美國國稅局、州稅務機構和國家稅務行業今天提醒稅務專業人士,他們面臨著來自網絡犯罪分子的額外安全風險,網絡犯罪分子會利用新冠疫情和網絡釣魚詐騙來竊取敏感的客戶信息。
安全峰會合作夥敦促稅務專業人士關注安全問題,並確保他們採取重要步驟來保護他們的信息,包括使用多因素身份驗證和使用虛擬專用網絡來防止數據丟失。安全峰會合作夥伴提醒各級別的稅務專業人士,他們需要製定安全計劃。
這個提示國家稅收安全意識週的一部分。該宣傳周現已進入第六個年頭,旨在提高納稅人、企業和稅務專業人士對身份盜用和數據安全措施的認識。隨著 2022 年納稅申報季的臨近,這項工作現在尤為重要,因為身份竊賊試圖竊取敏感數據以提交欺詐性稅表。
“我們最近一直看到針對稅務專業人士及其持有的敏感信息的詐騙和安全風險。”美國國稅局局長Chuck Rettig 表示, “身份竊賊不斷改進手法,並利用新冠疫情和其它手段來針對稅務專家並獲取他們的數據。我們敦促帶報稅人甄別這種不斷變化的威脅。稅務專業人士需要採取重要的安全措施,這樣有助於避免對他們及其客戶造成毀滅性破壞的安全漏洞。”
隨著國稅局和安全峰會合作夥伴採取重要措施加強對網絡犯罪的防禦,身份竊賊越來越多地轉而針對稅務專業人士,以他們的辦公室和系統為目標。竊賊們盜竊稅務專業人員的數據,並用此提交欺詐性稅表。
峰會合作夥伴提醒稅務專業人士核查他們的安全措施。國稅局出版物 4557《保護納稅人數據》(英文),作為一個起步指南,為稅務專業人士提供了保護客戶的基本步驟。
安全峰會還創建了“稅收-安全-協同”清單,以幫助稅務專業人士確定他們應該採取的基本步驟。由於新冠疫情,越來越多的報稅員在家或偏遠地區工作,這些措施對於保護稅務數據變得更加重要。
基本保護 —“安全六步走”措施
這些簡單的步驟可以對稅務專業人士和納稅人產生很大的影響:
•為所有數碼產品、電腦和手機使用防病毒軟件並將其設置為自動更新以確保系統安全。
•使用防火牆。防火牆有助於保護計算機免受外部攻擊,但無法在用戶意外下載惡意軟件(例如,防止網絡釣魚電子郵件詐騙)的情況下保護系統。
•使用多重身份驗證來保護所有在線帳戶,尤其是稅務產品、雲軟件提供商、電子郵件提供商和社交媒體。
•備份敏感文件,尤其是客戶端數據,以保護外部資源,例如外部硬盤驅動器或云存儲。
•加密數據。稅務專業人士應考慮使用驅動器加密產品進行全驅動加密。這將加密所有數據。
•使用虛擬專用網絡 (VPN) 產品。隨著越來越多的從業者在新冠疫情期間遠程工作,VPN 對安全連接至關重要。
使用多重身份驗證保護稅務賬戶
2021 年,面向稅務專業人士的所有在線報稅產品都包含使用多因素身份驗證的選項。安全峰會敦促所有稅務專業人士在 2022 年申報季節臨近時使用此選項。
從業者可以將通過 Google Play 或 Apple Store 提供的現有的認證應用程序下載到他們的手機上。這些應用程序將生成一個安全代碼。代碼也可能發送到準備者的電子郵件或文本中,但國稅局指出,這些不如身份驗證應用程序安全。在搜索引擎中搜索“身份驗證應用程序”以了解更多信息。
使用虛擬專用網絡保護遠程站點
VPN 提供安全、加密的隧道,以通過互聯網和公司網絡在遠程用戶之間傳輸數據。隨著新冠疫情期間遠程辦公或在家工作,VPN 對保護和保護互聯網連接至關重要。
不使用 VPN 會增加網絡竊賊遠程接管的風險,犯罪分子只需訪問員工的遠程互聯網即可訪問稅務專業人員的整個辦公網絡。
稅務專業人士應盡可能尋找網絡安全專家。從業者還可以搜索“最佳 VPN”以找到合法供應商,或者主要技術站點通常會提供頂級服務列表。請記住,切勿點擊宣傳安全產品的“彈出”廣告。這些一般都是騙局。
避免網絡釣魚詐騙,有些試圖騙取電子報稅識別號碼 (EFIN)
