加,尤其是与联邦税收留置权相关的诈骗。对于接到不预期的来电的人士,安全专家的建议是向来电者提问,但不要提供任何个人资讯。如有疑问,请立即挂断。
2020 年间通报了将近 400 通电话钓鱼诈骗,比起去年增加了 14%。在这些电话钓鱼诈骗中,有 25% 是诈骗者试图使用虚假的税务留置权资讯。与税务留置权相关的骗局数量从 2019 年的 58 起增加到 2020 年的 104 起,增长了 79%。国税局鼓励纳税人不要透过电话或线上与潜在的骗子联络。
虽然国税局和联邦贸易委员会都发现,通报自称来自国税局的诈骗者打电话给潜在受害者的案件数量有所下降,但该国税局仍鼓励纳税人保持警惕。(国税局发现通报自称来自国税局的来电者的电话数量减少了 43%:2020 年为 20,500 件,而 2019 年为 36,000 件。联邦贸易委员会发现通报的数量从 2019 年的 7,694 件下降到 2020 年的 2,571 份,下降了 67%。)
虽然数字可能正会下降,但国税局仍鼓励纳税人保持警惕并记住以下关于国税局的事项:
•关于未缴税款,国税局通常会先透过邮件联络人们,而不是透过电话。
•国税局可能会尝试透过电话联络个别人士,但不会坚持使用 iTunes 卡、礼品卡、预付金融卡、汇票或电汇付款。
•国税局绝不会透过电子邮件、简讯或社交媒体索取个人或财务资讯。
•这些电话的接收者应该在提供任何资讯之前挂断电话。如果有人意外接到他们认为是诈骗的国税局电话,他们可以将事件通报给财政部税务总监(TIGTA)。
社交媒体诈骗持续发生
纳税人应该留意社交媒体诈骗,这些诈骗经常使用新冠肺炎等事件来欺骗人们。社交媒体让不道德的个人能够潜伏在帐户中并撷取个人资讯以用于对付受害者。这些诈骗者可能会冒充受害者的家人、朋友或同事来发送电子邮件。
社交媒体诈骗也导致了与税务相关的身份窃取。社交媒体诈骗的基本要素是透过电子邮件、简讯或社交媒体消息让潜在受害者相信他或她正在与他们信任的亲近的人往来。
透过使用个人资讯,诈骗者可能会向潜在受害者发送电子邮件,并内含收件人感兴趣的内容的连结,但实际上包含了能犯更多罪的恶意软体。诈骗者还会渗透到受害者的电子邮件和手机中,用看似真实的虚假电子邮件和简讯来设法伤害他们的朋友和家人,例如,吸引受害者的虚假慈善机构募捐小额捐款。
个别人士应该知道,他们在社交媒体平台上公开分享的任何资讯都可以被收集并用于对付他们。规避这些骗局的一种方法是查看隐私设定并限制公开分享的资料。
勒索软体逐渐增加
金融机构应了解勒索软体的趋势和指标,勒索软体是一种设计用来阻止存取电脑系统或资料的恶意软体(「恶意软体」)。资讯科技(IT)系统上的资料或程式通常会被加密以阻挡存取,以向受害者勒索赎金换取资讯的解密并恢复受害者对其系统或资料的存取。在部份情况下,除了攻击之外,攻击者还会威胁要发布受害者的敏感档案,受害者可以是个人或企业实体。
美国财政部金融犯罪执法局(FINCEN)指出,勒索软体对各个产业的攻击继续上升,特别是在政府实体以及金融、教育和医疗机构之间。勒索软体对小城市和医疗组织的攻击次数有所上升,这可能是由于受害者的网络安全控制较弱造成的,例如系统备份不足和事件反应能力低下。
策略
使用勒索软体的网络罪犯通常会采用大规模网络钓鱼和有针对性的鱼叉式网络钓鱼活动等常见的策略,诱使受害者下载恶意档案或前往恶意网站。他们还可能利用远端桌面协议端点和软体漏洞,或在合法网站上托管恶意编码实施「路过式」恶意攻击。透过有效的网路卫生习惯、网路安全控制,以及其他最佳作法来主动避免通常是防御勒索软体的最佳方法。
勒索软体攻击者选择瞄准大型企业以要求更高的赎金有着上升的趋势 —— 这通常被称为「狙击特大奖赏」。 许多网络罪犯正在分享资源以提高勒索软体攻击的有效性,例如带有现成恶意编码和工具的勒索软体漏洞利用工具包。这些工具包是可以购买的,但也是有的是免费提供的。
部分勒索软体组织也在建立合作伙伴关系,透过共享平台分享建议、编码、趋势、技术和非法获取的资讯。
勒索软体罪犯参与「双重勒索计划」的比例也在逐步增加,包括从目标网络中删除敏感资料、为系统的档案加密并索要赎金。
勒索软体攻击的后果可能是严重而深远的,会导致敏感、专有和关键资讯的遗失以及业务功能的丢失。金融中介机构在促成向勒索软体付款以及勒索软体攻击方面的作用越来越受到金融产业的关注,因为金融机构在收取赎金方面扮演着重要角色。
国税局提醒纳税人和税务专业人士及时了解有关欺诈行为的新闻。立即通报任何欺诈事件。
|
