Налоговый сезон — это также пик активности мошенников, занимающихся кражей личных данных. Преступники используют похищенные личные данные для подачи поддельных налоговых деклараций и получения возмещения до того, как это сделает настоящий налогоплательщик. Вот как работает эта схема и как от нее защититься.
Что такое мошенничество Identity при краже Identity (SIRF)?
Мошенничество Identity путем кражи Identity (SIRF) — это вид налогового мошенничества, при котором преступники похищают личные данные другого человека, такие как номер социального страхования и дату рождения, и используют их для подачи поддельной налоговой декларации от имени этого человека с целью получения налогового возмещения.
Мошенники обычно подают поддельную налоговую декларацию в начале налогового сезона, до того как настоящий налогоплательщик успевает подать свою, чтобы возврат налога был выплачен им, а не законному владельцу.
Деньги часто переводятся на банковские счета, дебетовые карты или адреса, контролируемые преступниками. Жертвы обычно обнаруживают мошенничество только тогда, когда их настоящая налоговая декларация отклоняется или когда налоговый орган, например Налоговая служба США (IRS), сообщает, что возврат налога уже был произведён от их имени.
Как это вообще возможно?
Пока американцы спешат уложиться в ежегодный срок подачи налоговых деклараций, скрытая экосистема в Dark Web на полную мощность, превращая налоговый сезон в прибыльный период года для международных киберпреступников. Шахак Шалев, глобальный руководитель отдела исследований мошенничества и искусственного интеллекта в Malwarebytes, заявил:
«Люди ожидают сообщений о налогах, возвратах и подаче деклараций, из-за чего фишинговые письма и поддельные уведомления от Налоговой службы США выглядят гораздо более правдоподобными. В то же время личные данные, необходимые для совершения налогового мошенничества, стоят в даркнете поразительно дешево. Неудивительно, что мошенники рассматривают налоговый сезон как ежегодную возможность для своих махинаций».
За внезапным наплывом мошеннических заявлений о возврате налогов стоит высокоорганизованная преступная цепочка, глубоко укоренившаяся в русскоязычных подпольных форумах. Эти специализированные платформы выступают в качестве основных посредников в совершении налогового мошенничества.
Вместо того чтобы собирать данные с нуля, мошенники могут просто приобрести огромные массивы украденной личной информации (PII), включая готовые к использованию формы W-2 и 1040. Для проведения более сложных операций посредники по предоставлению первоначального доступа (IAB) выставляют на аукцион прямой доступ к сетям взломанных учетных систем сертифицированных бухгалтеров (CPA) и бухгалтерских фирм.
Помимо сырых данных и доступа, эта теневая экономика предоставляет полный набор инструментов типа «мошенничество как услуга», включая услуги по изготовлению поддельных сопроводительных финансовых документов по запросу, а также специальные информационные порталы с пошаговыми инструкциями.
Злоумышленник, ищущий сообщников для мошенничества с возмещением налогов в США (на основе данных из бухгалтерского программного обеспечения) 
Злоумышленник продает доступ к базам данных бухгалтерского программного обеспечения одной из компаний, занимающихся бухгалтерским учетом 
Злоумышленник, ищущий сообщников для мошенничества с возмещением налогов в США
Черный рынок персональных данных
В эпицентре этой незаконной торговли находится один из ведущих русскоязычных подпольных форумов, который служит основной торговой площадкой, где мошенники покупают и сбывают персональные данные, связанные с налогообложением. Коммерциализация этих данных поражает своей эффективностью и функционирует во многом так же, как традиционная платформа электронной коммерции.
Наша исследовательская группа зафиксировала несколько наглядных примеров такой торговой деятельности, которые демонстрируют четкую ценовую шкалу, зависящую от актуальности данных и целевой аудитории. В одном из недавно обнаруженных объявлений злоумышленник предлагал пакет из 100 полных налоговых деклараций за 2 000 долларов — таким образом, стоимость полностью задокументированной украденной личной информации составляла всего 20 долларов.
Напротив, старые наборы данных за 2024 налоговый год продаются с большими скидками для распродажи запасов; особо конфиденциальные записи, относящиеся конкретно к состоятельным пенсионерам того периода, в настоящее время продаются по цене менее 4 долларов за одну личность.
Продажа доступа
Этот ошеломляющий объем данных, связанных с налогами, должен откуда-то поступать, и злоумышленники нашли настоящий клад: американские компании, занимающиеся подготовкой налоговой отчетности и ведением бухгалтерского учета.
С точки зрения злоумышленника гораздо эффективнее взломать специализированную компанию, которая служит централизованным хранилищем этой конфиденциальной информации, чем закидывать широкую сеть, пытаясь обманом заставить отдельных граждан раскрыть свои личные данные.
Проверьте, не были ли ваши личные данные раскрыты.
Наша исследовательская группа недавно обнаружила яркий пример применения этой стратегии на практике, выявив Dark Web , предлагающее взломанный доступ к сети американской компании, оказывающей налоговые услуги. Пострадавшая организация представляет собой небольшое предприятие — типичную мишень для преступников, ищущих легкий доступ к информации, которую можно использовать в своих целях.
