国家税务安全意识周,第 4 天:安全峰会提醒税务专业人士,新冠疫情会增加数据盗窃风险;并提供提示信息以及说明常见的骗局
IR-2021-239,2021 年 12 月 2 日
华府 — 美国国税局、州税务机构和国家税务行业今天提醒税务专业人士,他们面临着来自网络犯罪分子的额外安全风险,网络犯罪分子会利用新冠疫情和网络钓鱼诈骗来窃取敏感的客户信息。
安全峰会合作伙敦促税务专业人士关注安全问题,并确保他们采取重要步骤来保护他们的信息,包括使用多因素身份验证和使用虚拟专用网络来防止数据丢失。 安全峰会合作伙伴提醒各级别的税务专业人士,他们需要制定安全计划。
这个提示国家税收安全意识周的一部分。该宣传周现已进入第六个年头,旨在提高纳税人、企业和税务专业人士对身份盗用和数据安全措施的认识。随着 2022 年纳税申报季的临近,这项工作现在尤为重要,因为身份窃贼试图窃取敏感数据以提交欺诈性税表。
“我们最近一直看到针对税务专业人士及其持有的敏感信息的诈骗和安全风险。”美国国税局局长Chuck Rettig 表示, “身份窃贼不断改进手法,并利用新冠疫情和其它手段来针对税务专家并获取他们的数据。我们敦促带报税人甄别这种不断变化的威胁。税务专业人士需要采取重要的安全措施,这样有助于避免对他们及其客户造成毁灭性破坏的安全漏洞。”
随着国税局和安全峰会合作伙伴采取重要措施加强对网络犯罪的防御,身份窃贼越来越多地转而针对税务专业人士,以他们的办公室和系统为目标。窃贼们盗窃税务专业人员的数据,并用此提交欺诈性税表。
峰会合作伙伴提醒税务专业人士核查他们的安全措施。国税局出版物 4557《保护纳税人数据》(英文),作为一个起步指南,为税务专业人士提供了保护客户的基本步骤。
安全峰会还创建了“税收-安全-协同”清单,以帮助税务专业人士确定他们应该采取的基本步骤。由于新冠疫情,越来越多的报税员在家或偏远地区工作,这些措施对于保护税务数据变得更加重要。
基本保护 ——“安全六步走”措施
这些简单的步骤可以对税务专业人士和纳税人产生很大的影响:
为所有数码产品、电脑和手机使用防病毒软件并将其设置为自动更新以确保系统安全。
使用防火墙。防火墙有助于保护计算机免受外部攻击,但无法在用户意外下载恶意软件(例如,防止网络钓鱼电子邮件诈骗)的情况下保护系统。
使用多重身份验证来保护所有在线帐户,尤其是税务产品、云软件提供商、电子邮件提供商和社交媒体。
备份敏感文件,尤其是客户端数据,以保护外部资源,例如外部硬盘驱动器或云存储。
加密数据。税务专业人士应考虑使用驱动器加密产品进行全驱动加密。这将加密所有数据。
使用虚拟专用网络 (VPN) 产品。随着越来越多的从业者在新冠疫情期间远程工作,VPN 对安全连接至关重要。
使用多重身份验证保护税务账户
2021 年,面向税务专业人士的所有在线报税产品都包含使用多因素身份验证的选项。安全峰会敦促所有税务专业人士在 2022 年申报季节临近时使用此选项。
从业者可以将通过 Google Play 或 Apple Store 提供的现有的认证应用程序下载到他们的手机上。这些应用程序将生成一个安全代码。代码也可能发送到准备者的电子邮件或文本中,但国税局指出,这些不如身份验证应用程序安全。在搜索引擎中搜索“身份验证应用程序”以了解更多信息。
使用虚拟专用网络保护远程站点
VPN 提供安全、加密的隧道,以通过互联网和公司网络在远程用户之间传输数据。随着新冠疫情期间远程办公或在家工作,VPN 对保护和保护互联网连接至关重要。
不使用 VPN 会增加网络窃贼远程接管的风险,犯罪分子只需访问员工的远程互联网即可访问税务专业人员的整个办公网络。
税务专业人士应尽可能寻找网络安全专家。从业者还可以搜索“最佳 VPN”以找到合法供应商,或者主要技术站点通常会提供顶级服务列表。请记住,切勿点击宣传安全产品的“弹出”广告。这些一般都是骗局。
避免网络钓鱼诈骗,有些试图骗取电子报税识别号码 (EFIN)
