От автора подкасты от Black Mast

BlackMAST

Проверенный
Пресса
Регистрация
11 Июл 2020
Сообщения
87
Реакции
5
Эпизод 21: Для чего хакеры крадут записи о пациентах?

Вступить в наш чат

Ведущий: 2015 год был полон утечек данных. В начале года было два крупных нарушения со стороны поставщиков медицинских услуг. В феврале Anthem объявил, что было украдено восемьдесят миллионов записей о пациентах. Примерно в то же время был обнаружен Premera Blue Cross, и они обнаружили, что, возможно, одни и те же актеры были в их сети и признали взлом одиннадцати миллионов записей пациентов. Таким образом, только в первом квартале 2015 года хакеры украли почти сто миллионов записей о пациентах. На самом деле они не воровали медицинские записи; вместо этого они захватили такие вещи, как имена, дни рождения, медицинские удостоверения, номера социального страхования, уличные адреса, адреса электронной почты, информацию о сотрудниках и данные о доходах. Люди не были уверены, для чего это может быть использовано, кто это делает и зачем.
Его просто продали на темном рынке за быстрый биткойн? Была ли эта информация собрана в рамках многоэтапной атаки? Каким образом эта информация может быть ценной для хакеров? Как вы можете зарабатывать деньги, если знаете чье-то имя, адрес, номер социального страхования и тому подобное? Я позволю вам подумать об этом на минуту. Давайте поговорим о налоговой. Для моих неамериканских слушателей Служба внутренних доходов — это правительственное агентство США, которое собирает налоги. Большинство граждан и предприятий США должны каждый год отчитываться о своих доходах в IRS и платить налоги в зависимости от того, сколько денег они заработали. IRS приходится обрабатывать сотни миллионов налоговых форм в год. Это архаичная и слишком сложная система. По сути, мы, американцы, платим процент от денег, которые мы зарабатываем, правительству, чтобы они могли погасить государственный долг за армию, социальное обеспечение, медицинское обслуживание пожилых людей и тому подобное.