釣魚郵件一般都有緊急信息,比如“您的賬戶密碼已過期”。它們將用戶引導到看起來很正式的鏈接或附件。但該鏈接可能會將用戶帶到一個偽裝成可信來源的虛假網站,並要求用戶提供用戶名和密碼。或者,附件可能包含惡意軟件,該惡意軟件會秘密下載跟踪擊鍵的軟件,並允許竊賊最終竊取所有稅務專家的密碼。
請記住,詐騙電子郵件可以通過獲得電子報稅識別號碼 (EFIN)信息來針對稅務專業人士。示例,一封釣魚郵件說它來自“國稅局電子報稅”,並帶有“在電子報稅之前驗證您的 EFIN”的主題行。
美國國稅局警告稅務專業人士不要理睬這些類型的電子郵件中要求完成的任何步驟,尤其不要回復電子郵件。虛假電子郵件的正文指出:
為了幫助保護您和您的客戶免受未經授權/欺詐活動的影響,美國國稅局要求您在通過我們的系統傳輸稅表之前驗證所有授權的電子報稅創建者。這意味著在您電子報稅之前,我們需要驗證您的電子報稅識別號碼 (EFIN)和駕照。
請您準備好EFIN 註冊通過確認函(日期為過去 12 個月內的 5880C 信函)的PDF 副本或圖像,或國稅局 EFIN 申請摘要的副本,申請摘要可以在 IRS.gov 的電子服務帳戶中找到,以及駕駛執照正反面副本,通過電子郵件發送以完成驗證過程。電子郵件:(假電子郵件地址)
如果您的 EFIN 未通過我們的系統驗證,您的電子報稅權限將被禁用,直到您向國稅局提供您的憑證文件,證明您具備跟國稅局電子報稅的資質。
© 2021 電子報稅。版權所有。商標
2800 E. Commerce Center Place, Tucson, AZ 85706
收到騙局的稅務專業人士應將電子郵件保存為文件,然後將其作為附件發送至phishing@irs.gov。他們還應該通過www.tigta.gov通知財政部稅務管理監察長(TIGTA)報告冒充國稅局的騙局。這樣TIGTA 和國稅局刑事調查部門才都會知會這個騙局。
上述案例中的騙局與所有網絡釣魚電子郵件詐騙一樣,試圖誘使接收者採取行動(打開鏈接或附件),如果不行動將導致某種後果(比如禁用帳戶)。鏈接或附件可能被設置為竊取信息或將惡意軟件下載到稅務專業人員的電腦上。
在這種情況下,稅務編制者被要求通過電子郵件發送文件,向竊賊披露他們的身份和 EFIN。竊賊可以利用這些信息冒充稅務專業人士來提交欺詐性申報表。
稅務專業人士還應了解其它常見的網絡釣魚詐騙,這些詐騙會尋求 EFIN、報稅員稅務識別號 (PTIN) 或電子代報稅用戶名和密碼。
有的竊賊也冒充潛在客戶,成為目前特別有效的騙局,因為在新冠疫情期間有非常多的遠程交易。竊賊可能會反復與稅務專業人員互動,然後發送一封帶有附件的電子郵件,聲稱包含他們的稅務信息。
附件可能包含惡意軟件,允許竊賊跟踪擊鍵並最終竊取所有密碼或接管計算機系統的控制權。
一些網絡釣魚詐騙是勒索軟件計劃,其中竊賊控制稅務專業人員的計算機系統並綁架數據,直到支付贖金為止。聯邦調查局 (FBI) 警告不要支付贖金,因為竊賊會將數據加密。
建立安全計劃和數據盜竊計劃
國稅局和安全峰會合作夥伴提醒稅務專業人士,聯邦法律要求他們制定書面信息安全計劃。除了所需的信息安全計劃外,稅務專業人士還應考慮制定應急響應計劃,以防他們遇到數據洩露和數據被盜的情況。這一節省時間的步驟應包括國稅局公共事務聯絡處的聯繫信息,他們是向國稅局和各州報告數據盜竊的第一聯繫人。
國稅局出版物 5293《稅務專業人員數據安全資源指南》(英文),提供了 IRS.gov 上可用的數據盜竊信息的彙編,包括報告流程。
作為安全峰會合作夥伴,美國國稅局、州稅務機構、私營部門稅務行業,包括稅務專業人士,以幫助保護納稅人免遭身份盜用和退款欺詐為己任。這是為期一周的一系列提示(英文)中的第四個,旨在提高對身份盜用的認識。
|