近日,澳大利亚税务局(ATO)对外承认,机构内部身份验证系统的一个重大安全漏洞在过去两年里被骗子利用,涉案金额超过5.57亿澳元。骗子通过创建假冒myGov账户,将其与真实纳税人的税务档案关联,从而访问ATO数据。
myGov是澳大利亚公共服务的中心平台,包括ATO,Medicare和Services Australia等都通过此进行访问。根据ABC的调查,骗子们利用从Medibank和Optus等大规模黑客攻击中窃取的凭证,规避了ATO的安全检查,并且ATO未能在其管理的账户中发现一些欺诈行为。
ATO现在承认,骗子们利用这个安全漏洞,通过欺诈性的方式,包括身份盗窃和入侵真实的纳税人ATO账户,索取了超过5.57亿澳元的财产。仅在2021-22财年,骗子们通过提交虚假的商业活动声明(BAS)和税务退款申请,就骗取了超过2.37亿澳元。此次欺诈涉及了7500多个纳税人的档案。在上一财年,这个数字更是飙升至3.2亿澳元,涉及8100个纳税人的账户。
对于ATO的这种做法,ATO副专员Jeremy Hirschhorn辩解称,这是“让大多数纳税人能方便访问系统,同时防止犯罪分子侵入系统”的一种平衡。他说:“我们正在管理可接受的风险。”
ATO已经开始加强对这种“超链接”欺诈的关注,并计划提高对此类欺诈的应对能力。ATO已调动数百名员工加入新成立的欺诈和犯罪行为小组,由副专员John Ford领导,并预计明年将有更多人力投入。
ATO还计划实施超链接的算法分析,以便检测可疑行为。ATO建议纳税人密切监视他们的ATO文件并保持电话号码的更新,这样新的myGov账户一旦被关联,他们就可以收到短信警报。
ATO也鼓励纳税人提高警惕性,并建议他们主动登录自己的账号并寻找任何可疑情况。然而对此,人们质疑ATO不愿意花费时间告诉他们应注意的迹象。
在针对ATO对这种网络犯罪细节进行保密的行为,Hirschhorn辩护称:“我们发布的信息可能会增大复制身份犯罪欺诈的风险,我们不希望进一步导致犯罪分子利用我们的系统。”
但是,澳大利亚国立大学的加密学教授Vanessa Teague表示,“骗子们早就知道如何利用系统漏洞,只有普通纳税人仍然一无所知。你不能期望人们在不知道要防范什么的情况下防范欺诈”
在大部分被ABC发现的myGov欺诈案件中,ATO的合规程序并未能检测出欺诈行为,其中大部分欺诈退款都是小额的(通常不超过5000澳元)。