Правительству США нужно много наших денег. В среднем они забирают около 14% нашей зарплаты. Если вы зарабатываете 67 000 долларов в год, они хотят из них 9 000 долларов. Но вот в чем дело; Американцы не копят 9000 долларов, чтобы отдавать их им каждый год. Мы просто просим наших работодателей вычесть эти деньги из нашей зарплаты еще до того, как мы их получим. Таким образом, все оплачено и прочее. Но мы не всегда знаем, сколько платить, и иногда мы недоплачиваем, и когда приходит время уплаты налогов, нам приходится платить немного больше. Но что на самом деле делают многие люди, так это переплачивают, а затем IRS возвращает нам деньги, которые нам не нужно было платить. Иногда это может быть налоговая декларация хорошего размера, тысячи долларов. Этот процесс подачи налоговых деклараций очень сложен, и традиционно IRS обрабатывает все это с помощью бумажных форм. Если вы хотели увидеть свои старые налоговые отчеты, вам нужно было заполнить форму IRS 4506 и заплатить 50 долларов, и вы можете получить свою старую налоговую отчетность, отправленную вам по почте.
Но в последнее десятилетие они перешли к электронной подаче документов, где вы можете сделать все это через веб-сайт irs.gov. В январе 2014 года они добавили на веб-сайт irs.gov новую функцию под названием «Получить стенограмму». Это позволит вам увидеть свои налоговые отчеты за прошлый год на случай, если вы захотите использовать их при подаче документов за этот год. Это была фантастическая функция, и сразу же миллионы американцев использовали ее для поиска своих налоговых форм за прошлый год. Обычно, когда вы подписываетесь на банковский счет или у поставщика медицинских услуг, вы проходите процесс регистрации, который часто включает в себя настройку пароля, а затем некоторые вопросы по восстановлению учетной записи, например, где вы познакомились со своим супругом или в какую среднюю школу вы ходили. Сайт irs.gov отличается. Они используют то, что называется мгновенным KBA или аутентификацией на основе знаний.
Они задают ряд вопросов, на которые только вы знаете ответ, например, какой у вас платеж по ипотеке и где вы купили машину. Это называется мгновенным KBA, потому что у них уже есть ответы на их стороне. Это немного отличается от банковского счета, где, когда они задают вам вопрос, они не знают ответа, и вы ставите ответ, а затем они сохраняют его для следующего раза. Благодаря Instant KBA они уже знают, в какую среднюю школу вы ходили, из вашей кредитной истории. IRS сотрудничает с одной из крупных компаний, предоставляющих кредитные отчеты, такой как EquiFax, чтобы узнать о вас больше. Благодаря этому IRS знает, на каких улицах вы раньше жили, какие кредитные карты у вас есть в настоящее время и тому подобное. Когда вы хотите использовать функцию «Получить выписку» на веб-сайте irs.gov, вам задают ряд подобных вопросов, ответы на которые знаете только вы, и они доказывают, кто вы, а затем вам показывают ваши старые налоговые отчеты.
Но можете ли вы догадаться, какие есть проблемы с этим мгновенным KBA? Ну, во-первых, IRS говорит, что 22% людей не могут сами правильно ответить на вопросы. Вы помните свой номер телефона, который у вас был десять лет назад, или адрес, который у вас был в колледже? Может быть, но когда тебе будет семьдесят? Вот еще одна проблема с мгновенным KBA; вы не можете отказаться от этого. IRS и EquiFax собрали и сохранили эту информацию о вас, на сохранение которой вы не давали им разрешения. Это может стать проблемой конфиденциальности. На самом деле NIST, правительственный совет по стандартам, специально комментирует это, говоря: «Неуместно непреднамеренно раскрывать конфиденциальность неизвестных граждан схемы мгновенной аутентификации KBA, если риск не близок к нулю». Еще одна большая проблема с этой аутентификацией, основанной на знаниях, связана с знанием секретной информации о вас.
По мере того, как наши данные становятся все более открытыми для всего мира из-за утечек, эта секретная информация больше не является секретной. Давайте вернемся в 2014 год, когда эта услуга «Получить стенограмму» впервые была представлена на веб-сайте irs.gov. Допустим, мы хотели получить наши старые стенограммы. Прежде всего, сайт запрашивает следующее: имя, номер социального страхования, адрес. Исторически сложилось так, что ваш номер социального страхования является приватным, и лишь немногие люди могут его знать, но по мере того, как происходят утечки данных, он становится не таким уж приватным. Имя и адрес не так уж сложно выяснить, поэтому эти первые вопросы можно легко победить, если кто-то знает это о вас. На этом этапе они заставляют вас зарегистрироваться с адресом электронной почты и отправляют вам электронное письмо для дальнейших шагов. Затем вам будут представлены четыре мгновенных вопроса KBA с несколькими вариантами ответов. Вот несколько образцов.
"Пожалуйста, выберите округ указанного вами адреса". Ну, очевидно, вы можете посмотреть это на любой карте, так что это легко. Следующий вопрос. "Согласно нашим записям, вы раньше жили в… вставьте город. Выберите улицу, на которой вы проживали в этом городе". Что ж, это вопрос с несколькими вариантами ответов, поэтому вы можете просмотреть ответы и исключить любые улицы, которых нет в этом городе, и тогда у вас будет довольно высокий шанс получить правильный ответ. "Пожалуйста, выберите город, в котором вы ранее проживали". Что ж, если у хакера были какие-либо данные о вас из предыдущих взломов, они, вероятно, включены. Или, черт возьми, ответ может быть даже в предыдущем вопросе. "Согласно нашим записям, какую из следующих средних школ вы окончили?" Ну, ты был на Facebook в последнее время? Почти все там есть, и все они любят писать, в какую среднюю школу они ходили, поэтому обычно это довольно легко найти. Вот и все.
Если вы правильно ответите на эти вопросы, вы получите абсолютно всю историю налоговых записей для этого человека. Если вы действительно посмотрите на это, потому что это вопросы с несколькими вариантами ответов, у нас есть шанс ответить на все вопросы правильно, даже не взломав данные, просто погуглив человека, где он жил и все такое. Эта опция «Получить расшифровку» на веб-сайте irs.gov использовалась миллионами людей в 2014 году, а затем снова в 2015 году. Это была отличная функция, но вы, возможно, уже заметили, что метод аутентификации, возможно, не был таким уж безопасным. Давайте перенесемся в февраль 2015 года, в тот же месяц, когда была обнаружена брешь в Anthem. Парень по имени Майкл Каспер идет заполнять налоговую декларацию. Он заполняет все формы в электронном виде и нажимает «Отправить», но что-то не так. Веб-сайт IRS сообщает ему, что он уже представил свои налоги, но это невозможно. Он еще не представил его. Он звонит в службу поддержки, и знаете что? Я позволю ему рассказать историю.
МАЙКЛ: В понедельник утром я позвонил в IRS, и они подтвердили мою личность, задав вопросы, связанные с налоговой историей, и показали мне, что депозит был внесен в тот же день, когда я звонил на чей-то счет, но было слишком поздно, чтобы остановить это. в таком случае.

