澳洲ATO 揭露欺诈者利用安全漏洞索取 5.57 亿澳元退税

在澳大利亚澳洲新闻



ATO 向 ABC 承认，欺诈者在过去两年中利用该机构身份检查系统中的明显安全漏洞窃取了超过 5 亿美元。

去年 12 月，美国广播公司 (ABC) 的一项调查揭露了犯罪分子如何通过创建虚假的 myGov 账户并将其与真实纳税人的税务档案关联起来，未经授权访问 ATO 数据。

该报告揭示了犯罪分子如何利用从 Medibank 和 Optus 等备受瞩目的违规行为中窃取的信息来绕过 ATO 使用的安全检查，以及该机构如何未能识别其管理的账户上的一些欺诈活动。

根据信息自由申请，ATO 透露，在不到两年的时间里，欺诈者通过欺骗税务局身份检查和侵入真实纳税人的 ATO 账户，诈骗了超过 5.57 亿澳元。

欺诈者在 2021-22 财年通过虚假商业活动报表 (BAS) 和退税索赔诈骗了超过 2.37 亿美元。诈骗案涉及7500多名纳税人的档案。

在上一财年，这一数字激增至 3.2 亿美元，涉及 8100 个纳税人账户。

然而，澳大利亚广播公司了解到，许多纳税人发现他们的退税申请已被支付给欺诈者，包括通过银行账户支付，这些银行账户已被犯罪分子迅速清空并关闭，导致银行无法冻结资金。

最新数据截至 2023 年 2 月，因此欺诈总金额可能高于 5.57 亿美元。

七个月来，澳大利亚税务局一直拒绝澳大利亚广播公司披露犯罪分子利用该漏洞窃取了多少钱的要求，理由是披露信息的危险性和该要求的“复杂性”。

数据的公布显示，当ABC调查小组首次揭露这起欺诈案时，ATO并没有准确的数据。即使现在，ATO 也只能说，被骗的 5.57 亿澳元中的“很大一部分”是专门通过 myGov 漏洞使用的。

ATO 副局长 Jeremy Hirschhorn 告诉 ABC，“识别这种特殊类型的欺诈行为很困难，因为过度链接和事先调整通常都是合法的”。

当新的 myGov 账户链接到现有税务账户时，ATO 指的是“重复链接”。

与 Medicare 等其他政府机构相比，ATO 对 myGov 链接的身份要求要低得多。

Hirschhorn 先生为 ATO 的设置进行了辩护，称其“在大多数纳税人容易访问的系统和难以访问的具有犯罪意图的系统之间取得了平衡”。

高度关注 myGov 黑客攻击

纳税人无意中发现了许多虚假退税索赔和欺诈性付款。

这是因为付款是由联邦政府而不是个人纳税人支付的，而且虚假申报表通常是在七月初或在财政年度间歇期、纳税人提交年度申报表之前提交的。

Hirschhorn 先生表示，ATO 最近更加关注重复链接问题，并正在加强打击此类欺诈行为的能力。

ATO 还实施重复链接算法分析以发现可疑行为。

Hirschhorn 先生表示，该模型将标记“银行账户信息的重复更改；联系方式的更改（例如电子邮件地址、电话号码、家庭住址）；以及突然提交以前从未发生过的多项调整。通过”。

该机构建议纳税人监控他们的 ATO 文件，并确保他们当前的手机号码已注册，以便在链接新的 myGov 帐户时可以收到短信。

但在 ABC 揭露的至少一个案例中，诈骗者更改了 ATO 备案的一位名叫 Sue（化名）的墨尔本女子的手机号码，但她没有收到通知。

此外，昆士兰男子Lindsay（化名）的账户在上个月被非法访问3次，每次账户被盗后14至31小时他都会收到短信提醒。

欺骗攻击者更改了 Lindsay 的银行和电子邮件详细信息，并提出了总计 13,000 美元的费用索赔，他说 ATO 在一周内就取消了索赔。

和苏一样，林赛的帐户现已被锁定。他只能通过致电 ATO 并安排为期两天的临时解锁来访问该帐户。但林赛表示，第三次黑客攻击发生在该账户本应被锁定的情况下。

当他向税务局提出质疑时，他说：“ATO的人告诉我，48小时不包括周末。”

