澳洲虚假的 myGov 个人资料被用来破解 ATO 账户。苏很难发现这一点

在澳大利亚中文新闻



“恭喜你卖掉了你在 Footscray 的房子，”上个月，当两人讨论例行纳税申报表时，一位会计师告诉 Sue*。

评论令人费解.苏在富茨克雷没有自己的房子。

但根据她在澳大利亚税务局 (ATO) 的记录，她本应位于墨尔本市中心的房子不仅被拍卖，而且她的归来已经提交。

事实上，对前几年的纳税申报表进行了更多修改，还有一个仍在等待中。

当 Sue 和她的会计师仔细查看屏幕上的详细信息时，一个可怕的事实出现了。有人访问了她的帐户，冒充她，并以欺诈手段向 ATO 提交了五笔总计 25,000 美元的退款。

在涉及 Medibank 和 Optus 的备受瞩目的数据泄露事件中，她认为自己可能是未报告的重大政府机构泄露事件的受害者。

真相要复杂得多。< /p>

ABC Investigations 通过 Sue 发现了 myGov 和 ATO 系统中的一个漏洞，网络犯罪分子正在利用该漏洞来骗取税款付款人。

这是一个漏洞，无论对您的在线活动进行多少仔细的管理都无法避免。

'完全由我决定'

Sue 在银行和大型商业部门工作了几十年。

最近退休，她将时间分配在城市垫和维多利亚时代的区域性“树木变化”财产之间。

墨尔本女性是网络安全和信息专家所描述的数字卫生模范公民。

她知道永远不要点击未经请求或陌生的链接；她从不透露自己的密码，这些密码既复杂又独特；她将她的 myGov 和 ATO 在线会话限制在一台设备上，她已经对这台设备进行了广泛的恶意软件或病毒扫描。

黑客“从内部”攻击澳大利亚公司

白帽黑客说公众会对他们发现的漏洞。

阅读更多

Sue 甚至撕碎了她的实体收据；但谨慎的安全习惯只能让她走这么远，那天她在会计师办公室发现了这一点。

每当用户登录 myGov 访问其 ATO 帐户时，都会触发双因素身份验证 (2FA)；在 Sue 的案例中，她应该会收到一个代码到她的手机。

她最近几个月没有收到任何此类帐户授权请求。

“我们发现地址、[银行] 帐号、电话号码、电子邮件都已更改，”Sue 说。

Sue 是 Optus 的违规者受害者。她最初认为黑客一定是利用这些信息帮助破解了她的 ATO 账户——但 ABC 调查发现这还不足以让犯罪者进入。

来自她在会计师办公室，Sue 立即给 ATO 打了电话，结果遇到了很多障碍中的第一个。

“我想那天我在可怜的会计师办公室里坐了大约三个小时，”Sue

ATO 锁定了她的账户，但当她询问该机构是否会就欺诈行为或 UBank（欺诈者用来接收虚假退税的 UBank）联系警方时——她收到了令人失望的回复。

“所有问题的答案是否定的，这完全取决于我，”她说。

税务局告诉苏等待案件经理打来的电话。

“据称他们甚至可能开始调查的时间大约是三周左右，”起诉说。

“因此，无论谁干这事，他们都可能在他们看之前就消失了。”

苏随后被送下了 UBank 自动电话的迷宫系统等待数小时，最后才被告知写信给其母公司 National Australian银行 (NAB)。

她一直都很焦虑 — 冒充她的人都可以看到她的银行帐号，而且她知道只有几天的时间才能收到一笔大额存款她的积蓄。

“压力很大”，她说。

“这一切都发生在我们搬家的时候房子，并进行了房产销售和房产结算。”

在她向警方报案、创建新银行账户的艰苦过程中，更多宝贵的时间和日子过去了，并通知她的超级基金潜在的欺诈行为。

Down the rabbit hole

ABC 上个月的调查显示，myGov、ATO 登录名和 Virgin Money 凭据在暗网上以低价在线兜售。

继这个故事之后，这也揭示了如何数以千计的 NDIS reci由于没有通知患者他们的私人信息遭到黑客攻击，Bill Shorten 部长的办公室和昆士兰银行联系了 ABC Investigations，强调 NDIS、myGov 和 Virgin Money 都没有受到直接攻击。

网络黑市内部

ABC 调查发现在开放互联网上广泛存在的大量机密材料，从敏感合同到有关学生死亡的特权法律建议。

阅读更多

The r eport 还促使 Sue 联系 ABC。

我们和她一起走进了兔子洞，尽管各个机构都告诉他们他们有“强有力的保护”或者 Sue 的账户“没有受到损害” "，所发现的漏洞不容忽视。

在 Sue 首次向税务局投诉并没有收到任何回音后的四个星期，ABC Investigations 就她的案件联系了该机构。

p>

不久之后，ATO 终于打电话给她，解释了它所知道的黑客是如何实施的。

Sue 被告知欺诈者伪造了一个myGov 帐户，9 月 24 日，他们使用她的税号 (TFN)、她的出生日期和该机构未指定的另一个凭证将这个新资料链接到她的 ATO 帐户。