Ведущий: Налоговое управление только что сообщило ему, что кто-то подал налоговую декларацию от его имени, и этому человеку был отправлен чек. Он уже был депонирован. Налоговое управление не смогло сообщить ему ничего другого, например, сколько стоил чек, в каком банке он был депонирован или что-то в этом роде. IRS не может раскрыть это из соображений конфиденциальности.

МАЙКЛ: Меня это расстроило. Именно тогда я попробовал функцию «Получить стенограмму» на веб-сайте IRS, чтобы узнать, могу ли я получить стенограмму, и обнаружил, что кто-то еще уже зарегистрировал свой адрес электронной почты с моим номером социального страхования.

Ведущий: Похоже, кто-то уже прошел этапы получения выписки из налоговой документации Майкла и зарегистрировался от его имени. В этот момент Майкл не знал, что и думать. Он задавался вопросом, взломали ли его, или кто-то украл его бумажник или личность, или что случилось. Это его вина, что это происходит? Снова и снова Майкл запрашивал дополнительную информацию о том, кто заполнил его налоги, но IRS отказывалась предоставить какую-либо информацию. В законе четко указано, что IRS не может никому передавать налоговую информацию, и он не смог войти на веб-сайт IRS и воспользоваться функцией «Получить выписку», потому что кто-то другой уже зарегистрировался под его именем. Он чувствовал себя застрявшим, но придумал новый план. Он выяснил, что если вы заполните форму IRS 4506 и включите 50 долларов, они отправят вам бумажную копию вашей налоговой декларации.

МАЙКЛ: Я узнал, что могу получить ксерокопию за 50 долларов. Они говорили мне, что я не могу получить информацию, но если я заплачу 50 долларов, я смогу ее получить. Итак, 17 марта я получил ксерокопию декларации, и именно тогда я узнал, что тот, кто подавал, видел мою декларацию за 2013 год, потому что информация была почти идентичной.
Какие данные заполучили злоумышленники и чем это обернулось для Майкла читай в следующем выпуске ровно через неделю.​
 

BlackMAST

Проверенный
Пресса
Регистрация
11 Июл 2020
Сообщения
87
Реакции
5
Эпизод 22: Как нажиться на чужой страховке

Ведущий: Это было странно. Теперь он начал собирать кусочки воедино. Кто-то определенно прошел процедуру получения выписки на веб-сайте irs.gov, получил копию своей старой налоговой декларации и подал новую за этот год. Он просмотрел налоговую декларацию, которую подал кто-то другой, и они получили возмещение в размере 8 936 долларов. Это были деньги, которые налоговая служба должна была Майклу, но они отправили их другому человеку. Майкл внимательно посмотрел на свою налоговую декларацию…
МАЙКЛ: И видел номер банковского счета.

Ведущий: Майкл — умный парень, даже инженер, и он не получал никакой помощи от IRS, и он злился, злился из-за того, что кто-то украл у него его деньги. Он решил попробовать разобраться в этом самостоятельно.

