这是Nudata Security客户成功总监Ryan Wilk的来宾帖子
今年的人事管理和国税局数据泄露办公室已成为非常普遍的头条新闻。但是,当涉及政府违规时,由于所涉及的数据数量和类型以及受影响的人数的数量和数量,这种影响可能会造成损害巨大。就国税局而言,超过22万纳税人可以访问其帐户,并提交了欺诈性回报,而黑客尝试了另外170,000户家庭,这表明黑客至少有部分敏感的个人信息。这是在已经确认的黑客帐户的顶部,将总计达到超过50万人受黑客攻击或面临风险的纳税人。
像许多其他美国人坐下并在线完成纳税申报表一样,迈克尔·卡斯珀(Michael Kasper)被阻止提交,因为该系统已经在一周前注册了纳税申请。作为一名安全专家,卡斯珀分享了他的故事,并调查了他的帐户如何被破坏以及结果发生了什么。
当他报告该问题时,美国国税局同意他可能是欺诈的受害者,而折扣计划被计划发布,无法取消。但是,由于保密法规,美国国税局无法共享有关将要在何处发布的信息,直到他们完成自己的审计为止 - 规则也禁止他们与执法部门或可能寄出资金的银行共享信息。卡斯珀不准备把它留在那儿。
黑客已经使用了IRS网站上的GET成绩单工具来获取有关纳税人的信息,以便他们可以提交税款。 GET成绩单工具允许用户在很少的信息中索取前几年的纳税申报表。尽管在线版本已关闭,但通过网站获得纸质副本,仅需要SSN,出生日期和上次纳税申报表中的地址。他们将Kasper(和其他)锁定在电子系统之外,但Kasper能够获得一份纸笔录,证实了骗子知道的知识,并给了他银行帐户中的领先地位,这笔钱已存入其中。
凭借其先前的回报和SSN,婚姻状况,出生日期,真实地址甚至他的薪水的副本,他们可以完成税收表和绕过基于知识的身份验证问题,有些人认为这也可能是自动化的。
然后,小偷不得不弄清楚如何在没有被注意到的情况下真正获得钱。那么,他们是怎么做到的?一个有趣的可能性是,黑客发现了少量资金的地面管道。就卡斯珀(Kasper)而言,被盗的纳税税被存入一个小帐户,有人从克雷格斯(Craigslist)雇用的人定期将钱从该国出发。
骗子成功地做到了300,000次。
组装必要数据,通过获取成绩单请求以及随后自动纳税申报文件的规模提出了一项经过深思熟虑的计划,该计划将利用IRS自身的机密性规则,并在雷达下足够低以使其在雷达下飞到足够低的范围,以提醒他们用来筹集资金的银行机构。
我们不再谈论地下室的几个家伙,从而从被盗的信用卡中进行了一些小变化。出于所有意图和目的,这是一种像企业一样运行的设置 - 一项大型犯罪分子的初创公司组织和运行长期骗局。
所有这些都完全取决于基于知识的身份验证问题,该问题可能会因强大的计算机黑客攻击而破坏。我们目睹的是有成就的黑客组织的兴起,这些组织将继续获利并利用个人,直到我们停止在每个门上使用相同的锁。没有KBA,该计划就会失败,然后骗子才能进入个人税收帐户。
国税局知道它需要改变其安全措施,毫无疑问,这是努力工作的。但是,它需要遵循大型电子商务公司和金融机构的负责人,他们已经认识到KBAS的失败并转向用户行为分析(UBAS)(UBAS),也称为行为生物识别技术,或者其其他安全措施可能徒劳无功。有关UBA的工作方式的更多信息,请阅读白皮书这里。
免责声明:Biometricupdate.com博客已提交内容。此博客中表达的观点是作者的观点,不一定反映了Biometricupdate.com的观点。
