ATO披露欺诈者利用平安破绽冒领5.57亿澳元退税

herooo

ATO向ABC供认，在过来两年中，欺骗份子应用该机构身份反省零碎中一个分明的平安破绽，盗取了超越5亿澳元的资金。

c3ccvvxhlfc.jpg

12月，ABC的调查揭-穿了犯法份子是如何经过创立虚伪的myGov账户并将其与真正征税人的税务档案相链接，从而在未经受权的状况下获得ATO的数据的。

该报告揭-穿了犯法份子如何应用从Medibank和Optus等著名信息泄漏中盗取的信息绕过ATO运用的平安反省，以及该机构如何未能辨认其办理的账户上的一些讹诈活动。

在信息自在请求之下，ATO表露，在不到两年的工夫里，讹诈者经过诈骗税务局设置的身份反省和入侵真正征税人的ATO账户，欺骗了超越5.57亿澳元。

3neftkfzt02.jpg

在2021-22财年，讹诈者经过虚伪的商业活动报表（BAS）和退税请求欺骗了超越2.37亿澳元。这些讹诈行动触及7500多名征税人的档案。

上一财年，这一数字激增至3.2亿澳元，触及8100个征税人账户。

但是，据ABC所知，有许多征税人发现，他们的退税请求被领取给了讹诈者，包罗经过银行账户领取，而这些账户被犯法份子立刻清空并封闭，使银行没法解冻资金。

最新的数据仅截至2023年2月，因而讹诈总额能够高于5.57亿澳元。

在长达七个月的工夫里，ATO谢绝了ABC关于表露犯法分子应用这一破绽盗取了多少钱的要求，理由是表露这些信息会带来风险，并且要求“很复杂”。

数据发布后发现，在ABC调查组初次揭-穿这一讹诈行动时，ATO并没有关于这一讹诈行动的精确数据。即便是如今，ATO也只能说，在被讹诈的5.57亿澳元中，有“很大一部份”是专门经过myGov破绽请求的。

inuuvg1uqis.jpg

ATO副局长Jeremy Hirschhorn告知ABC，“辨认这类特殊类型的讹诈有困难，由于反复链接（Overlinking）和事前调剂都通常是合法的”。

“反复链接”是ATO对新的myGov账户链接到原有税务账户的称谓。

ATO对myGov链接的身份要求分明低于Medicare等其他政府机构。

Hirschhorn先生为ATO的设置进行了辩解，称这些设置是“在大少数征税人易于拜候零碎与犯法意图者难以拜候零碎之间的均衡”。

增强对myGov黑客的关注

征税人偶尔发现了许多虚伪退税请求和讹诈性付款。

这是由于付款是由联邦领取的，而不是由征税人团体领取的，并且虚伪报税通常是在征税人提交年度报税表之前的七月初或财政年度的安静期提出的。

Hirschhorn先生说，ATO比来愈加关重视复链接成绩，并正在增强打击这类讹诈行动和相似讹诈行动的才能。

税务局还在实行反复链接算法剖析，以发现可疑行动。

据Hirschhorn先生表示，该模型将标志“重复更改的银行账户信息；更改的联络方式（如：电子邮件地址、电话号码、家庭住址）；以及忽然提交的多项调剂，而这些调剂之前从未产生过”。

该机构建议征税人监控他们的ATO档案，并确保注销的是他们以后的手机号码，这样当新的myGov账户被链接时，他们就可以收到短信提示。

但是在ABC揭-穿的最少一同案件中，讹诈者更改了一名名叫Sue（化名）的墨尔本女性在其ATO档案中的手机号码，但她没有收到告诉。

别的，昆州女子Lindsay（化名）的账户在上个月被不法拜候了三次，他在每次账户被盗后的14到31小时以后收到了短信提示。

讹诈者更改了Lindsay的银行和电子邮件详细信息，并提交了总计1.3万澳元的费用申报，据他说，ATO在一周内就取消了这些申报。

和Sue一样，Lindsay的账户如今也被锁定。他只能经过致电ATO并布置为期两天的暂时解锁才干拜候该账户。不外Lindsay说，第三次黑客攻击产生在账户本应当是锁定形态的时分。