ATO 官员告诉 Sue 这并不罕见，并被告知“有很多欺诈行为访问税务文件的 myGov 账户”。

澳大利亚服务局向 ABC Investigations 证实，创建 myGov 账户所需的一切只是一个电子邮件地址。不需要身份证明，也可以开设多少个帐户没有限制。

“这是一个巨大的漏洞，”苏谈到政府表示将在之后收紧的漏洞时说ABC 在 2020 年揭露了它。

黑客如何获得 Sue 的 TFN 令人费解。据她所知，此类信息在 Optus 违规期间并未被盗。

ATO 此后向 ABC Investigations 澄清，不需要 TFN 来关联 myGov 和 ATO

几天后，Sue 仍在向 ATO 施压，要求查明黑客掌握了关于她的哪些信息。截至周五早上，她被告知犯罪分子确实需要她的税号。

黑客在两次退款之间反复更改了她 ATO 个人资料中的银行账户详细信息。 Sue 在 11 月 15 日看到的 UBank 账户只是用于实施欺诈的一系列账户中的最后一个。

暗网究竟是什么样子的？您的问题已回答

数百万澳大利亚人的黑客数据已在网上公开交易，但您如何知道自己是否受到影响，你能做什么o 将来保护好自己吗？

阅读更多

Sue 询问罪犯要求的退款金额相对较小（每笔大约 5,000 美元）是否是他们没有被标记的原因，尽管她的多次更改个人详细信息。

她说 ATO 官员同意会检测到更高的金额，并告诉她 ATO 现在有一个系统可以监控银行账户的多项更改。< /p>

但在她的案例中并未触发。 Sue 说，ATO 官员在她发出警报之前确认了她账户上的欺诈行为并没有被发现。

ABC Investigations 还就 Sue 的案件联系了管理 myGov 的 Services Australia 和 UBank —两者都无法提供所发生情况的全貌。

UBank 确认 ATO 将这些退款支付到的账户不在 Sue 的名下，也没有与她的 TFN 相关联。

它不会说这些退款是否已退还给 ATO，只是说“一旦……资金被转移，通常很难收回”。

它拒绝回答今年有多少 UBank 账户被标记为此类税务欺诈。

Services Australia 告诉 ABC Investigations分析了 Sue 的真实 myGov 账户，发现它从未被黑客入侵，所有欺诈活动都源于假账户。

它说 myGov 有“强大的保护”，Sue 的账户“仍然存在”安全且未被泄露”。

它没有说明为什么对创建虚假 myGov 帐户几乎没有限制，但指出在 myGov 允许用户进入之前需要满足的安全步骤其他账户，例如 ATO。

“仅建立一个 myGov 账户不足以访问会员服务账户，”它说。

ATO 拒绝回答任何问题围绕其检测系统提出问题，或提供有关此类欺诈有多普遍的更多信息。它说这是“确保将欺诈扩散的风险降至最低”。

秘密网络安全

澳大利亚国立大学密码学兼职教授兼 Thinking Cyber​​security 的创始人 Vanessa Teague 认为，对有关网络安全问题的信息保密弊大于利。

“澳大利亚有一个特别有害的习惯，即隐藏细节并说，'哦，我们出于安全原因保密'，这是不合理的，”蒂格女士说。

"如果协议不健全，那么它就不会帮助任何人向公众掩盖它......因为坏人会弄清楚它是如何运作的，而你只是在掩盖好人的机会帮助你。

“如果我们真的知道出了什么问题，那么所有其他对我敏感的组织关于人们的信息将能够将每次攻击作为一次学习经验，而不是不断地重复同样的错误。”

安全公司 Cyber​​CX 的 Katherine Mansted 上个月告诉 ABC 黑客攻击受害者是如何

“我们对隐私和数据保护以及人们个人隐私信息的价值、重要性和敏感性进行了某种程度的全国清算，”她说。

“我们早就应该关注这一点，但我认为执法部门和政府有必要重新考虑和审查他们通知受害者的流程。 "

在她与 ATO 的磨难中，Sue 一直在想着什么。这次黑客攻击是一系列显而易见的小欺诈行为，数周内完全未被发现。

“大多数人甚至要到明年 7 月才会查看他们的税务账户，”Sue说。

“如果这实际上也是很多其他人......他们甚至永远不会知道这正在发生。这可能会继续进行到明年 7 月。

“它可以数百万美元，甚至更糟。作为纳税人，我们最终都会穿上它。”

Medibank data hack提出棘手的问题

当黑客勒索 Medibank 时，ABC 新闻记者苦苦思索如何在不给他们想要的东西的情况下报道这个故事: 宣传。

阅读更多

ATO 已对她的账户实施了额外的安全措施，但 Sue 认为该机构应该对她的案件更加警惕。

她联系了当地议员 Shorten 先生， 谁是还负责 myGov。他的办公室将她转给了网络安全部长克莱尔·奥尼尔。

苏说，奥尼尔女士的办公室很有礼貌。他们听了她的话，然后感谢她分享她的故事。

从那以后她就再也没有收到他们的消息。

*Sue 是化名。 ABC 更改了她的名字以保护她的隐私

澳洲中文论坛热点