El IRS emite un aviso urgente sobre estafas dirigidas a profesionales de impuestos


Los estafadores se hacen pasar por el IRS con correos electrónicos que llevan el asunto «Verificación de su EFIN antes de la presentación electrónica».

Fraude fiscal escrito en el informe de auditoría.

Imagen: designer491, Getty Visuals / iStockphoto

Con la llegada de la temporada de impuestos, el IRS ha envió un aviso terrible a los profesionales de impuestos advirtiéndoles de una nueva ola de estafas digitales que involucran a personas que intentan robar números de identificación de presentación electrónica (EFIN).

Los funcionarios de la agencia dijeron que han visto una ola de correos electrónicos falsos con el asunto «Verificación de su EFIN antes de la presentación electrónica», que pretenden provenir de «Presentación electrónica de impuestos al IRS». El IRS dijo que los profesionales de impuestos se han convertido en «objetivos principales» para los ciberataques que buscan información que facilite el robo de identidades y la presentación de declaraciones de impuestos falsificadas para obtener reembolsos.

«Las estafas de phishing son la herramienta más común utilizada por los ladrones de identidad para engañar a los profesionales de impuestos para que revelen información confidencial y, a menudo, vemos un aumento de la actividad durante la temporada de presentación de declaraciones», dijo el comisionado del IRS, Chuck Rettig. «Los profesionales de impuestos deben permanecer atentos. Los estafadores son muy activos y muy creativos».

VER: Política de protección contra robo de identidad (TechRepublic High quality)

El IRS compartió una copia de los correos electrónicos que ven los profesionales de impuestos, y señaló que insidiosamente pretenden ser de funcionarios del IRS que buscan protegerlos de «actividades no autorizadas / fraudulentas».

El correo electrónico solicita a los preparadores de impuestos que envíen «una copia en PDF true o una imagen de su carta de aceptación de EFIN (Carta 5880C con fecha de los últimos 12 meses) o una copia de su Resumen de solicitud de EFIN del IRS», así como fotos del anverso y reverso de una licencia de conducir «para completar el proceso de verificación».

La agencia creó una dirección de correo electrónico —phishing@irs.gov— y dijo que quienes reciban este tipo de correos electrónicos fraudulentos deben comunicarse con el Inspector Typical del Tesoro para la Administración Tributaria. La advertencia reconoce las dificultades de los correos electrónicos como estos debido a las consecuencias aterradoras de no enviar EFIN, pero dijo que el objetivo last es que los profesionales de impuestos hagan clic en enlaces o descarguen documentos que podrían contener malware.

En algunos casos vistos por el IRS, los estafadores fingen ser clientes en busca de ayuda y envían archivos adjuntos de correo electrónico infectados con malware que pretenden ser información fiscal necesaria. Varios casos también han involucrado estafadores que envían ransomware o rastreadores de pulsaciones de teclas.

Los expertos en ciberseguridad destacaron que la mayoría de los ataques observados en los últimos años estaban dirigidos a los consumidores, pero dijeron que se estaba volviendo cada vez más común que los atacantes superaran a las personas promedio y apunten a objetivos con más datos.

«Al apuntar a las empresas tributarias, un atacante podría obtener acceso a datos tributarios altamente confidenciales, como números de seguro social e información de cuentas bancarias para toda la base de clientes de esa empresa. Las personas acceden al correo electrónico de su trabajo en un teléfono inteligente o tableta tanto como lo hacen en un Los atacantes lo saben y están creando campañas de phishing como esta para aprovechar la interfaz móvil que dificulta la detección de un mensaje malicioso «, dijo Hank Schless, gerente senior de soluciones de seguridad de Lookout.

«A menos que toque el nombre del remitente, los clientes de correo electrónico móvil solo muestran el nombre del remitente y no la dirección de respuesta a los ataques de ingeniería social son más difíciles de detectar en el dispositivo móvil. También son más fáciles de entregar, ya que hay innumerables formas de enviar mensajes en un dispositivo móvil «.

Schless agregó que los datos de Lookout muestran que aproximadamente el 15% de los empleados de servicios financieros encontraron un intento de phishing móvil cada trimestre en 2020.

