上個(gè)月底,美國(guó)國(guó)稅局經(jīng)歷了數(shù)據(jù)泄露事件,約有10萬名美國(guó)公民的個(gè)人信息在無意中被泄露。
這個(gè)有組織的犯罪團(tuán)伙通過更改IRS網(wǎng)頁(yè)上的一個(gè)名為Get Transcript的應(yīng)用,獲得了對(duì)納稅人賬戶的未授權(quán)訪問權(quán)限。該應(yīng)用的功能是幫助用戶方便地訪問歷史稅務(wù)申報(bào)記錄以及稅務(wù)報(bào)表。
像任何其它網(wǎng)站一樣,只需要回答幾個(gè)私人問題就可以訪問用戶賬戶,這也是很典型的驗(yàn)證模式。不過,網(wǎng)絡(luò)罪犯得以利用從各種來源收集到的信息回答這些問題。
最近的幾次知名數(shù)據(jù)泄露事件流出的信息,比如安騰(Anthem)和Premera這兩家醫(yī)療保險(xiǎn)公司泄露的數(shù)百萬份醫(yī)療記錄,使得如社保帳號(hào)、出生日期這樣的個(gè)人信息在黑客的地下圈子里廣為人知。在這種情況下,網(wǎng)絡(luò)罪犯可以集合收集到的信息,并采取自動(dòng)化方式填寫Get Transcript驗(yàn)證,最終目標(biāo)是通過一般個(gè)人信息進(jìn)一步獲取稅務(wù)信息。
“這些犯罪團(tuán)伙確實(shí)將網(wǎng)絡(luò)犯罪看成了一種商業(yè)行為。這已經(jīng)不是黑客藏在地下室的時(shí)代了。這是一個(gè)非常有組織性和協(xié)作性的團(tuán)伙。”
6月2日,IRS局長(zhǎng)約翰·庫(kù)什基寧(John Koskinen)參加了參議院財(cái)政委員會(huì)召開的聽證會(huì),他在會(huì)上表示,在今年二月中旬到五月中旬之間,國(guó)稅局的網(wǎng)絡(luò)安全人員發(fā)現(xiàn)了針對(duì)Get Transcript功能的約20萬次“可疑的、復(fù)雜的”訪問請(qǐng)求。IRS表示,在這20萬次請(qǐng)求中,約半數(shù)成功通過認(rèn)證。
IRS網(wǎng)站上的Get Application功能現(xiàn)在已經(jīng)暫時(shí)關(guān)閉,以待修改并增強(qiáng)安全性。
上周四IRS宣布了一系列最新措施,旨在于明年的報(bào)稅季中更好地防止身份欺詐行為。應(yīng)急小組由報(bào)稅部門和軟件公司的代表、工資和國(guó)家稅收管理員組成,他們發(fā)布了一些新的舉措,以提高納稅申報(bào)過程中的安全性。
隨著新系統(tǒng)和新流程開始部署,報(bào)稅者在訪問時(shí)將需要通過IP地址和計(jì)算機(jī)設(shè)備特征電子碼的對(duì)照。填寫報(bào)稅表的所需時(shí)長(zhǎng)也將被設(shè)為判斷是否為機(jī)器自動(dòng)填表的重要標(biāo)尺。
原文地址:http://www.aqniu.com/news/8270.html