IR-2019-26, ngày 4 tháng 3 năm 2019 WASHINGTON — Bằng việc giới thiệu danh sách “Dirty Dozen” hàng năm về các hình thức lừa đảo thuế, Sở Thuế Vụ hôm nay đã cảnh báo người đóng thuế về mối đe dọa lừa đảo qua thư điện tử trên internet dẫn đến việc gian lận và mạo danh liên quan đến thuế. IRS cảnh báo người đóng thuế, doanh nghiệp và chuyên gia thuế phải cảnh giác về sự gia tăng liên tục của các thư điện tử, tin nhắn văn bản, trang web giả mạo và các nỗ lực trên phương tiện truyền thông xã hội để đánh cắp thông tin cá nhân. Những sự tấn công này có xu hướng gia tăng trong mùa thuế và vẫn là mối nguy lớn của việc trộm cắp danh tính. Để giúp bảo vệ người đóng thuế chống lại những mối đe dọa này và các mối đe dọa khác, IRS nêu bật một loại lừa đảo mỗi ngày trong 12 ngày trong tuần liên tiếp để giúp nâng cao nhận thức. Các âm mưu lừa đảo qua thư điện tử đứng đầu danh sách các hình thức lừa đảo “Dirty Dozen” 2019. "Những người đóng thuế nên thường xuyên cảnh giác với những âm mưu lừa đảo qua thư điện tử này, chúng có thể rất mánh khóe và được ngụy trang khéo léo để trông giống như của IRS", Ủy viên IRS Chuck Rettig nói. "Hãy cẩn thận với thư điện tử và các hình thức lừa đảo khác mà trông giống như của IRS, hứa hẹn một khoản hoàn thuế hoặc đe dọa cá nhân mọi người. Đừng mở các tập tin đính kèm và bấm vào liên kết trong các thư điện tử. Đừng trở thành nạn nhân của việc lừa đảo qua thư điện tử hay các hình thức lừa đảo phổ biến khác". IRS cũng kêu gọi người đóng thuế học cách tự bảo vệ mình bằng cách xem xét các lời khuyên an toàn do nhóm Security Summit (tiếng Anh) chuẩn bị, một nỗ lực hợp tác giữa IRS, các cơ quan thuế tiểu bang và cộng đồng thuế khu vực tư nhân. "Việc thực hiện một số bước bảo mật cơ bản và luôn thận trọng có thể giúp bảo vệ mọi người cũng như dữ liệu tài chính và thuế nhạy cảm của họ", Rettig nói. Các biến thể mới của các âm mưu lừa đảo qua thư điện tử IRS tiếp tục chứng kiến một loạt các âm mưu lừa đảo qua thư điện tử mới và ngày càng tăng khi bọn tội phạm hoạt động để lừa gạt người đóng thuế trong suốt cả năm. Cho dù thông qua các thư điện tử trông có vẻ hợp pháp với các trang đích giả, nhưng thuyết phục, hoặc các cách tiếp cận qua phương tiên truyền thông xã hội, có lẽ sử dụng một URL rút ngắn, mục tiêu cuối cùng vẫn là giống nhau đối với những kẻ có tài lừa đảo này: đánh cắp thông tin cá nhân. Trong một biến thể (tiếng Anh), người đóng thuế bị lừa gạt bởi một âm mưu sáng tạo mà có liên quan đến tài khoản ngân hàng của chính họ. Sau khi đánh cắp dữ liệu cá nhân và khai thuế gian lận, bọn tội phạm sử dụng tài khoản ngân hàng của người đóng thuế để nhận tiền hoàn thuế qua chuyển khoản trực tiếp. Kẻ trộm sau đó sử dụng các chiến thuật khác nhau để đòi lại tiền hoàn thuế từ người đóng thuế, bao gồm cả việc khai man là từ một cơ quan thu nợ hoặc IRS. IRS khuyến khích người đóng thuế xem xét một số lời khuyên cơ bản nếu họ thấy khoản tiền gửi bất ngờ trong tài khoản ngân hàng của họ (tiếng Anh). Các âm mưu nhằm vào chuyên gia thuế, bộ phận xử lý tiền lương, nhân sự IRS cũng đã thấy các âm mưu lừa đảo tinh vi hơn qua thư điện tử nhắm vào thông tin cá nhân hoặc tài chính có sẵn trong hồ sơ của các chuyên gia thuế, nhân viên bộ phận tiền lương, nhân viên nhân sự, trường học và các tổ chức như thông tin trên Mẫu đơn W-2. Những trò gian lận được nhắm mục tiêu này được gọi là hình thức lừa đảo thỏa hiệp qua thư điện tử doanh nghiệp (business email compromise hay BEC) hoặc đánh lừa qua thư điện tử doanh nghiệp (business email spoofing hay BES). Tùy thuộc vào loại biến thể lừa đảo (và có một số loại), bọn tội phạm sẽ đặt ra tình huống như sau: một doanh nghiệp yêu cầu người nhận thanh toán hóa đơn giả giả là một nhân viên đang tìm cách định tuyến lại một hình thức chuyển khoản trực tiếp hoặc giả là người mà người đóng thuế tin tưởng hoặc nhận ra, chẳng hạn như một giám đốc điều hành, để thiết lập việc chuyển tiền qua hệ thống điện báo. IRS đã cảnh báo về biến thể