МАЙКЛ: Но я связался с банком в Пенсильвании. Подтвердили, что залог внесен. Я предполагаю, что метаданные в депозите на самом деле показали, что мое имя и мое социальное обеспечение переходят на чей-то текущий счет. Они сказали мне место, Уильямспорт, Пенсильвания, где были сняты все деньги. Там я связался с местной полицией.

Ведущий: Полиция сразу же перезвонила ему и хотела узнать больше. Они открыли дело и начали расследование. В тот же день Майкл получил письмо.

МАЙКЛ: Я получил по почте письмо от IRS, что шесть недель спустя они получили мои документы и что они вернутся ко мне через шесть месяцев.
Ведущий: Это немного разозлило Майкла. Почти сразу после получения своих налоговых отчетов он смог добиться большого прогресса, начав полицейское расследование, и здесь IRS говорит, что им потребуется шесть месяцев, чтобы расследовать это?

МАЙКЛ: На той неделе я также получил письмо от Anthem Healthcare с предложением бесплатного кредитного мониторинга. Я действительно не знаю, связано ли это с тем, как была получена моя информация.

Ведущий: Личная информация Майкла была украдена при взломе Anthem, и он помнил, что данные, украденные при взломе Anthem, включали его имя, номер социального страхования и прошлые адреса. Этого, вероятно, будет достаточно, чтобы получить стенограмму. Полиция отправилась в дом этого человека в Пенсильвании и обнаружила, что этот человек, который внес чек, был молодой студенткой колледжа.

МАЙКЛ: Она откликнулась на объявление Craigslist, предлагающее работу.

Ведущий: Ах да, старая афера с дропами. Хорошо, вот как это работает. Преступники, которым нужно перевести деньги, будут предлагать работу на Craigslist, говоря что-то вроде того, что международной финансовой компании нужна помощь в написании писем. Затем они проходят собеседование и принимаются на работу. Сначала им дается несколько основных задач, например, поправить английский в некоторых электронных письмах. Эти базовые задачи только для того, чтобы заслужить доверие, потом преступники расскажут какую-нибудь грустную историю о том, что им нужно сразу заплатить клиенту, а средства привязаны. Они спрашивают жертву: "Эй, если мы отправим вам деньги, вы не могли бы отправить чек клиенту?" Если они соглашаются, рождается дроп. Быть дропом незаконно, и эта молодая женщина понятия не имела, что это незаконно. Ей просто нужны были дополнительные деньги, чтобы поступить в колледж.

МАЙКЛ: Деньги поступали на ее счет, а затем она переводила большие суммы в Нигерию через Вестерн Юнион.

Ведущий: Она отправила 7000 долларов в Нигерию, а в качестве вознаграждения смогла оставить остальные 1900 долларов, которые она потратила в основном на аренду жилья, оставив на счету всего 5 долларов, когда ее поймала полиция. Она была арестована за то, что была дропом, а позже вышла под залог, заплатив 8500 долларов. Майкл был разочарован всем этим испытанием, поэтому в конце марта он связался с журналистом Брайаном Кребсом, чтобы поделиться своей историей. Его история сразу же появилась в Krebs on Security, блоге о взломах и безопасности. IRS заметила это сообщение в блоге и в конце концов вернула ему деньги, но это заняло несколько месяцев. Майкл был не первым, кто сообщил об этом виде мошенничества в 2015 году. У многих других людей была такая же проблема, у тысяч других. IRS начала расследование.



