文章
  • 文章
金融

美国国税局的网络盗窃策略可以在任何机构工作

据专家称,美国国税局(Internal Revenue Service)对超过10万份旧税收的数字窃取,揭示了黑客可以用最少的技术技能轻易打击任何联邦机构的方法。

美国国税局周二 ,可能由有组织犯罪集团支持的网络骗子通过该机构的“获取成绩单”功能获得了大约104,000名纳税人的回报。

该计划似乎是提交欺诈性纳税申报和收集非法退款的更大阴谋的一部分。

但数字窃贼实际上没有进入IRS的数据库。 他们只是使用近年来公司数据遭到破坏后在黑暗网络上交易的大量个人数据中剔除的信息来模仿个人。

专家解释说,任何拥有有价值数据的联邦机构都可能成为同一策略的牺牲品。

我认为,在其他拥有面向公众的任务的机构中重申同样战术的可能性非常高,“国家安全局运营发现中心前负责人,现任网络安全执行副总裁的吉姆彭罗斯说。坚定的DarkTrace。

安全专家指出,可以使用在线账户访问财务信息和信用报告的机构作为类似骗局的有吸引力的目标。 例如,在财政部,人们可以开设在线账户购买国库券,票据和债券。

彭罗斯说:“只要你有一个基于网络的服务,只是一个在线注册,他们就不会真正能够安全地识别你。”

家庭仓库,摩根大通和健康保险公司Anthem等主要公司的猛犸骇客已经在网络犯罪分子的指尖留下了数亿人的敏感数据。

身份安全公司IDT911的主席亚当莱文说:“你暴露的个人和财务数据对网络犯罪者来说是沉重的代价。” “一旦身份窃贼拥有您的社会安全号码,他们就拥有了您生活中的骷髅钥匙,他们可以利用它来实施所有类型的欺诈行为。”
事件发生后,美国国税局也因其薄弱的安全问题而受到抨击。

除了提供基本的个人身份信息,如社会安全号码和出生日期,网络窃贼还必须回答各种安全问题(即“你的高中吉祥物是什么?”)。

答案很容易在网上找到,黑客在大约一半的尝试获得纳税申报表上取得了成功。

“如果你有时间,如果你有这种倾向和精通计算机 - 这真的不是那么精通计算机,真的只是花时间去寻找这些数据库 - 这是一种威胁其他政府机构,“本特利大学(Bentley University)教授史蒂文韦斯曼(Steven Weisman)说,她是几本关于身份盗窃的书籍的律师和作者。

谷歌最近的一项研究 ,它自己的安全问题不过是安全的。

“他们患有一个根本性的缺陷:他们的答案要么有些安全,要么容易记住 - 但很少都是这样,”该研究得出结论。

“问题比美国国税局更大,”韦斯曼说。 “问题是认证,以获得重要的私人信息。 我们需要比密码更好的东西。 我们需要比社会安全号码更好的东西。“

但直接的替代方案是有限的

一些公司正在推动使用移动设备,数字环,指纹,视网膜扫描甚至手镯的在线认证工具。 白宫 1650万美元用于其中几项举措,希望能够更快地将它们带入更广阔的市场。

与此同时,安全研究人员正在向政府机构施加压力,以便利用可用的资源更好地保护身份验证过程。

代理商还可以在必要的个人信息之上请求发送给移动电话的代码。 或者他们可以要求实际的电话回来确认。

然而,这些都是错误的选择,而且它们很麻烦。

“在某些时候它会变得太多,人们可能会迅速反叛,”Biscom的首席执行官Bill Ho说道,他专注于安全的文件传递。

但他们可能是一个必要的邪恶。

“这是一个难题,”何说。 “为了过我们的生活,我们愿意忍受多少麻烦?”