IR-2023-138,2023 年 8 月 1 日 华府 — 安全峰会(英文)合作伙伴在特别系列的第三部分中,提醒税务专业人士警惕不断演变的网络钓鱼诈骗和旨在窃取敏感纳税人信息的云端骗局。 国税局及其安全峰会合作伙伴(包括州税务机构和全国税务行业)继续观察到针对全国税务专业人士社区的源源不断的攻击,目的是从客户那里窃取敏感的税务和财务信息。 "我们继续看到诈骗者不断试图窃取敏感的税务专业信息。" 国税局局Danny Werfel表示,"身份窃贼和欺诈者持续寻找新的、层出不穷的方法来欺骗税务专家。这些骗局复杂且不易被发现,税务专业人士应保持警惕,以保护他们的客户和企业。" 此稿是安全峰会"保护您的客户;保护您自己"夏季系列五部分的第三篇新闻稿,该峰会是一个公私合作伙伴关系,致力于保护税务系统免受税务相关的身份盗窃和欺诈。 每周的新闻稿系列和国税局全国税务论坛(英文)(本月晚些时候在华盛顿特区、圣地亚哥和奥兰多继续举行),提供了重要信息来帮助保护税务专业人士掌握的敏感纳税人数据,同时也保护了他们的业务免遭身份窃贼的侵害。这已是安全峰会合作伙伴通过"保护您的客户;保护您自己"活动努力提高人们对这些问题的认识的第八个年头。 网络钓鱼、鱼叉式网络钓鱼和捕鲸式网络攻击 税务专业人士面临的最常见威胁之一是网络钓鱼和相关诈骗。这些旨在诱骗收件人泄露个人信息,例如密码、银行帐号、信用卡号码或社会安全号码。 税务专业人士和纳税人应了解不同的网络钓鱼术语以及诈骗形式: 网络钓鱼电子邮件/钓鱼短信:网络钓鱼电子邮件或短信(称为"钓鱼短信")试图诱骗收件人点击可疑链接、填写信息或下载恶意软件文档。通常,网络钓鱼攻击会发送到企业或机构的多个电子邮件地址,以此增加了有人上当的机会。 鱼叉式网络钓鱼:这是一种特定类型的网络钓鱼诈骗,它不会向机构内的大型群体发送电子邮件,而是识别潜在受害者并发送看似更加真实的电子邮件(称为"诱饵")。此类型的诈骗可能比较难以识别,因为它们不会大量发送。他们挑选出个人,进行专门化处理,并让电子邮件看起来更合法。这些人可能冒充税务专业人士的潜在客户,引诱税务业者分享敏感信息。 捕鲸式网络攻击:捕鲸式网络攻击与鱼叉式网络钓鱼非常相似,不同之处在于这些攻击通常针对有权访问机构或企业大量信息的领导者或其他高管。捕鲸式网络攻击还可能针对薪资办公室、人力资源个人和财务办公室的人员。 安全峰会合作伙伴持续观察到税务专业人士特别容易受到冒充潜在客户的电子邮件的影响。犯罪分子利用这种伎俩来诱骗税务业者打开电子邮件链接或附件,继而导致电脑系统被感染,客户信息可能被盗窃。在捕鲸式网络攻击的情况中可以看到类似骗局,诈骗者试图通过看似合法的电子邮件来攫取大量信息。 "所有这些骗局复杂而具有欺骗性,让税务专家和其他许多人措手不及。" Werfel表示, "诈骗者可能诡计多端且花样繁多。我们敦促税务界、纳税人及任何掌握敏感财务信息的人要保持警惕。" 诈骗的警示信号 无论网络钓鱼攻击的类型如何,税务专业人士都可以通过了解这些诈骗并寻找以下警示信号来保护自己或其机构: 无预期的电子邮件或短信,声称来自已知或可信来源,例如同事、银行、信用卡公司、云储存供应商、报税软件供应商,甚至是国税局和其它政府机构。 虚假叙述通常带有紧急语气,敦促接收者打开链接或附件。 电子邮件地址、号码或链接拼写错误或具有不同的域名或URL (irs.com vs. IRS.gov) 。 云端骗局危害不小 使用云端系统来存储信息或运行报税软件的税务专业人士,应使用多重身份验证来帮助保护数据。 具体来说,安全峰会持续观察到攻击会利用云端系统并危及个人信息。多重身份验证选项为使用电话、短信或令牌来访问系统提供了额外一层的安全保护。由于身份窃贼更容易访问电子邮件,因此拥有多层安全保护有助于防范潜在的漏洞。 其它资源 税务专业人士如果成为了这些骗局或身份盗窃的受害者,国税局敦促他们迅速联系国税局公共事务联络处(英文),提供相关情况的详情。快速报告这些事件不仅可以保护税务专业人士的客户,还可以及时提供关键信息,有助于防止这些攻击侵害税务社区的其他人。 税务专业人士应查看国税局《第4557号出版物,保护纳税人数据》(英文) PDF来了解更多信息。 其它资源包括美国国家标准与技术研究院的《小企业信息安全:基础知识》(英文) PDF以及适用于税务专业人士的国税局身份盗窃中心页面。 《第5293号出版物,税务专业人士数据安全资源指南》(英文) PDF提供了IRS.gov上的数据盗窃信息的汇编。国税局还鼓励税务专业人士应通过订阅税务专业人士电子新闻(英文)及其社交媒体网站(英文)来与国税局保持联系,了解其最近更新和警报。