Эта функция веб-сайта «Получить выписку» была настолько популярна, что только в этом году было получено более двадцати миллионов запросов, поэтому во время налогового периода это более 100 000 запросов на получение выписки в день. Но этот всплеск был намного больше. Это было похоже на сотни тысяч других за один день. На самом деле было так много запросов, что системы начали создавать резервные копии, и IRS подумала, что они подверглись атаке типа «отказ в обслуживании». Они смогли поддерживать сайт в рабочем состоянии и поддерживать поток пользователей, и все прекратилось. Через неделю, 21 мая, центр безопасности IRS обнаружил нечто ужасное. Это были не законные пользователи, пытавшиеся получить передачу налоговых записей. Это были хакеры, мошенники, воры. Было предпринято более 200 000 подозрительных попыток получить выписки налогоплательщиков, и половина из них оказалась успешной.
Воры успешно использовали функцию «Получить выписку» на веб-сайте irs.gov, чтобы получить налоговые отчеты 100 000 человек. Имейте в виду, это не взлом. Никаких уловок, эксплойтов или уязвимостей злоумышленники не использовали. Они просто нашли способ пройти через систему аутентификации, вероятно, используя некоторую личную информацию, которую они получили в результате других взломов. Но даже если это не взлом, это, безусловно, утечка данных, очень личных данных, и очень страшно подумать о том, что такие преступники сделают с вашими прошлыми налоговыми записями. У этих людей есть много ресурсов и времени, чтобы двигаться быстро и украсть много денег, так что это может создать проблемы для этих людей на годы или даже на всю жизнь. Как только IRS обнаружила, что 100 000 налоговых записей были украдены с их веб-сайта, они немедленно отключили функцию «Получить выписку». Пять дней спустя они объявили общественности, что произошло нарушение и было украдено 100 000 налоговых документов. IRS предпринял ряд корректирующих действий после этого нарушения. Вот комиссар IRS.

Комиссар: Письма уже разосланы примерно 100 000 налогоплательщикам, чья налоговая информация была успешно получена неуполномоченными третьими лицами. Мы предлагаем кредитный мониторинг за наш счет для этой группы налогоплательщиков, мы также даем им возможность получить личный идентификационный номер защиты личности, или IP PIN, как известно. Это дополнительно защитит их счета IRS. Приложение Get Transcript также было закрыто, пока мы рассматриваем варианты, чтобы сделать его более безопасным, не делая его недоступным для законных налогоплательщиков.

Ведущий: IRS создала эту опцию, чтобы получить PIN-код IP или номер личной информации для защиты личности. Это шестизначный код, который IRS может выдать вам, который затем потребуется для заполнения вашей налоговой декларации. Это усложняет для преступников подачу налогов, если они не знают этот PIN-код. Новость о взломе IRS была главной темой почти во всех новостных агентствах США. Граждане были возмущены, у конгресса и сенаторов возникли вопросы. Полное слушание комитета сената было проведено, чтобы получить показания IRS. Это вступительное заявление комиссара IRS Джона Коскинена.

Комиссар: Несанкционированные попытки доступа к информации с помощью приложения «Получить выписку» были предприняты в отношении примерно 200 000 учетных записей налогоплательщиков с сомнительных доменов электронной почты, и эти попытки были сложными и изощренными по своему характеру. Эти попытки были предприняты с использованием личной информации налогоплательщика, уже полученной из источников за пределами IRS. В середине мая наша команда по кибербезопасности заметила необычную активность в приложении Get Transcript. В конечном итоге они обнаружили сомнительные попытки доступа к приложению Get Transcript. Из примерно 100 000 успешных попыток доступа к приложению только 13 000 возможно мошеннических деклараций были поданы за 2014 налоговый год, по которым IRS выплатила возмещение на общую сумму около 39 000 000 долларов.

Ведущий: На этом слушании мы также услышим от Майкла Каспера, того парня, который сам выследил того, кто украл его налоговую декларацию. На самом деле клипы, которые вы слышали от него ранее, взяты с этого слушания в Сенате. На самом деле было несколько слушаний, которые продолжались часами. Во время слушания мы узнаем немного о типах компьютерных проблем, с которыми сталкивается IRS.