Воспользовавшись этими системными уязвимостями, злоумышленник сумел незаметно проникнуть во внутреннюю инфраструктуру компании и в настоящее время выставляет на аукцион прямой доступ к базе данных, содержащей полную и крайне конфиденциальную личную информацию более 1 600 клиентов.
Дополнительные данные на продажу
Даже когда злоумышленники сталкиваются с препятствиями в процессе мошенничества — например, с отсутствием какой-либо части персональных данных или необходимости в очень конкретном финансовом документе для подтверждения личности — подпольный рынок киберпреступности предлагает полный набор услуг по запросу, позволяющих беспрепятственно решать эти проблемы.
Наша исследовательская группа отследила специализированный черный рынок под названием «Cypher – Fullz and Docs», который специализируется на продаже полных, готовых к использованию наборов украденных личных данных граждан США (в подпольном сообществе их обычно называют «fullz») по цене всего 0,75 доллара за набор.
Однако наличия базовых данных порой бывает недостаточно, чтобы обойти необходимые проверки.
Когда для легализации мошеннического требования требуются дополнительные документы, злоумышленники просто обращаются к специализированным сервисам по подделке документов, таким как «Fakelab». За символическую плату в размере от 20 до 40 долларов Fakelab работает как нелегальная студия цифрового дизайна, тщательно подделывая любые налоговые документы, которые могут понадобиться злоумышленнику, от индивидуальных форм W-2 до реалистичных выписок из банковских счетов, обеспечивая беспрепятственное проведение мошеннической операции.
Учебные материалы и рекомендации
Кульминацией цикла налогового мошенничества — и зачастую самым рискованным этапом для злоумышленника — является вывод средств. Чтобы успешно завершить аферу и вывести похищенные средства, мошенникам требуется надежная финансовая инфраструктура; как правило, они используют взломанные банковские счета-«ящики» и дополнительные финансовые инструменты, предназначенные для отмывания денег и сокрытия следов.
Неудивительно, что Dark Web предоставляет не только инструменты, но и подробные инструкции, необходимые для реализации этого ключевого этапа. Наша исследовательская группа обнаружила специальный подпольный ресурс под названием «Flava», который служит централизованным учебным центром. Эта платформа изобилует подробными пошаговыми руководствами, в которых подробно описывается, как организовать эти сложные схемы вывода средств, нацеленные на граждан и резидентов США.
Как оставаться в безопасности
Мошенничество Identity при краже Identity напоминает нам о том, что кража личных данных приводит не только к мошенническим покупкам. Она может повлиять на такие важные вещи, как подача налоговой декларации.
Киберпреступники пользуются подпольными торговыми площадками, на которых продаются похищенные личные данные, скомпрометированные учетные данные для доступа к корпоративным системам, а также инструменты, предназначенные для совершения мошенничества. Это позволяет преступникам быстрее и в больших масштабах подавать поддельные налоговые декларации.
Для налогоплательщиков лучшей защитой является ограничение объема персональных данных, доступных преступникам, своевременная подача налоговой декларации и внимательное отношение к любым признакам того, что кто-то может пытаться воспользоваться вашей личностью.
Налоговое мошенничество часто зависит от того, удастся ли преступникам сначала получить доступ к вашей личной информации. Чем меньше у них данных, тем сложнее им выдать себя за вас. Вот несколько шагов, которые помогут снизить риск:
- Подавайте налоговую декларацию заранее. Если вы своевременно подадите свою законную налоговую декларацию, преступникам будет гораздо сложнее успеть подать ее от вашего имени раньше вас.
- Берегите свой номер социального страхования. Не сообщайте его другим людям, если в этом нет крайней необходимости.
- Будьте осторожны с фишинговыми письмами и SMS-сообщениями. Мошенники часто выдают себя за сотрудников Налоговой службы США (IRS), банков или налоговых органов, чтобы выманить у людей личные данные.
- Используйте надежные и уникальные пароли. Если злоумышленники получат доступ к вашей электронной почте или финансовым счетам, они смогут собрать информацию, необходимую для того, чтобы выдать себя за вас.
- Следите за своими счетами и кредитными отчётами. Неожиданные налоговые уведомления, отклонённые налоговые декларации или незнакомая финансовая активность — всё это может быть признаками кражи личных данных.
- Подумайте о том, чтобы использовать PIN-код Identity (IP PIN) от Налогового управления США (IRS). IP PIN добавляет дополнительный этап проверки при подаче налоговой декларации, что помогает предотвратить подачу декларации от вашего имени злоумышленниками.
Примечание: эти скриншоты из даркнета были приблизительно переведены с русского языка.
Что киберпреступники знают о вас?
Воспользуйтесь бесплатной функцией сканирования цифрового следа Malwarebytes, чтобы проверить, не была ли ваша личная информация раскрыта в Интернете.
