L’année dernière, BreachTrace a averti que le Service des recettes internesLa solution de (IRS) pour aider les victimes de fraude au remboursement d’impôt à éviter d’être victimisées deux années de suite était susceptible d’être compromise par des voleurs d’identité. Selon une histoire partagée par un lecteur, les escrocs sont bien conscients de cette faille de sécurité et l’utilisent pour réexaminer la fraude au remboursement d’impôt sur au moins certaines victimes deux années de suite – malgré les protections supplémentaires contre le vol d’identité de l’IRS.
La fraude au remboursement d’impôt affecte chaque année des centaines de milliers, voire des millions, de citoyens américains. Cela commence lorsque des escrocs soumettent vos données personnelles à l’IRS et demandent un remboursement en votre nom, mais font envoyer l’argent sur un compte ou une adresse que vous ne contrôlez pas.
Les victimes apprennent généralement le crime pour la première fois après avoir vu leurs retours rejetés parce que les escrocs les ont devancés. Même ceux qui ne sont pas tenus de produire une déclaration peuvent être victimes de fraude au remboursement, tout comme ceux qui ne sont pas réellement remboursés par l’IRS.
La méthode préférée de l’IRS pour protéger les victimes d’un remboursement d’impôt d’être frappées deux années de suite – le NIP de protection de l’identité (IP) — a déjà été envoyé par la poste à quelque 2,7 millions de victimes d’usurpation d’identité fiscale. Le code PIN à six chiffres doit être fourni sur la demande d’impôt de l’année suivante avant que l’IRS n’accepte la déclaration comme valide.
Comme je l’ai noté dans plusieurs articles ici, le problème avec cette approche est que l’IRS permet aux destinataires du code PIN IP de récupérer son code PIN via le site Web de l’agence, après avoir fourni les réponses à quatre questions faciles à deviner du bureau de crédit à la consommation Équifax. Ces questions dites d’authentification basée sur les connaissances (KBA) ou «hors portefeuille» se concentrent sur des éléments tels que l’adresse précédente, les montants et les dates des prêts et peuvent être énumérées avec succès avec des devinettes aléatoires. Dans de nombreux cas, les réponses peuvent être trouvées en consultant des services en ligne gratuits, tels que Zillow et Facebook.
Becky Wittrockun expert-comptable certifié (CPA) de Sioux Falls, SD, a déclaré qu’elle avait reçu un code PIN IP en 2014 après que des escrocs aient tenté de se faire passer pour elle auprès de l’IRS.
Wittrock a déclaré qu’elle avait découvert que son code PIN IP avait été compromis par des voleurs cette année après avoir tenté de produire sa déclaration de revenus le 25 février 2016. demande auprès de l’IRS le 2 février 2016.
« Donc, l’année dernière, j’ai été dévasté par cela », a déclaré Wittrock, « Mais cette année, je suis juste énervé. »
Wittrock a déclaré qu’elle avait appelé le numéro sans frais de l’IRS qui était imprimé sur la documentation sur le vol d’identité qu’elle avait reçue l’année précédente.
« J’ai essayé de déposer par voie électronique ce week-end et le retour a été rejeté », a déclaré Wittrock. « J’ai reçu le code PIN depuis que j’ai eu une fraude de l’IRS lors de ma déclaration de 2014. J’ai appelé l’IRS ce matin et ils ont déclaré que l’utilisation frauduleuse des codes PIN IP est un gros problème pour eux cette année.
Wittrock a déclaré que pour se vérifier auprès du représentant de l’IRS, elle devait régurgiter une litanie de points de données statiques sur elle-même, tels que son nom, son adresse, son numéro de sécurité sociale, son anniversaire, la façon dont elle avait déposé l’année précédente (mariée/célibataire/etc.) , si elle a réclamé des personnes à charge et si oui, combien.
« Le gars a dit: » Oui, je vois qu’une déclaration a été déposée sous votre nom le 2 février et que le bon code PIN IP a été fourni « », se souvient Wittrock. « Je lui ai demandé comment cela pouvait-il être, et il a dit: » Vous n’êtes pas le premier, nous avons eu de nombreux cas de ce genre cette année. « »
Selon Wittrock, le représentant de l’IRS a déclaré que l’agence ne s’appuierait pas longtemps sur les codes PIN IP.
« Il a dit : ‘Nous n’utiliserons pas le code PIN à six chiffres l’année prochaine. Nous travaillons à trouver une autre méthode de vérification », se souvient-elle. « Il avait aussi jeté quelque chose sur [requiring] un permis de conduire, ce qui ne me semblait pas être une bonne solution.
Fait intéressant, le propre échec de l’IRS à utiliser quoi que ce soit de proche des méthodes d’authentification modernes peut avoir contribué à la victimisation initiale de Wittrock. De janvier 2014 à mai 2015, l’IRS a permis à quiconque d’accéder aux formulaires W-2 de quelqu’un d’autre l’année précédente, simplement en fournissant le nom du contribuable, sa date de naissance, son numéro de sécurité sociale, son adresse et les réponses à des questions faciles à deviner ou -Questions Google KBA.
L’IRS a supprimé la fonction Get Transcript en mai 2015 après avoir révélé (d’abord sur ce blog) que des escrocs en abusaient pour détourner l’identité des consommateurs et les remboursements. Mais voici le problème : l’agence exige que les détenteurs de NIP IP cherchant une copie de leur NIP passent par le même processus d’authentification défectueux qui a affligé son service Get Transcript, aujourd’hui disparu.
Selon l’IRS, au moins 724 000 citoyens se sont fait voler leurs données fiscales via la fonction Get Transcript de l’IRS entre janvier 2014 et mai 2015. Il s’agit peut-être en fait d’un nombre peu élevé : l’IRS a précédemment déclaré que le nombre de personnes concernées était de 334 000, des chiffres qui ont été fortement révisés à partir d’une estimation initiale de 110 000 contribuables.
L’IRS n’a pas répondu aux demandes de commentaires sur cette histoire. Mais en une histoire connexe par Quartz l’année dernière, l’IRS a déclaré que l’accès à un code PIN IP lui-même « n’expose pas les informations d’identification personnelle des contribuables ». Cependant, cela peut être un petit réconfort pour les contribuables dont les données fiscales et sur le revenu ont été volées directement à l’IRS en premier lieu.
L’IRS a déclaré à Quartz que les contribuables qui utilisent des codes PIN IP en recevront un nouveau par la poste chaque année, avant chaque saison fiscale, ce qui rendra l’accès à ces informations beaucoup plus difficile pour un voleur d’identité.
« C’est-à-dire que les pirates auraient une petite fenêtre – entre la fin de l’année d’imposition et le moment où un contribuable dépose une déclaration – pour essayer de voler le code PIN IP », a écrit Keith Collins. « La déclaration ajoute : « En outre, nous surveillons attentivement le trafic IP PIN afin de répondre rapidement à toute activité potentiellement suspecte. »
Je suppose que le temps nous dira à quelle vitesse l’IRS se déplace pour répondre à une activité suspecte de code PIN IP. En attendant, si vous souhaitez en savoir plus sur le vol d’identité fiscale et sur ce que vous pouvez faire pour minimiser vos chances de devenir la prochaine victime, consultez Ne soyez pas victime de fraude fiscale en 2016.