Комиссар: Мы используем устаревшую систему с некоторыми приложениями, которым пятьдесят лет, как отмечалось в некоторых случаях. Отмечено, что мы даже не смогли предоставить исправления для всех обновлений. Для некоторых наших систем нет исправлений, потому что они больше не поддерживаются провайдером.
Похоже, что преступники лучше знают вашу личную информацию, чем вы. Это просто увлекательно. Если вы помните, IRS начала использовать этот IP-пин, чтобы добавить дополнительный уровень безопасности вашим налогам, но у этого было несколько собственных проблем. Прежде всего, ваш PIN-код выдается через веб-сайт. Сравните это с тем, когда ваш банк отправляет вам ваш PIN-код по почте. Если вы потеряли свой PIN-код IRS и хотели его восстановить, вам нужно было пройти через тот же веб-сайт irs.gov, чтобы ответить на те же слабые вопросы KBA, которые злоумышленники победили, чтобы получить ваши стенограммы. Угадай, что? Преступники это поняли и начали красть PIN-коды. В феврале 2016 года IRS опубликовала заявление, в котором говорилось, что было совершено более 464 000 несанкционированных попыток получить PIN-код. Хакеры успешно получили от налогоплательщиков 101 000 PIN-кодов.
Затем налоговая обнаружила кое-что еще. Они провели еще одну проверку людей, которые сделали Get Transcript на веб-сайте. Они обнаружили, что число было выше, чем они первоначально думали. Сначала в IRS сказали, что это 101 000 человек, а потом выяснилось, что их было 334 000. Теперь IRS говорит, что это вдвое больше; У 724 000 человек налоговые декларации были украдены преступниками с помощью этой функции веб-сайта Get Transcript. Было отправлено больше писем и выпущено больше бесплатного кредитного мониторинга. В IRS есть целый отдел под названием Отдел уголовных расследований IRS, а в самой IRS работает более 2000 специальных агентов, которые специально расследуют налоговые махинации. Эти специальные агенты будут работать с ФБР, секретной службой, национальной безопасностью и местной полицией, чтобы выследить и поймать этих преступников.
Но поскольку сокращение бюджета ударяет по IRS, это означает, что около 4% специальных агентов теряют работу каждый год. Чем меньше расследований, тем меньше арестов. Отдел уголовных расследований IRS открывает около 35000 дел в год и фактически ловит и осуждает около 3000 человек в год. Узнали ли они, кто это сделал, и привлекли ли они их к ответственности? Я не уверен. Однако вот что я нашел. Министерство юстиции выпускает пресс-релиз каждый раз, когда кто-то выносится приговор за мошенничество с возмещением украденной личности. В нем перечислены сотни и сотни дел, начиная с 2010 года. Я начал просматривать его, просматривая записи дел, даты и преступления, чтобы найти что-нибудь, совпадающее с этим. Вещи начали появляться. Вероятно, самым крупным из них, которого я видел, был нигериец, которого поймали и приговорили к пятнадцати годам тюрьмы за осуществление одной из самых крупных схем налогового мошенничества.
Вот что произошло: группа людей в штате Орегон сообщила, что кто-то подал за них возврат налога. Группа уголовного расследования IRS изучила это и обнаружила, что кто-то мошенническим образом подавал налоговые декларации для людей в Орегоне и забирал все их возмещения. Они проследили эту деятельность до нигерийца по имени Казим, который жил в Мэриленде. Они арестовали его и нашли в его доме 150 предоплаченных кредитных карт, 40 000 долларов денежными переводами и 14 000 долларов наличными. В ходе суда они узнали, что произошло. Казим приобрел личную идентификационную информацию у вьетнамского хакера, в частности, 259 000 записей у компании в Орегоне. Возможно, вьетнамский хакер украл базу данных кредитного агентства или медицинского учреждения в Орегоне.
Затем Казим использовал эту информацию, чтобы выполнить Get Transcript на веб-сайте irs.gov, а также получить PIN-коды с веб-сайта для подачи налоговых деклараций для этих людей. Он подал 10 000 налоговых деклараций, что привело бы к получению 91 000 000 долларов, если бы он получил все декларации, но многие из них не были приняты. Ему удалось вернуть только 11 000 000 долларов за счет мошеннических возвратов. Чтобы сбить полицию с толку, он переправил большую часть денег через Нигерию, а затем обратно к себе. На него работали еще пять человек, все они были арестованы и посажены в тюрьму. Возможно, этот парень, Казим, был одним из самых крупных игроков в этой бреши, но я не думаю, что он был единственным. Просматривая другие аресты на веб-сайте Министерства юстиции, я вижу еще несколько, на этот раз даже ближе к дому.
