ABD'de vergi beyanı için son tarih olan 15 Nisan 2024 yaklaşırken, vergiyle ilgili bazı eski ve bazı yeni dolandırıcılıklar hem vergi mükelleflerini hem de vergi uzmanlarını hedef alıyor.
Vergi mükelleflerini hedef alan vergiyle ilgili dolandırıcılıklar
Vergi mükellefleri kişisel federal gelir vergisi beyannamelerini vermek için acele ederken, dolandırıcılar insanları kendilerine para göndermeleri veya hassas özel bilgileri dağıtmaları için kandırmak için bu kargaşadan yararlanıyor.
İç Gelir Servisi (IRS), vergi mükelleflerini yaygın IRS taklit dolandırıcılıklarının yanı sıra yeni dolandırıcılıklar konusunda da uyarıyor.
“[A] Yeni plan, bir teslimat servisinden karton zarf içinde gelen bir postayı içeriyor. Ekteki mektubun IRS künyesini, iletişim bilgilerini ve IRS'ye ait olmayan bir telefon numarasını içerdiğini ve bildirimin 'talep edilmemiş geri ödemenizle ilgili' olduğunu belirten ifadeyi içerdiğini” belirtti.
Başka bir dolandırıcılık, telefon görüşmelerini içerir: IRS ajanları gibi davranan dolandırıcılar, kurbanları arar ve onları borçlu olduklarına ikna etmeye çalışır. Çoğunlukla yeni göçmenleri hedef alıyorlar, bazen onlarla ana dillerinde iletişime geçiyorlar ve ödeme yapmamaları halinde onları tutuklama, sınır dışı etme veya lisanslarının askıya alınmasıyla tehdit ediyorlar. (Vergi borcunuz varsa, IRS önce size bir fatura e-postası gönderecektir.)
IRS'nin uyardığı vergiyle ilgili bazı ek dolandırıcılıklar:
- Vergi kimlik hırsızlığı – Dolandırıcılar, vergi beyannamesi veya işsizlik tazminatı vermek ve para iadesi talep etmek için kişinin kimlik numarasını kullanır
- Kimlik dolandırıcılığı – Dolandırıcılar, mağdurların kişisel ve finansal bilgilerini ifşa etmelerini sağlamak için IRS gibi davranan ikna edici e-postalar gönderir
- Etik olmayan vergi beyannamesi hazırlayıcıları (“hayalet” vergi hazırlayıcıları olarak da bilinir)) – Vergi hazırlayıcısı gibi davranan ancak hizmet için ödeme almasına rağmen gerçekte vergi mükellefi adına vergi beyannamesi vermeyen kişiler. Veya bunu yaparlarsa, geri ödemeleri vergi mükellefinin hesabı yerine kendi banka hesaplarına yönlendirirler.
Bazen dolandırıcılar, çevrimiçi vergi beyanı yardımı arayan kişilerden de yararlanmaya çalışır.
“İnsanlar iletişim kurmaya çalıştıkları bir işletmenin telefonunu veya iletişim numarasını aramak için sıklıkla Google'a gider. Dolandırıcılar bunun çok iyi farkındadır ve arama sonuçlarının en üstünde görünmek için reklam satın alırlar,” diye Malwarebytes araştırmacısı Jérôme Segura yakın zamanda uyardı.
Örneğin, “IRS desteği” araması yaparken, sahte bir “IRS Destek Hattı” web sitesi için poz veren bir reklam görünebilir.
“Reklamda adı geçen web sitesinden bahseden bir referans, sitenin 2016 yılında var olduğunu iddia ederken, whois kayıtları alan adının yalnızca 2023 yılında oluşturulduğunu gösteriyor. Yaralanmaya hakaret eklemek için aynı referans, farklı bir alan adının tanıtımını yapmak için de kullanıldı.” bu özel dolandırıcılıktan bahsetti.
Aynı reklam tekniği, siber suçluların kullanıcıların cihazlarına erişmesine, hassas bilgileri çalmasına, fidye talep etmek için dosyaları şifrelemesine veya cihazı bir bot'a dönüştürmesine olanak tanıyan kötü amaçlı yazılımlarla dolu olabilen, bozulmuş vergi beyannamesi yazılımını göndermek için kullanılabilir.
Vergi profesyonelleri de hedefleniyor
IRS, vergi uzmanlarını, siber suçluların e-posta yoluyla potansiyel müşteri gibi davranarak vergi hazırlığı konusunda yardım aradığı “yeni müşteri” dolandırıcılığı konusunda uyardı.
