2021 年 6 月 29 日,IR-2021-137 華盛頓 —— 國稅局在本日持續發佈其製作的「骯髒 12 條騙術」詐騙系列,警告納稅人注意電子郵件、簡訊或社交媒體訊息和電話等形式未經預期的騙局。 不擇手段的個別人士基於與稅務相關的身份竊取目的而尋求獲取個人資訊。不論是透過電話、簡訊還是電子郵件,這些詐騙者都在嘗試讓收件人相信他們需要提供社會安全號碼、銀行帳戶或信用卡資訊或密碼。騙局還可能包括發送連結,一旦按下這些連結,就能下載會收集或「挖掘」個人資料的惡意軟體。 罪犯通常會偽裝成收件人不論是在社交或家庭關係或是業務聯絡上認識或經常互動的人士。他們從社交媒體上收集了大多數的資訊。一個人的聯絡人或「朋友」會被用來誘使收件人認為他們正在與他們認識的人往來。 關於國稅局的「骯髒 12 條騙術」清單的更多資訊均能在 IRS.gov 的特殊專區(英文)中找到。 與稅務相關的網絡釣魚詐騙持續存在 國稅局警告納稅人、企業和稅務專業人士要警惕不斷湧現的虛假電子郵件、簡訊、網站和社交媒體試圖竊取個人資訊的行為。這些攻擊在報稅季往往會增加,並且仍然是全年中身份竊取的主要原因。 釣魚詐騙利用看似來自合法來源的通訊來針對個別人士,他們會透過說服目標下載惡意軟體來收集被害人的個人及財務資料並可能感染他們的裝置。網絡罪犯通常是透過電子郵件發送這些網絡釣魚通訊,但也可能使用簡訊或社交媒體貼文或訊息。 這些網絡釣魚詐騙可能很棘手,而且經過巧妙偽裝,看起來就像是來自國稅局或來自稅務界的其他人士。提醒納稅人持續提防冒充國稅局的電子郵件和其他騙局,例如那些承諾大額退稅、錯過刺激補助金,或甚至提出威脅的騙局。納稅人不應開啟附件或按下這些電子郵件或簡訊中的連結。 針對稅務專業人士的網絡釣魚詐騙 作為安全峰會(英文)努力的一部份,國稅局警告稅務專業人士注意涉及驗證電子申報識別號碼 (EFIN)和集中授權申報(EFIN)號碼的網絡釣魚詐騙。國稅局留意到此類詐騙案件數量增加,並提供買賣電子申報識別號碼和集中授權申報的要約。 稅務專業人士通報從虛假的「國稅局稅務電子申報(英文)」收到詐騙電子郵件,並且國稅局提醒收到這些電子郵件的稅務專業人士不要打開任何附件或按下任何連結。相反地,他們應該項財政部稅務總監(英文)通報騙局。 國稅局提醒稅務專業人士保護自己免受未經授權使用電子申報識別號碼的影響。稅務專業人士不得透過出售、合併、貸款、贈與或其他方式將其電子申報識別號碼或電子納稅人識別號碼轉讓給其他實體。 網絡釣魚 —— 瞄準稅務專業人士的新客戶騙局 「新客戶」騙局對稅務專業人士仍然是普遍存在的網絡釣魚形式。以下是電子郵件形式的範例:「我剛從密西根搬來這裡。我有一個緊急的稅務問題,希望您能幫忙。」電子郵件的開頭是這麼寫的。「希望您還在收新客戶。」 電子郵件中描述其中一個附件是國稅局通知,另一個附件是潛在客戶去年的納稅申報表。這種騙局有多種變體,因此稅務專業人士應保持警惕,避免在不知道電子郵件發件人的情況下開啟附件或按下連結。 知道要留意什麼能有所幫助。下列是最近另一封新客戶詐騙電子郵件的實際範例: 冒名者來電/電話釣魚 個別人士應警惕要求提供個人財務資訊的意外電話。國稅局發現與語音相關的釣魚或稱之為「電話釣魚」的事件有所增加,尤其是與聯邦稅收留置權相關的詐騙。對於接到不預期的來電的人士,安全專家的建議是向來電者提問,但不要提供任何個人資訊。如有疑問,請立即掛斷。 2020 年間通報了將近 400 通電話釣魚詐騙,比起去年增加了 14%。在這些電話釣魚詐騙中,有 25% 是詐騙者試圖使用虛假的稅務留置權資訊。與稅務留置權相關的騙局數量從 2019 年的 58 起增加到 2020 年的 104 起,增長了 79%。國稅局鼓勵納稅人不要透過電話或線上與潛在的騙子聯絡。 雖然國稅局和聯邦貿易委員會都發現,通報自稱來自國稅局的詐騙者打電話給潛在受害者的案件數量有所下降,但該國稅局仍鼓勵納稅人保持警惕。