ATO披露欺诈者利用安全漏洞冒领5.57亿澳元退税

ATO向ABC承认，在过去两年中，诈骗分子利用该机构身份检查系统中一个明显的安全漏洞，盗取了超过5亿澳元的资金。

十二月，ABC的调查揭露了犯罪分子是如何通过创建虚假的myGov账户并将其与真正纳税人的税务档案相链接，从而在未经授权的情况下获取ATO的数据的。

该报告揭露了犯罪分子如何利用从Medibank和Optus等著名信息泄露中窃取的信息绕过ATO使用的安全检查，以及该机构如何未能识别其管理的账户上的一些欺诈活动。

在信息自由申请之下，ATO披露，在不到两年的时间里，欺诈者通过欺骗税务局设置的身份检查和入侵真正纳税人的ATO账户，骗取了超过5.57亿澳元。

在2021-22财年，欺诈者通过虚假的商业活动报表（BAS）和退税申请骗取了超过2.37亿澳元。这些欺诈行为涉及7500多名纳税人的档案。

上一财年，这一数字激增至3.2亿澳元，涉及8100个纳税人账户。

然而，据ABC所知，有许多纳税人发现，他们的退税申请被支付给了欺诈者，包括通过银行账户支付，而这些账户被犯罪分子立即清空并关闭，使银行无法冻结资金。

最新的数据仅截至2023年2月，因此欺诈总额可能高于5.57亿澳元。

在长达七个月的时间里，ATO拒绝了ABC关于披露犯罪份子利用这一漏洞盗取了多少钱的请求，理由是披露这些信息会带来危险，而且请求“很复杂”。

数据公布后发现，在ABC调查组首次揭露这一欺诈行为时，ATO并没有关于这一欺诈行为的准确数据。即使是现在，ATO也只能说，在被欺诈的5.57亿澳元中，有“很大一部分”是专门通过myGov漏洞申请的。

ATO副局长Jeremy Hirschhorn告诉ABC，“识别这种特殊类型的欺诈有困难，因为重复链接（Overlinking）和事先调整都通常是合法的”。

“重复链接”是ATO对新的myGov账户链接到原有税务账户的称呼。

ATO对myGov链接的身份要求明显低于Medicare等其他政府机构。

Hirschhorn先生为ATO的设置进行了辩护，称这些设置是“在大多数纳税人易于访问系统与犯罪意图者难以访问系统之间的平衡”。

加强对myGov黑客的关注

纳税人偶然发现了许多虚假退税申请和欺诈性付款。

这是因为付款是由联邦支付的，而不是由纳税人个人支付的，而且虚假报税通常是在纳税人提交年度报税表之前的七月初或财政年度的平静期提出的。

Hirschhorn先生说，ATO最近更加关注重复链接问题，并正在加强打击这种欺诈行为和类似欺诈行为的能力。

税务局还在实施重复链接算法分析，以发现可疑行为。

据Hirschhorn先生表示，该模型将标记“反复更改的银行账户信息；更改的联系方式（如：电子邮件地址、电话号码、家庭住址）；以及突然提交的多项调整，而这些调整之前从未发生过”。

该机构建议纳税人监控他们的ATO档案，并确保登记的是他们当前的手机号码，这样当新的myGov账户被链接时，他们就能收到短信提醒。

然而在ABC揭露的至少一起案件中，欺诈者更改了一位名叫Sue（化名）的墨尔本女性在其ATO档案中的手机号码，但她没有收到通知。

另外，昆州男子Lindsay（化名）的账户在上个月被非法访问了三次，他在每次账户被盗后的14到31小时之后收到了短信提醒。

欺诈者更改了Lindsay的银行和电子邮件详细信息，并提交了总计1.3万澳元的费用申报，据他说，ATO在一周内就取消了这些申报。

和Sue一样，Lindsay的账户现在也被锁定。他只能通过致电ATO并安排为期两天的临时解锁才能访问该账户。不过Lindsay说，第三次黑客攻击发生在账户本应该是锁定状态的时候。

当他向税务局提出质疑时，他说：“ATO的人告诉我48小时不包括周末。”

“他们不知道该注意什么”

ATO表示，它鼓励纳税人保持良好的“网络卫生”，“主动登录并查找任何……可疑的东西，就像他们监控自己的银行账户一样”。

然而，受害者们质疑ATO不愿提醒他们要注意哪些迹象。

税务局坚称，披露这些信息只会鼓励更多的恶意行为者利用这一系统，但澳洲国立大学密码学教授Vanessa Teague博士说，“犯罪分子当然已经知道这些漏洞。”

“唯一蒙在鼓里的是普通纳税人。如果他们不知道要注意什么，你就不能指望他们会警惕欺诈行为。”

Hirschhorn先生为ATO在公开披露这一网络犯罪细节方面的沉默进行了辩护。

但 Teague 博士说，ATO“以透明的方式通知公众损失了多少钱，并警告普通人应该警惕的欺诈模式”并不会帮助潜在的欺诈者。

“保密并不能阻止欺诈行为。”

ATO发现的大多数myGov欺诈案都没有被ATO的合规规程发现，而且欺诈申报的金额往往很低（通常每份申报低于5,000澳元）。