钓鱼邮件一般都有紧急信息,比如“您的账户密码已过期”。它们将用户引导到看起来很正式的链接或附件。但该链接可能会将用户带到一个伪装成可信来源的虚假网站,并要求用户提供用户名和密码。或者,附件可能包含恶意软件,该恶意软件会秘密下载跟踪击键的软件,并允许窃贼最终窃取所有税务专家的密码。
请记住,诈骗电子邮件可以通过获得电子报税识别号码 (EFIN)信息来针对税务专业人士。示例,一封钓鱼邮件说它来自“国税局电子报税”,并带有“在电子报税之前验证您的 EFIN”的主题行。
美国国税局警告税务专业人士不要理睬这些类型的电子邮件中要求完成的任何步骤,尤其不要回复电子邮件。虚假电子邮件的正文指出:
为了帮助保护您和您的客户免受未经授权/欺诈活动的影响,美国国税局要求您在通过我们的系统传输税表之前验证所有授权的电子报税创建者。这意味着在您电子报税之前,我们需要验证您的电子报税识别号码 (EFIN)和驾照。
请您准备好EFIN 注册通过确认函(日期为过去 12 个月内的 5880C 信函)的PDF 副本或图像,或国税局 EFIN 申请摘要的副本,申请摘要可以在 IRS.gov 的电子服务帐户中找到,以及驾驶执照正反面副本,通过电子邮件发送以完成验证过程。电子邮件:(假电子邮件地址)
如果您的 EFIN 未通过我们的系统验证,您的电子报税权限将被禁用,直到您向国税局提供您的凭证文件,证明您具备跟国税局电子报税的资质。
© 2021 电子报税。版权所有。商标
2800 E. Commerce Center Place, Tucson, AZ 85706
收到骗局的税务专业人士应将电子邮件保存为文件,然后将其作为附件发送至phishing@irs.gov。他们还应该通过www.tigta.gov通知财政部税务管理监察长(TIGTA)报告冒充国税局的骗局。 这样TIGTA 和国税局刑事调查部门才都会知会这个骗局。
上述案例中的骗局与所有网络钓鱼电子邮件诈骗一样,试图诱使接收者采取行动(打开链接或附件),如果不行动将导致某种后果(比如禁用帐户)。链接或附件可能被设置为窃取信息或将恶意软件下载到税务专业人员的电脑上。
在这种情况下,税务编制者被要求通过电子邮件发送文件,向窃贼披露他们的身份和 EFIN。窃贼可以利用这些信息冒充税务专业人士来提交欺诈性申报表。
税务专业人士还应了解其它常见的网络钓鱼诈骗,这些诈骗会寻求 EFIN、报税员税务识别号 (PTIN) 或电子代报税用户名和密码。
有的窃贼也冒充潜在客户,成为目前特别有效的骗局,因为在新冠疫情期间有非常多的远程交易。窃贼可能会反复与税务专业人员互动,然后发送一封带有附件的电子邮件,声称包含他们的税务信息。
附件可能包含恶意软件,允许窃贼跟踪击键并最终窃取所有密码或接管计算机系统的控制权。
一些网络钓鱼诈骗是勒索软件计划,其中窃贼控制税务专业人员的计算机系统并绑架数据,直到支付赎金为止。联邦调查局 (FBI) 警告不要支付赎金,因为窃贼会将数据加密。
建立安全计划和数据盗窃计划
国税局和安全峰会合作伙伴提醒税务专业人士,联邦法律要求他们制定书面信息安全计划。除了所需的信息安全计划外,税务专业人士还应考虑制定应急响应计划,以防他们遇到数据泄露和数据被盗的情况。这一节省时间的步骤应包括国税局公共事务联络处的联系信息,他们是向国税局和各州报告数据盗窃的第一联系人。
国税局出版物 5293《税务专业人员数据安全资源指南》(英文),提供了 IRS.gov 上可用的数据盗窃信息的汇编,包括报告流程。
作为安全峰会合作伙伴,美国国税局、州税务机构、私营部门税务行业,包括税务专业人士,以帮助保护纳税人免遭身份盗用和退款欺诈为己任。这是为期一周的一系列提示(英文)中的第四个,旨在提高对身份盗用的认识。
有关更多详细信息,请参阅 IRS.gov/securitysummit。此外,请在此处(英文)查看关于国家税务安全意识周的最新“近距离观察”专栏。