当他向税务局提出质疑时，他说：“ATO的人告知我48小时不包罗周末。”

“他们不晓得该留意甚么”

ATO表示，它鼓舞征税人坚持良好的“网络卫生”，“自动登录并查找任何……可疑的东西，就像他们监控本身的银行账户一样”。

但是，受益者们质疑ATO不肯提示他们要留意哪些迹象。

税务局坚称，表露这些信息只会鼓舞更多的歹意行动者应用这一零碎，但澳洲国立大学密码学教授Vanessa Teague博士说，“犯法份子固然曾经晓得这些破绽。”

“独一蒙在鼓里的是普通征税人。假如他们不晓得要留意甚么，你就不克不及期望他们会警觉讹诈行动。”

Hirschhorn先生为ATO在公然表露这一网络犯法细节方面的缄默进行了辩解。

但 Teague 博士说，ATO“以通明的方式告诉大众损失了多少钱，并正告普通人应当警觉的讹诈形式”其实不会帮忙潜伏的讹诈者。

“保密其实不能禁止讹诈行动。”

ATO发现的大少数myGov讹诈案都没有被ATO的合规规程发现，并且讹诈申报的金额常常很低（通常每份申报低于5,000澳元）。


https://www.abc.net.au/news/2023 ... ime-fraud/102632572

qqqqqq

觉得论坛里会有人在ATO做这个吧

爱漂流

myGov / ATO 渣滓网站，log out也不清cache/cookie， 从mygov登录第二个账户到ATO，还是看到的第一个账户。

pigmi

还会死循环

谢昕燃

收点钱还都给人送走了，

吕子

澳洲政府的破IT走漏啥都不希奇:dizzy:

千年老妖怪

这要是鞭策第三阶段减税，到时分中高支出者的退税可就不是一两千一团体了，钱到时分该不会直接给黑客收走了吧

喜蝉儿

这都是小打小闹，ATO副局长的儿子马马虎虎就欺骗1.65亿澳币

thgc

这类新开的银行账号应当很容易被锁定和跟踪吧，有了账号警察还找不到人？

静怡

烂得要死

sunflowerada

这就用上那些ID泄漏了

koala

不会期望黑客实名开户吧？估量前面有复杂的洗钱流程。

moonlit

从澳洲的电信公司到政府机构，就是各种黑客和欺骗犯眼中的大蛋糕。。。

君源

关联ATO帐号是最费事的
要提供5种信息里的3种，我记得5个选项有 退过税的银行账号，养老金帐号，PAYG金额，住址
就这骗子能关联上？

爱乒才会赢

赶快堵上

ljhzzf241

我预备和ato说你追不回这钱我就不交税了

水滴的涟漪

我的税号去年也被人盗用退税了，请求了小一万的退税。致使我后来真实的退税到如今还在审核

流水定安

真是烂的要死

schatzi

请问是你发现的还是ATO告诉你的？冒领的退税是ATO承当损失吗？ATO有无采取甚么办法防止你的税号有相似的事情产生？比方给你换新的税号甚么的？谢谢、

yanxilake

20年前被盗用过一次 我那时分本身人肉去ato 说税号 compromised他们会处置了 那时分关于我来讲没影响
我也忘了怎样发现的了 工夫太久了 那时分还是先生

1718wuhb

一个最大的破绽就是澳洲的银行账号居然不关联账号主人姓名

怀念陌生人

应当是盗了关联好了的人账号和密码
文中的意思应当是，可以把你关联的手机号码改成其他号码，然后重置密码

等当前都用Mygovid 登陆了 能够会好些

半支烟

我找会计退税的时分她查记载，发现我曾经请求过退税了。然后两人讨论了一下才发现是被人盗用了税号。事先阿谁盗用的退税请求还没有被ATO同意。ATO没有采取任何办法，也没有给我新的税号。

CLLOLY

我置信有人是税号被盗用的，但是我更置信是ATO内鬼应用零碎中饱私囊的手段

hypo008

My gov失事的话，大家根本上都光着膀子了