(國稅局發現通報自稱來自國稅局的來電者的電話數量減少了 43%:2020 年為 20,500 件,而 2019 年為 36,000 件。聯邦貿易委員會發現通報的數量從 2019 年的 7,694 件下降到 2020 年的 2,571 份,下降了 67%。) 雖然數字可能正會下降,但國稅局仍鼓勵納稅人保持警惕並記住以下關於國稅局的事項: 關於未繳稅款,國稅局通常會先透過郵件聯絡人們,而不是透過電話。 國稅局可能會嘗試透過電話聯絡個別人士,但不會堅持使用 iTunes 卡、禮品卡、預付金融卡、匯票或電匯付款。 國稅局絕不會透過電子郵件、簡訊或社交媒體索取個人或財務資訊。 這些電話的接收者應該在提供任何資訊之前掛斷電話。如果有人意外接到他們認為是詐騙的國稅局電話,他們可以將事件通報給財政部稅務總監(TIGTA)(英文)。 社交媒體詐騙持續發生 納稅人應該留意社交媒體詐騙,這些詐騙經常使用新冠肺炎等事件來欺騙人們。社交媒體讓不道德的個人能夠潛伏在帳戶中並擷取個人資訊以用於對付受害者。這些詐騙者可能會冒充受害者的家人、朋友或同事來發送電子郵件。 社交媒體詐騙也導致了與稅務相關的身份竊取。社交媒體詐騙的基本要素是透過電子郵件、簡訊或社交媒體消息讓潛在受害者相信他或她正在與他們信任的親近的人往來。 透過使用個人資訊,詐騙者可能會向潛在受害者發送電子郵件,並內含收件人感興趣的內容的連結,但實際上包含了能犯更多罪的惡意軟體。詐騙者還會滲透到受害者的電子郵件和手機中,用看似真實的虛假電子郵件和簡訊來設法傷害他們的朋友和家人,例如,吸引受害者的虛假慈善機構募捐小額捐款。 個別人士應該知道,他們在社交媒體平台上公開分享的任何資訊都可以被收集並用於對付他們。規避這些騙局的一種方法是查看隱私設定並限制公開分享的資料。 勒索軟體逐漸增加 金融機構應瞭解勒索軟體的趨勢和指標,勒索軟體是一種設計用來阻止存取電腦系統或資料的惡意軟體(「惡意軟體」)。資訊科技(IT)系統上的資料或程式通常會被加密以阻擋存取,以向受害者勒索贖金換取資訊的解密並恢復受害者對其系統或資料的存取。在部份情況下,除了攻擊之外,攻擊者還會威脅要發佈受害者的敏感檔案,受害者可以是個人或企業實體。 美國財政部金融犯罪執法局(FINCEN)指出,勒索軟體對各個產業的攻擊繼續上升,特別是在政府實體以及金融、教育和醫療機構之間。勒索軟體對小城市和醫療組織的攻擊次數有所上升,這可能是由於受害者的網絡安全控制較弱造成的,例如系統備份不足和事件反應能力低下。 策略 使用勒索軟體的網絡罪犯通常會採用大規模網絡釣魚和有針對性的魚叉式網絡釣魚活動等常見的策略,誘使受害者下載惡意檔案或前往惡意網站。他們還可能利用遠端桌面協議端點和軟體漏洞,或在合法網站上託管惡意編碼實施「路過式」惡意攻擊。透過有效的網路衛生習慣、網路安全控制,以及其他最佳作法來主動避免通常是防禦勒索軟體的最佳方法。 勒索軟體攻擊者選擇瞄準大型企業以要求更高的贖金有著上升的趨勢 —— 這通常被稱為「狙擊特大獎賞」。 許多網絡罪犯正在分享資源以提高勒索軟體攻擊的有效性,例如帶有現成惡意編碼和工具的勒索軟體漏洞利用工具包。這些工具包是可以購買的,但也是有的是免費提供的。 部分勒索軟體組織也在建立合作夥伴關係,透過共享平台分享建議、編碼、趨勢、技術和非法獲取的資訊。 勒索軟體罪犯參與「雙重勒索計劃」的比例也在逐步增加,包括從目標網絡中刪除敏感資料、為系統的檔案加密並索要贖金。 勒索軟體攻擊的後果可能是嚴重而深遠的,會導致敏感、專有和關鍵資訊的遺失以及業務功能的丟失。金融中介機構在促成向勒索軟體付款以及勒索軟體攻擊方面的作用越來越受到金融產業的關注,因為金融機構在收取贖金方面扮演著重要角色。 國稅局提醒納稅人和稅務專業人士及時瞭解有關欺詐行為的新聞。立即通報任何欺詐事件。 如要瞭解更多資訊,請參閱稅務欺詐警訊(英文) 以及稅務騙局 —— 如何通報案件。
