le Service des recettes internes a réactivé un service sur son site Web qui permet aux contribuables d’obtenir une copie de leur relevé de notes d’impôt de l’année précédente. L’effort renouvelé pour renforcer les méthodes d’authentification des contribuables à irs.gov survient plus d’un an après que l’agence a désactivé le service de transcription parce que les fraudeurs des remboursements d’impôts l’utilisaient pour voler des données sensibles sur les consommateurs.
Au plus fort de la saison des déclarations de revenus en 2015, BreachTrace a averti que les voleurs d’identité impliqués dans la fraude au remboursement d’impôt avec l’IRS utilisaient la fonction « Get Transcript » d’irs.gov pour glaner des salaires et des informations personnelles qu’ils n’avaient pas déjà sur les contribuables ciblés. En mai 2015, l’IRS a suspendu la fonctionnalité Get Transcript, citant son abus par des fraudeurs et notant que quelque 100 000 contribuables pourraient en avoir été victimes.
En août 2015, l’agence a révisé ces estimations à 330 000, mais en février 2016, l’IRS a de nouveau plus que doublé son estimation, affirmant que le nombre réel de victimes était probablement plus proche de 724 000.
Alors, comment fonctionne exactement le fonctionnalité Get Transcript nouvelle et améliorée valider que les contribuables qui demandent des informations ne sont pas des cybercriminels imposteurs ? Selon l’IRS Obtenir la transcription FAQle visiteur doit fournir un numéro de sécurité sociale (SSN) et disposer des éléments suivants :
- accès immédiat à votre compte de messagerie pour recevoir un code de confirmation ;
- nom, date de naissance, adresse postale et statut de dépôt de votre déclaration de revenus la plus récente ;
- un numéro de compte d’une carte de crédit, d’un prêt automobile, d’un prêt hypothécaire, d’un prêt sur valeur domiciliaire ou d’une marge de crédit sur valeur domiciliaire ;
- un numéro de téléphone mobile avec votre nom sur le compte.
« Si vous vous êtes déjà inscrit pour utiliser IRS Get Transcript Online, Identity Protection PIN, Online Payment Agreement ou ePostcard services en ligne, connectez-vous avec le même nom d’utilisateur et mot de passe que vous avez choisi auparavant », a déclaré l’IRS. « Vous devrez fournir un numéro de compte financier et un numéro de téléphone portable si vous ne l’avez pas déjà fait. »
L’agence a déclaré qu’elle vérifierait ensuite votre numéro de compte financier et votre numéro de téléphone portable auprès du bureau de crédit des trois grands. Équifax. Les lecteurs qui ont suivi mes conseils et placé un gel de sécurité sur leurs dossiers de crédit devront demander un dégel temporaire de ce gel auprès d’Equifax avant de tenter de vérifier leur identité auprès de l’IRS.
Selon Semaine fédérale de l’informatiqueau cœur de la nouvelle configuration sera l’authentification basée sur les connaissances qui utilise des questions supposées plus difficiles à répondre que les tests qui ont conduit à la compromission de Get Transcript.
Mike Kasperla victime de fraude fiscale dont l’histoire lui a finalement valu une chance de témoigner sur l’expérience avant le Comité sénatorial américain sur la sécurité intérieure et les affaires gouvernementales, a qualifié les nouvelles méthodes d’authentification de bon pas en avant. Mais il craint qu’ils n’encouragent simplement les voleurs de remboursements d’impôts à commettre davantage d’actes d’usurpation d’identité au nom de la victime.
« On dirait que l’investissement pour un remboursement de 6 000 $ est passé de 10 $ pour acheter des données de crédit ou maintenant un numéro de carte pour la victime, jusqu’à environ 30 $ pour acheter un numéro prépayé, bien que ce soit probablement encore moins cher maintenant », a déclaré Kasper. « Je pense que les voleurs d’identité pourraient simplement ouvrir de nouveaux comptes de téléphone portable ou de carte de crédit au nom de la victime ou même continuer à changer le nom des comptes de téléphone portable prépayés acquis uniquement à cette fin. »
Kasper note que les mêmes méthodes d’authentification boiteuses qui ont conduit à la débâcle de Get Transcript sont toujours utilisées par annualcreditreport.com, un site mandaté par le Congrès comme le seul site où les consommateurs peuvent obtenir leurs droits garantis une copie gratuite de leur rapport de crédit de chacun des les grands bureaux. Les rapports de solvabilité contiennent pas mal d’informations qui peuvent permettre aux voleurs de glaner les numéros de compte de téléphone portable et de carte de crédit des contribuables qu’ils ciblent.
Annualcreditreport.com demande aux consommateurs de fournir un ensemble de données personnelles qui peuvent être achetées pour environ 3 à 4 dollars dans les magasins de cybercriminalité en ligne, telles que la date de naissance, le numéro de sécurité sociale, l’adresse et les adresses précédentes. Le site demande également au visiteur de répondre à une série de questions dites d’authentification basée sur la connaissance (KBA) fournies par les bureaux de crédit.
Ces questions KBA – qui impliquent quatre questions à choix multiples, « hors portefeuille » telles que l’adresse précédente, les montants et les dates des prêts – peuvent être énumérées avec succès avec des devinettes aléatoires. Dans de nombreux cas, les réponses peuvent être trouvées en consultant des services en ligne gratuits, tels que Zillow et Facebook.
Les fraudeurs peuvent également choisir de simplement hameçonner les informations de téléphone et de carte de crédit des victimes, ou se tourner vers des courtiers en données criminels dans le métro qui se spécialisent dans la vente de ces dossiers aux consommateurs, a déclaré Kasper.
« La vraie question est de savoir quand davantage de banques commenceront à vérifier que le transfert entrant de l’IRS est destiné à un compte sous le nom d’un client réel », a déclaré Kasper. « La plupart des banques ne le font pas, mais même si elles le faisaient, ce n’est pas une solution complète à moins qu’elles ne connaissent également leur client. Il y a probablement eu des milliers de remboursements d’impôt frauduleux l’année dernière où le [perpetrators] vient d’ouvrir des comptes bancaires au nom d’autres personnes pour recevoir un remboursement de l’IRS. Parce que si vous êtes un voleur et que vous ouvrez un compte au nom de la victime, c’est un peu plus difficile à retrouver.