死亡,税收和黑客:如何防止税收期间的网络攻击

请记住,人们如何在古老的日子里征税?他们收集大堆的纸质文件,填写无穷无尽的表格页面,在鞋盒中填写一堆收据 - 在提交到后 美国国税局 - 穿过他们的手指,希望他们没有忘记一些将掌握回报的东西。 (如果你太年轻了,不能回忆起这个问题,只要相信我们 - 这发生了定期。)

防止网络攻税季节

归档税收归还电子方式

幸运的是,时代已经改变了。不需要巨额圆形的硬拷贝,而不是在文件员填写并在线提交所有内容时。如果他们希望有副本进行个人记录保存,他们可以打印或保存填写形式(W-2S,1099年,1040年代,抵押贷款兴趣/税务账单,等等)。

近92% U.S.纳税人正在选择电子邮件返回。那可能出错什么?

好吧,就像死亡一样,当然,税收,我们必须接受生活中的另一个确定性:如果在线数据或金钱可以被盗,网络犯罪分子将提出来追求这件事。

毕竟,由于美国人准备档案,他们正在输入无数的高度敏感数据 - 社会安全号码,工资陈述,IRA收益,财产地址和银行账户信息等。因为他们在浏览器上这样做,他们将自己置于客户端攻击的风险,将恶意JavaScript代码注入网站以浏览数据和窃取信息。

大学教师’假设你是安全的

税务制作者和其他金融业企业的单个公民文件或IT决策者和安全专业人员都不能认为,由于各种密码政策和身份验证控制到位,一切都是“安全”。

首先,没有数据存储库是无懈可击的。 2020年7月,美国财政部财政部税务局(TIGTA) 标记的弱点 在IRS检测滥用纳税人记录的能力中,并指出“IRS无法提供存储或处理纳税人数据和个人身份信息的所有应用程序的准确清单[ pii. ]。“

当然,政府服务器只是税收数据居住的一个地方 - 我们的雇主,第三方服务和我们自己有它的副本,并且可以成为潜在的数据曝光来源。当我们的PII受到损害时,它很快就习惯于针对所有美国大规模税务业的所有层。

2月,美国国税局 警告 统治税务制作者的微妙网络钓鱼攻击,旨在窃取电子申请识别号码(EFINS)的努力,可用于批准欺诈性纳税申报表,以口袋非法退款。

网络犯罪是这种税收季节的特别紧迫的威胁,因为Covid-19大流行条件压倒了消费者(和他们的会计师),失业率,失业,保险和其他统治的诸如合理的税收影响。这种暴风雪通知,网站和形式播种和混乱,犯罪分子寻求利用。

最新的联邦调查局指出了这一趋势 IC3互联网犯罪报告,通过说“大流行期间看到的最普遍的计划之一是政府模拟者。”

税收期间防止网络攻击的最佳实践

考虑到这些风险,我们建议以下三项最佳实践来维护数字税准备和申请程序:

评估您的软件和在线纳税报告/管理服务。专业公司和个人都接受了税务软件/在线服务的便利性和效率 - 以及充分原因。但是,您需要确保服务背后的人保持强烈的可见性和控制其产品上运行的所有代码。这尤其延伸到第三方代码,其中黑客通常很容易妥协于客户的财务细节。

对于服务提供商来说,请确保了解并保护整个Web应用程序 - 不仅仅是服务器上居住的代码。您的客户在税务准备过程中直接进入其Web浏览器期间输入和传输巨大的私人数据和敏感文件。确保保护客户的Web浏览器中的Web应用程序的一部分受到保护,这些应用程序受到客户端攻击和潜在的数据泄漏,内部漏洞或供应链攻击可以通过供应商代码引入。

不要提供任何不需要或满足不必要请求的信息。美国国税局永远不会要求您的登录凭据。其代理商不会通过特定方法立即付款,例如电汇或预付借记卡。但黑客在在线交流期间作为税务官员构成,并提出这些要求。如果你被要求做这些事情,那么保持警惕和持怀疑态度 报告网络钓鱼尝试 和其他可疑活动。

我们都知道税收是不可避免的,但却被黑客击中是可预防的。我们无法阻止它们针对数字形式和返回中包含的私人信息。但是,通过获取可见性和控制税务软件/在线服务代码和Web应用程序,同时保持最新 网络钓鱼计划,我们可以使其变得困难 - 如果不是不可能 - 让他们妥协任何事情。这是我们在一年中的这个时候看到的“回报”!

分享这个