A medida que hay más información disponible en Net, ha habido una serie de atacantes que presentan reembolsos de impuestos falsos o documentos para préstamos del gobierno, especialmente en el último año, ya que los sistemas estatales y federales han tenido que lidiar con la gestión de millones de solicitudes más en plazos más cortos. .

Los ciberatacantes de todo el mundo pudieron robar miles de millones en seguros de desempleo y préstamos gubernamentales de emergencia el año pasado mientras el gobierno de Estados Unidos intentaba mantener la economía a flote con pagos directos o préstamos PPP.

«El robo de identidad es la mayor preocupación con la presentación de impuestos. Esto significa que alguien presenta los impuestos en su nombre y recibe su reembolso de impuestos. Su reclamo sería rechazado, lo que le dejaría enfrentarse a la prueba de su identidad ante el IRS y la esperanza de obtener su reembolso a otra persona. ya recopilado «, dijo Chris Morales, jefe de análisis de seguridad de Vectra.

«Normalmente, la recomendación es no compartir información personal o datos confidenciales como los números de la Seguridad Social sin embargo, debido a los hacks importantes que hemos visto en el pasado, esta información puede estar ya en la Dark Website para la venta a cualquiera que la desee».

Bob Rudis, científico jefe de datos de Quick7, dijo que los atacantes «usan un sentido de urgencia para obligarnos a ignorar nuestras defensas habituales y, si tienen éxito, el precio suele ser nuestra valiosa información personal, de salud o financiera».

«Este es un punto caliente anual en el calendario en los EE. UU. Para este tipo de estafas y solo eso debería ser un llamado a un mayor escrutinio de todas las comunicaciones entrantes. La pandemia y las nuevas posibilidades de estímulo para los estadounidenses en riesgo ha aumentado la carga sobre la necesidad de presentar la solicitud a principios de este año «, agregó Rudis.

James McQuiggan, defensor de la conciencia de seguridad en la firma de ciberseguridad KnowBe4, señaló que los ciberdelincuentes tienen una tendencia a adaptar los ataques a la temporada, ya sea Navidad, San Valentín o la temporada de impuestos.

Pero las estafas tributarias fueron particularmente peligrosas debido al tipo de información a la que los profesionales tributarios naturalmente tienen acceso. Todo lo que los ciberdelincuentes tienen que hacer es proporcionar una dirección postal o números de cuenta diferentes en un intento de embolsarse los fondos de la declaración de impuestos, agregó.

«Buscar números de Seguro Social, nombres, direcciones, correos electrónicos y, por supuesto, todos los datos de ingresos y deducción pueden proporcionar información para que el ciberdelincuente intente presentar los impuestos por sí mismo», dijo McQuiggan.

La mayoría de los expertos en ciberseguridad reiteraron el mismo consejo que se les da a los contribuyentes promedio, es decir, que el IRS nunca solo le enviará un correo electrónico o lo llamará para solicitar más información.

Los contribuyentes y los profesionales siempre deben visitar los sitios gubernamentales directamente y deben desarrollar relaciones con agencias gubernamentales que requieren una contraseña única y autenticación multifactorial, según Tom Pendergast, director de aprendizaje de MediaPro.

Schless instó a los preparadores de impuestos a capacitar a los empleados sobre este tema exacto y realizar pruebas de seguridad para ver cómo responderían las oficinas a este tipo de ataques.

Como siempre, siempre es necesario un consejo básico como verificar las direcciones de respuesta y cualquier mensaje con lenguaje amenazante relacionado con información urgente debe ser señalado con bandera roja.

«Estas estafas utilizan una multitud de escenarios a los que se enfrentan las personas y las organizaciones cada año, mientras resuelven la tarea, a menudo confusa, estresante y frustrante de averiguar cuánto deben o cuánto les reembolsará el gobierno. Este estrés y confusión sólo sirven para facilitar el trabajo de los estafadores «, dijo Erich Kron, defensor de la conciencia de seguridad en KnowBe4.

«Se esperan estafas fiscales durante el primer trimestre de cada año. Son tan inevitables como pagar impuestos».

Ver también



Enlace a la noticia primary