“他们不知道要注意什么”

ATO表示，它鼓励纳税人通过“主动登录并寻找任何可疑的东西”来保持良好的“网络卫生”，就像他们监控自己的银行账户一样。

然而，受害者质疑澳大利亚税务局不愿提醒他们注意这些迹象。

ATO 坚称，披露这些信息只会鼓励更多恶意行为者利用该系统，但澳大利亚国立大学密码学教授 Vanessa Teague 博士表示，“犯罪分子当然已经知道这些漏洞。”

“唯一被蒙在鼓里的是普通纳税人。如果他们不知道要注意什么，你就不能指望他们会留意欺诈行为。”

赫希霍恩先生为澳大利亚税务局在公开披露网络犯罪细节方面保持沉默进行了辩护。

但蒂格博士表示，澳大利亚税务局“以透明的方式告知公众损失了多少钱，并警告普通人应警惕的欺诈模式”，这无助于潜在的欺诈者。

“保密并不能防止欺诈。”

ATO 发现的大多数 myGov 欺诈行为并未被 ATO 的合规程序发现，而且报告的金额往往较低（通常每次索赔不到 5,000 美元）。


http://www.abc.net.au/news/2023 ... ime-fraud/102632572

评论
我觉得论坛里有人会在ATO这样做

评论
myGov / ATO垃圾邮件网站，注销也没有清除缓存/cookie，从mygov到ATO登录第二个帐户，它仍然是看到的第一个帐户。

评论
将会无限循环


评论
收集一些钱并把它送出去，

评论
澳大利亚政府破IT泄密的事屡见不鲜：晕：

评论
如果这样推动第三阶段减税，那么中高收入者的退税就不是每人一两千了，钱到时候不是应该被黑客拿走吗？

评论
这都是小事，ATO副局长的儿子随便骗走了1.65亿澳元

评论
这种新开立的银行账户应该很容易被锁定和追踪。有了这个账号，警察就找不到人了？

评论
太糟糕了

评论

这使用这些 ID 来泄漏

评论

你不会指望黑客会实名开设账户吧？估计背后有复杂的洗钱流程。

评论
从澳大利亚电信公司到政府机构，它在各种黑客和诈骗者眼中都是一块大蛋糕。 。 。

评论
关联ATO账户是最麻烦的
要提供 5 种信息中的 3 种，我记得 5 个选项是退税银行帐号、养老金帐号、PAYG 金额、地址
这个骗子能联系上吗？

评论
赶紧屏蔽

评论
我要告诉ato，如果你追不回钱，我就不交税
< BR>评论
去年我的税号也被盗了，申请退税1万元。结果我的真实退税还在审核中。

评论
真的太糟糕了

评论

您找到了吗，还是 ATO 通知您的？ ATO 是否对欺诈性退税的损失承担责任？ ATO 是否采取了任何措施来防止您的税号发生类似情况？比如给你一个新的税号什么的？谢谢，

评论

20年前曾被盗过一次。当时我就人肉去找ato，说税号被泄露了，他们会处理。那时，这对我没有影响。
我也忘记了我是怎么发现的。那时距离学生时代已经过去太久了。

评论
最大的漏洞之一是澳洲银行账户没有与账户所有者姓名关联

评论< BR> >
应该是关联人的账号和密码被盗了
文章的意思应该是，你可以将关联的手机号码更改为其他号码，然后重置密码

以后可能用Mygovid登录会更好

评论

当我去找会计师退税时，她查了记录，发现我已经申请了退税。随后两人商量，发现税号被盗了。当时，被盗的退税申请尚未获得ATO批准。 ATO 没有采取任何行动，也没有给我新的税号。
澳洲中文论坛热点