安全峰会提醒税务专业人士警惕不断演变的电子邮件骗局以及可窃取纳税人数据的云端骗局

IR-2022-143,2022 年 7 月 26 日

华府 — 作为安全峰会特别系列的一部分,美国国税局、州税务机构和全美税务领域提醒税务专业人士警惕旨在窃取客户数据的不断演变的骗局。

安全峰会(英文)合作伙伴持续观察到伪装成潜在客户的身份盗用网络钓鱼电子邮件给税务专业人士所带来的安全隐患。犯罪分子通过诱骗税务业者打开电子邮件中的链接或附件,来感染电脑系统,从而窃取客户信息。

峰会还提醒使用云端系统来存储并准备税表和信息的税务专业人士,要确保他们使用多因素身份验证来应对最近的攻击。峰会合作伙伴特别敦促使用云端平台的人利用电话、短信或令牌等多因素验证选项。这可以避免仅通过电子邮件完成验证所带来的潜在安全隐患,防止身份窃贼仅通过电子邮件就能轻易访问。

美国国税局、州税务机构和全美税务领域,通过安全峰会协力合作,重点强调税务专业人士可采取的保护客户数据的关键步骤,"避免骗局"是本系列五部分中的第二部分。安全峰会系列,作为保护您的客户,保护您自己活动的一部分,其重点是敦促税务专业人士努力强化他们的系统并保护客户数据。

"身份盗窃诈骗者不断尝试新的骗局,从税务专业人士那里窃取客户的个人和财务信息。我们持续观察到大量针对税务专业人士的电子邮件,试图诱骗他们为身份窃贼提供有价值的访问权限,"美国国税局局长Chuck Rettig表示。"我们继续敦促人们使用多因素身份验证,包括那些使用云端服务的人。保持警惕是必要的,不仅在报税季,而是全年都需要。我们敦促税务专业人士,不论是来自大型机构还是小型企业,都考虑采纳这些宝贵的建议,从而帮忙保护他们的客户和他们自己。"

网络钓鱼电子邮件或短信/文本(称为"钓鱼短信")试图诱骗收件人泄露个人信息,例如密码、银行帐号、信用卡号或社会安全号码。税务专业人士是经常被攻击的目标。

诈骗的主题可能不同,但它们通常具有两个特征:

  • 它们看上去来自已知或信赖的一方,例如同事、银行、信用卡公司、云存储供应商、税务软件供应商,甚至是国税局和其他政府机构。
  • 制造虚假的叙述,通常带有紧急的语气,以诱骗接收者打开链接或附件。

一种特定类型的网络钓鱼电子邮件称为鱼叉式网络钓鱼。与一般网络钓鱼电子邮件漫不经心的性质不同,诈骗者会花时间识别受害者并制作更诱人的网络钓鱼电子邮件,作为诱饵。诈骗者经常使用鱼叉式网络钓鱼来瞄准税务专业人士。

在一个反复发生且经常得手的骗局中,犯罪分子冒充潜在客户,与税务专业人士先进行几封电子邮件往来,然后跟进发送声称是其税务信息的附件。由于新冠疫情,许多税务专业人士远程工作并通过电子邮件而非面对面的方式或通过电话来与客户沟通,从而给这种骗局带来了可乘之机。

一旦税务专业人士点击嵌入的URL和/或打开附件,恶意软件就会秘密下载到他们的电脑上,使窃贼能够访问客户帐户的密码或远程访问电脑。

之后,窃贼使用这种称为远程访问木马 (RAT) 的恶意软件来接管税务专业人士办公室的电脑系统,识别待处理的税表,完成税表并以电子方式报税,仅通过更改银行账户信息即可窃取退税。

过去,犯罪分子利用勒索软件进行攻击致使许多公司关门倒闭。犯罪分子可以对税务专家使用类似的、规模较小的攻击手法。当毫无戒心的税务专业人士打开链接或附件时,恶意软件会攻击税务专业人士的电脑系统以加密文件,窃贼会拿着获取的数据进行勒索。

国税局观察到的另一个新骗局涉及使用云端系统存储客户数据的税务专业人员,利用其安全性不强的弱点进行攻击。虽然许多云端系统都是安全的,但使用这些系统的税务专业人员应确保他们在这些系统上使用强大的多因素身份验证,从而避免窃贼获取其敏感信息。

国税局观察到多起云端平台上个人账户遭到入侵的案件,大部分涉及小规模运作的税务专业人士或企业。身份窃贼可以访问这些信息,然后使用纳税人税表中的现有数据提交新的税表以获取退税,通常是通过邮件作案。

当税务专业人士不使用强大的多因素身份验证来验证谁在使用该平台时,这些云端帐户更容易受到攻击。峰会合作伙伴敦促使用除电子邮件之外的身份验证方法,因为仅使用电子邮件的话,窃贼更容易访问并进入税务专业人士的账户。使用短信、电话或令牌是更安全的选择。

这些骗局突出了安全峰会所推荐的保护数据的基本安全步骤的重要性:

  • 使用税务软件供应商或储存供应商提供的双因素 (2FA) 或多因素身份验证 (MFA) 选项可以保护客户帐户,即使密码被无意泄露。
  • 保持防病毒软件自动更新还有助于防范针对软件漏洞的诈骗。
  • 使用驱动器加密和定期备份文件有助于防范盗窃和勒索软件攻击。

对于税务专业人士来说,保障他们的网络安全从而保护纳税人数据是他们作为代报税人的职责所在。

为了帮助税务专业人员防范网络钓鱼诈骗并更好地保护纳税人信息,国税局第4557号出版物,保护纳税人数据(英文) PDF,包含了一些最新的建议,例如使用税务软件产品所提供的多因素身份验证选项以及帮助客户获取身份保护个人识别号码。

其它资源

除了查看国税局第4557号出版物,保护纳税人数据(英文) PDF,税务专业人员还可以通过查看美国国家标准与技术研究院的《小型企业信息安全:基础知识》(英文) PDF,获得有关安全建议的帮助。面向税务专家、个人和企业的国税局身份盗窃中心页面也提供了重要的详细信息。

第5293号出版物,税务专业人员数据安全资源指南(英文) PDF提供了IRS.gov上可用的数据盗窃信息的汇总。此外,税务专业人士应通过订阅税务专业人士电子新闻(英文)社交媒体(英文)与国税局保持联系。

如需更多信息,请访问国税局官网IRS.gov