chuyển khoản trực tiếp của hình thức lừa đảo BEC/BES vào tháng 12 năm 2018 (tiếng Anh) và tiếp tục nhận báo cáo về các vụ lừa đảo chuyển khoản trực tiếp tại phishing@irs.gov. Các biến thể lừa đảo Chuyển Khoản Trực Tiếp và BEC/BES khác cần được chuyển đến Internet Crime Complaint Center (IC3) (tiếng Anh) (Trung Tâm Khiếu Nại về Tội Phạm Internet). IRS yêu cầu các lừa đảo bằng Mẫu đơn W-2 được báo cáo cho: phishing@irs.gov (Subject: W-2 Scam) (Chủ đề: Lừa đảo W-2). Tội phạm có thể sử dụng thông tin đã được xác nhận trong một thư điện tử từ một cuộc tấn công lừa đảo qua thư điện tử thành công, được gọi là thỏa hiệp tài khoản thư điện tử, để gửi thư điện tử lừa đảo đến danh sách địa chỉ thư điện tử của nạn nhân. Các chuyên viên thuế nên cảnh giác với thư điện tử không mong muốn từ những người liên lạc cá nhân hay doanh nghiệp, đặc biệt là những trò gian lận thường thấy, như những lời gạ gẫm của khách hàng mới (tiếng Anh). Các thư điện tử và trang web độc hại có thể làm hại máy tính của người đóng thuế bằng phần mềm độc hại mà người dùng không biết. Phần mềm độc hại tải xuống ở nền sau, cho phép tội phạm truy cập vào thiết bị, cho phép chúng truy cập bất kỳ tập tin nhạy cảm nào hoặc thậm chí theo dõi các nét gõ trên bàn phím, để lộ thông tin đăng nhập của nạn nhân. Đối với những người tham gia vào các âm mưu này, hoạt động như vậy có thể dẫn đến hình phạt đáng kể và có thể bị truy tố tội hình sự. Cả Tổng Thanh Tra của Bộ Ngân Khố về Hành Chính Thuế (Treasury Inspector General for Tax Administration hay TIGTA), chuyên xử lý các vụ lừa đảo liên quan đến mạo danh của IRS và Phòng Điều Tra Hình Sự (Criminal Investigation Division) của IRS phối hợp chặt chẽ với Bộ Tư Pháp để ngăn chặn các vụ lừa đảo và truy tố các tội phạm đằng sau chúng. Cảnh báo chuyên gia thuế Nhiều vụ vi phạm dữ liệu trên cả nước có nghĩa là cộng đồng chuẩn bị tờ khai thuế phải cảnh giác cao độ đối với hoạt động bất thường, đặc biệt là trong mùa khai thuế. Tội phạm ngày càng nhắm vào các chuyên gia thuế, triển khai nhiều loại lừa đảo qua thư điện tử khác nhau nhằm cố gắng truy cập dữ liệu khách hàng. Kẻ trộm có thể sử dụng dữ liệu này để mạo danh người đóng thuế và nộp tờ khai thuế gian lận để được hoàn thuế. Là một phần của sáng kiến Security Summit (tiếng Anh), IRS đã phối hợp với các đại diện của ngành công nghiệp phần mềm, công ty khai thuế, bộ phận xử lý tiền lương và sản phẩm tài chính thuế cũng như các nhà quản lý thuế tiểu bang để chống gian lận hoàn thuế do mạo danh nhằm bảo vệ người đóng thuế quốc gia. Các đối tác của nhóm Security Summit khuyến khích những người hành nghề thuế cảnh giác với việc chỉ liên lạc qua thư điện tử với các khách hàng tiềm năng hoặc khách hàng hiện tại, đặc biệt nếu thấy các yêu cầu bất thường. Các vụ trộm vi phạm dữ liệu đã cung cấp cho kẻ trộm hàng triệu điểm dữ liệu nhận dạng bao gồm tên, địa chỉ, số An Sinh Xã Hội và địa chỉ thư điện tử. Nếu có nghi ngờ, người hành nghề thuế nên gọi để xác nhận danh tính của khách hàng. Báo cáo các nỗ lực lừa đảo qua thư điện tử Nếu người đóng thuế nhận được thư điện tử không mong muốn hoặc nỗ lực liên lạc qua phương tiện truyền thông xã hội mà dường như từ IRS hoặc một tổ chức có liên kết chặt chẽ với IRS, chẳng hạn như Hệ Thống Trả Tiền Thuế Liên Bang Dạng Điện Tử (Electronic Federal Tax Payment System, hay EFTPS), họ nên báo cáo việc này bằng cách gửi đến phishing@irs.gov. Tìm hiểu thêm bằng cách vào trang Report Phishing and Online Scams (Báo cáo lừa đảo qua thư điện tử và trên mạng) trên IRS.gov. Các chuyên gia thuế nhận được thư điện tử không mong muốn và đáng ngờ có vẻ là từ IRS và/hoặc có liên quan đến thuế (như những người liên quan đến chương trình dịch vụ điện tử) cũng nên báo cáo cho: phishing@irs.gov. IRS thường không liên lạc với người đóng thuế qua thư điện tử để yêu cầu thông tin cá nhân hoặc tài chính. Điều này bao gồm bất kỳ loại giao tiếp điện tử nào, chẳng hạn như tin nhắn văn bản và các kênh truyền thông xã hội.