“Bu kimlik avı e-postası, dolandırıcının vergi bilgileri olduğunu iddia ettiği kötü amaçlı bir bağlantı veya ek içeriyor. Vergi uzmanı bağlantıya tıkladığında veya eki açtığında, dolandırıcı, vergiyi hazırlayanın e-posta adresine, şifresine ve muhtemelen diğer bilgilerine erişim elde ediyor,” diye belirtti IRS.
“Bazı dolandırıcılar, kendi sistemlerine ve müşterilerinin verilerine erişim sağlamak için vergi uzmanının bilgisayarına kötü amaçlı yazılım da yükleyebilir. Dolandırıcılar, müşterileri hedeflemek için vergi uzmanının ele geçirilen e-posta hesabını da kullanabilir.”
Başka bir dolandırıcılık, saldırganların Elektronik Dosyalama Kimlik Numaralarını (EFIN'ler) çalmak amacıyla vergi uzmanlarıyla e-posta yoluyla iletişime geçmesini içeriyor.
“Dolandırıcılar vergi yazılımı sağlayıcısı gibi davranıyor ve vergi beyannamelerini iletmek için gerekli bir doğrulama kisvesi altında vergi uzmanlarından EFIN belgeleri talep ediyor. Bu hırsızlar, müşteri verilerini ve vergi hazırlayıcılarının kimliklerini çalmaya çalışarak, geri ödemeler için sahte vergi beyannameleri sunma potansiyeli yaratıyor” diye açıkladı kurum.
Kendinizi nasıl korursunuz?
Kendilerini vergiyle ilgili dolandırıcılıklardan korumak için vergi mükelleflerine şunları yapmaları tavsiye edilir:
- Vergi beyannamesini doldurmadan önce Kimlik Koruma PIN'i isteyin
- Meşru IRS web sitesine eriştiğinizden emin olun
- Kişisel bilgileri yalnızca şifreli kanallar üzerinden paylaşın
- Yalnızca yasal vergi yazılımlarını ve vergi hazırlama hizmetlerini kullanın
- Güçlü şifreler oluşturun
- Çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin
- Vergiyle ilgili düzenleri, dolandırıcılıkları, kimlik hırsızlığını ve dolandırıcılığı derhal bildirin
IRS, asla e-posta, mesaj veya sosyal medya yoluyla kişisel/finansal bilgi veya Kimlik Koruma PIN'i istemeyeceklerini ve hiçbir zaman dava veya tutuklamayla tehdit etmeyeceklerini vurguluyor.
Vergi profesyonellerinin yeni müşterilerden e-posta alırken daha dikkatli olması gerekir. Aldıkları e-postaların içeriğini ve e-posta başlığını titizlikle incelemeleri gerekir (yazım hataları, tuhaf istekler ve ifadeler vb. olup olmadığına dikkat edin). Ayrıca şüpheli e-postaları bildirmeleri ve bu tür e-postalarda istenen eylemleri asla yerine getirmemeleri de isteniyor.
Dolandırıcılar sürekli uyum sağlıyor
“Dünya çapında pek çok ülkenin vergi beyanı verme son tarihleri hemen hemen aynı tarihlerde oluyor; Japonya'nınki 15 Mart'ta, ABD'de ise 15 Nisan'da ve bazı ülkeler (Brezilya, Kanada, Şili, vb.) Nisan ayına yakın bir tarih paylaşıyor. 30 son başvuru tarihi. Bu nedenle, dünyanın dört bir yanındaki rakipler önümüzdeki haftalarda spam e-postalarında ve sosyal mühendislik kampanyalarında vergiyle ilgili konulardan yararlanarak para çalmaya, cihazlara kötü amaçlı yazılım bulaştırmaya veya kritik kişisel bilgileri çalmaya çalışacaklar,” diye belirtiyor Jonathan Munshaw, Cisco Talos Intelligence Group'ta içerik yöneticisi.
Ancak bu, yılın bu döneminde dolandırıcılıklarda genel bir artış olduğu anlamına gelmiyor. Daha ziyade dolandırıcılık bu spesifik konuya odaklanma eğilimindedir.
“Talos'un telemetrisi, ABD'de vergi beyannamesi verme döneminde spam'ın uzun yıllardır artmadığını ve saldırganların taktiklerinin büyük ölçüde aynı kaldığını gösteriyor: İkna edici bir teklif, belge veya bağlantı oluşturmaya çalışın ve hedefi ikna etmeye çalışın. bir şekilde bu sosyal mühendislikle meşgul olun” diye açıklıyor.