Usa: contro il phishing fiscale, partita la campagna informativa. Don’t Take the Bait è il claim diffuso dall’Irs per mettere in guardia ogni professionista dalle truffe informatiche.
L’Irs e altre organizzazioni rappresentative di aziende, intermediari e consulenti fiscali, hanno deciso, al termine di un summit federale a cui hanno partecipato i responsabili delle agenzie fiscali statali e di organizzazioni rappresentative dei professionisti del settore fiscale, di lanciare una campagna di informazione. L’iniziativa è nata con il preciso obiettivo di tutelare dai rischi connessi al phishing e al furto di identità fiscale. L’allarme coinvolge tutti coloro che operano come intermediari e consulenti fiscali. Si tratta di un fenomeno che non coinvolge soltanto gli Stati Uniti ma anche altri Paesi, europei e non, e tra questi l’Italia.
Una nuova campagna di informazione dal claim emblematico negli USA contro il phishing fiscale
In questo ambito è in corso di svolgimento a più riprese la campagna “Don’t Take the Bait. Protect Your Clients, Protect Yourself” per ricordare ai professionisti che proteggere le informazioni dei contribuenti non è soltanto un dovere professionale ma un obbligo di legge che risponde a una legge federale. La campagna è di 10 settimane, e copre il periodo di tempo compreso tra ll’11 luglio e il 12 settembre, con il finale Nationwide Tax Forum di San Diego.
Il dilagare del phishing fiscale
Le truffe funzionano adescando gli operatori e inducendoli ad aprire un collegamento infetto oppure carpendo nomi utente e password di account critici. In altri casi ad essere prese di mira dai truffatori sono le caselle di posta elettronica dei consulenti che si identificano come amici, clienti o aziende per carpire i dati sensibili di altri professionisti e contribuenti. In altri casi, ancora, i truffatori, facendosi passare per funzionari dell’Irs, chiedono direttamente al contribuente il pagamento immediato delle imposte tramite una carta di debito prepagata. Chi non è sufficientemente informato sull’argomento rischia di esporre se stesso e i dati dei contribuenti al furto di identità. Non soltanto, ma questi cybercriminali sono interessati anche a rubare le password degli stessi operatori, i numeri di identificazione elettronica di archiviazione (Efin), i numeri Caf (Centralized Authorization File) e i numeri di identificazione delle imposte (Ptin).
Spam: qual è il significato di questa minaccia? Come proteggersi?
Chi è preso di mira
Da gennaio a maggio 2017, negli States, 177 professionisti o aziende hanno denunciato furti di dati, relativi a informazioni sui propri clienti, che hanno coinvolto migliaia di persone. L’Irs attualmente sta ricevendo da tre a cinque rapporti di furto di dati alla settimana. La campagna “ Don’t Take the Bait , traduzione letterale di “Non abboccare all’esca” fa parte della serie di raccomandazioni “Protect Your Clients, Protect Yourself “ rivolta principalmente ai professionisti delle tasse, ma anche ai contribuenti individuali per metterli in guardia e sensibilizzarli sull’importanza della sicurezza informatica. La comunità fiscale e altre persone in possesso dei dati del contribuente, inclusi gli uffici delle risorse umane, le piccole e medie imprese, sono tra le principali vittime dei “cybertruffatori” che usano sistemi di phishing sempre più sofisticati.
Il phishing fiscale, un fenomeno in aumento negli USA e nel mond
Il gruppo di lavoro Anti-Phishing Work (Apwg), un’associazione di settore non profit che opera contro il furto d’identità e le frodi derivanti da phishing, ha già notato nel 2016 un significativo incremento di questo tipo di attività. Da ricordare che ogni attacco di phishing può includere milioni di email.
Alcuni dati significativi
Secondo le ultime risultanze di un Rapporto federale diffuso sull’argomento questa è la situazione:
- totale attacchi di phishing unici nel 2016, pari a 1,2 milioni (+65% rispetto al 2015);
- nel 2017 ci sono stati 92.564 attacchi di phishing unici al mese;
- più di 100 miliardi di messaggi spam inviati ogni giorno;
- più dell’85% di tutte le organizzazioni sono state oggetto di tentativi di phishing;
- i danni di phishing superano 1 miliardo di dollari;
- uno su 14 utenti sono stati ingannati e indotti ad aprire un collegamento o allegato da una e-mail di phishing. A un quarto delle vittime è successo più di una volta.
In particolare, secondo il rapporto del 2017 di Verizon, un fornitore di telecomunicazioni statunitense, il 95% degli attacchi di phishing riusciti include una sorta di installazione di software malware che consente ai ladri di esportare dati o di prendere il controllo dei sistemi. Inoltre la maggior parte delle attività di hacking, pari all’81%, riguarda password rubate o accessibili perché “deboli”.
I furti di identità fiscale
Nel 2017 il numero di persone che hanno denunciato furti di identità è diminuito notevolmente rispetto allo stesso periodo del 2016 e del 2015. Nei primi cinque mesi del 2017, circa 107mila contribuenti hanno riferito di essere stati vittime di furti di identità, rispetto allo stesso periodo nel 2016, quando le vittime erano state 204mila. Ciò significa 97mila vittime in meno, ovvero un calo del 47%. Come termine di paragone è sufficiente pensare che nei primi cinque mesi del 2015 c’erano state quasi 297mila vittime di furto di identità. Il calo fa parte di una tendenza al ribasso che è iniziata nel 2016 quando furono messe in atto le prime misure di sicurezza a partire da uno dei vertici istituzionali sulla sicurezza organizzati sul tema.
Perché rubare l’identità fiscale
L’obiettivo numero uno dei cybertruffatori è monetizzare le informazioni carpite. Per meglio rappresentare i contribuenti in maniera coerente, i criminali hanno bisogno di ulteriori informazioni, ecco perché i professionisti, che detengono dati finanziari sensibili, sono obiettivi importanti. Le informazioni sugli utili fiscali rubate ai professionisti permettono ai ladri di mascherarsi meglio come legittimi contribuenti. È fondamentale che i professionisti delle imposte che incontrano una perdita di dati immediatamente la notifichino all’Irs affinché possa intervenire. La campagna “Non abboccare all’esca” coprirà le email di phishing, il furto d’identità aziendale, gli acquisti di account, gli attacchi di ransomware, gli acquisti a distanza e le email aziendali compromesse.