Есть парень из Техаса, которого поймали и арестовали за то, что он мошеннически использовал функцию «Получить выписку», собирал информацию о людях и подавал для них налоговые декларации. Он был приговорен к двум годам лишения свободы. Затем была пара из Джорджии, которая была арестована за использование функции «Получить выписку» и получила возврат налогов на сумму более 1 000 000 долларов. Их обоих тоже посадили в тюрьму на несколько лет. Затем был еще один парень в Техасе, который также был пойман на использовании функции «Получить выписку» и тоже подавал ложные налоговые декларации. На самом деле, когда я начал выяснять, кто подает подобные мошеннические налоговые декларации, основание этой истории начало выпадать. Возьмем, к примеру, случай Даниэлы. Она 27-летняя экзотическая танцовщица из Тампы, штат Флорида, но ее арестовали за налоговое мошенничество. Она украла более 1 000 000 долларов в качестве возмещения налогов у людей, которых она не знала.
Она продолжала избегать наказания в течение четырех лет. На самом деле, в некоторых кругах она известна как пионер в этом деле. Она устраивала что-то под названием дроп-вечеринки. Здесь вы собираетесь и обмениваетесь тактиками, украденными личными данными и обучаете других, как это делать. В конце концов ее поймали и посадили в тюрьму.
Вы можете думать, что это не ваша проблема, это проблема IRS, но если вы рассчитываете или ожидаете большую налоговую декларацию, а кто-то другой получает ее вместо вас, теперь это ваша проблема. Конечно, IRS может потратить шесть месяцев на расследование и вернуть вам деньги, но эта задержка может стать кошмаром. Мы должны защитить себя. IRS вернула функцию «Получить выписку» на веб-сайте, и теперь для ее получения требуется дополнительная информация, например, вам нужно знать номер своего ипотечного счета и номер телефона, чтобы получить выписку. Но вы можете видеть, что этот метод аутентификации начинает показывать свой возраст и может больше не быть безопасным, потому что информация, которую знаете только вы, теперь известна хакерам по всему миру. Кто знает, что было украдено при взломе EquiFax? Может быть, вся база данных. Это могло раскрыть всю нашу секретную информацию, что полностью аннулировало бы KBA. Система KBA используется не только в IRS.
Они разрабатывают чрезвычайно продвинутые фильтры и алгоритмы для обнаружения мошенничества и проделали потрясающую работу по его устранению. Но это одна из тех вещей, которые никогда не снизятся до нуля, потому что мошенники будут постоянно искать лазейки или слабые меры безопасности и использовать их при любой возможности. Я не могу представить себе кошмар попыток обезопасить IRS. Поскольку он собирает более трех триллионов долларов налоговых поступлений в год, это горячая цель. IRS видит бесконечное количество нападений, мошенничества, мошенничества и воров, особенно во время налогового сезона, когда преступники могут попытаться спрятаться за массой отправляемых налоговых деклараций. Одна из самых больших проблем с веб-сайтом IRS заключается в том, что он должен быть достаточно простым для использования пожилыми людьми, но в то же время действительно безопасным. Я не уверен, что вообще выполнимо заставить всех регистрироваться с помощью электронной почты или двухфакторной аутентификации.
Это настолько сложная проблема, что у меня на самом деле голова болит, пытаясь найти решение этой проблемы. Это новый ландшафт угроз, с которыми приходится сталкиваться правительствам, и эти атаки становятся все более масштабными и изощренными. В 2016 году мы увидели целый ряд взломов компаний, и украдены были просто их налоговые отчеты W-2. У бывших и нынешних сотрудников CGATE и Snapchat были украдены их W-2, что было достаточной информацией для этих уличных банд, чтобы подавать декларации и открывать кредитные карты на ваше имя.​
 
Сверху Снизу