作者:David E. Kitchen和David M. Brown(BakerHostetler)

随着新的税收季节临近,公司应保持警惕,以防止犯罪分子试图通过各种欺诈手段获取敏感信息。上个月,美国国税局(IRS)发出警报,警告消费者针对Hotmail用户的电子邮件骗局,声称是国税局(IRS)要求提供敏感信息。尽管此骗局针对的是个人消费者,但更大的奖赏来自于针对组织。根据美国国税局的数据,受W-2骗局侵害的企业,公立学校,大学,部落政府和非营利组织的数量从2016年的50人增加到2017年的200人。这200名受害者转化为数十万名敏感数据被盗的员工。在某些情况下,犯罪分子要求提供W-2信息和电汇。一旦诈骗者获得W-2的副本,他们便可以迅速提出欺诈性的纳税申报单,以反映雇员的实际收入,从而使欺诈行为更难以发现。

要找什么

W-2骗局通常以“欺骗”电子邮件开头,该电子邮件似乎是由公司首席执行官或CFO发送给人力资源和薪资的一名或多名雇员或执行助理的。一些网络犯罪分子在高管人员出差,企业可能正在紧急准备税单或其他更可能使员工措手不及的时期专门针对这些电子邮件。网络犯罪分子试图诱骗员工披露员工姓名,社会安全号码(SSN)和收入信息。犯罪分子然后试图提交虚假的纳税申报单以退税。这是一个例子:

________________________________________________________________________

来自:Heather.Smith@company.com

至:Steve.Adams@company.com

事由:视为紧急

日期:2018年2月20日上午10:55

——————————————————————————————————————

嗨,史蒂夫,

我需要所有员工的2017年W-2工资和税单的副本才能完成业务交易。我需要PDF格式的文件。请尽快将它们作为附件发送。

问候,

希瑟

 

该电子邮件似乎是来自合法电子邮件地址的完全合法请求,但实际上,该电子邮件来自完全不同的人,并且将“ REPLY TO”字段(通常对最终用户隐藏)设置为受控的电子邮件地址由罪犯;例如ceo@mail.com。电子邮件标题将显示此内容。美国国税局(IRS)于2017年1月25日发布的主题警报中提供了有关W-2欺诈请求内容的其他变化形式。

我们预计W-2骗局将继续上升,原因是:(1)攻击者在过去几年中取得了成功; (2)活动量同比增长; (3)向各行各业的员工发送目标电子邮件所需的时间和精力,大大少于渗透到网络中的精力; (4)进入市场的成本低廉,是从事W-2骗局的入门级犯罪分子。随着税收季节的到来,美国国税局可能会发出进一步的警报。

积极措施

为了为即将到来的税收季节做准备,公司可以专注于以下一些最佳实践:

*对所有员工进行一般性的网络钓鱼,尤其是鱼叉式网络钓鱼的教育。
*切勿从表面上熟悉的来源接收电子邮件,以其面额为准;例如,来自首席执行官或人事主管的电子邮件。如果它要求您打开链接或附件,请三思。
*如果电子邮件中包含链接,请将光标悬停在链接上以查看网址(URL)目的地。如果它不是您可以识别的URL,或者它是缩写URL,请不要打开它。
*如果您收到要求提供W-2副本的电子邮件,请在纳税季节通过电话进行口头确认。
*请谨慎使用即时消息(IM)进行验证,因为有权访问电子邮件帐户的攻击者也可能会访问IM

最重要的是,薪资官员应仔细检查所有W-2副本的行政级别或特殊要求。您可以在IRS网站上查看IRS警报的汇编以及有关一般如何避免税收欺诈的更多信息。

如何应对W-2网络钓鱼诈骗

如果您的组织遇到W-2网络钓鱼诈骗,请考虑以下事项以应对潜在事件。

保留具有W-2事件经验的合格律师。除通知服务外,律师还将协助向IRS和州税务机关提供通知。美国国税局(IRS)表示,一旦收到通知,他们将监视受影响的员工的退货,以防止支付欺诈性的退税。

准备调查事件的性质和范围,重点是确保肇事者不在您的系统中。在大多数情况下,涉及网络钓鱼诈骗,而工资单员工无意中将W-2发送给诈骗者,则无需进行法医调查,因为诈骗者永远无法访问系统。此外,确认W-2是否包含完整的SSN(而不是仅后四位)。根据州数据泄露通知法,后者可能不需要正式通知员工。

及时注意向员工提供准确的通知。根据适用的州数据泄露通知法,确定是否需要通知个人和州机构。即使在不需要法医调查的事件中,也需要时间起草通知函,安排信用监控并请供应商来处理邮寄通知。州法律要求尽快通知,有些州要求在30到45天内通知。与其他需要进行法医调查以确定受影响人员范围的事件相比,可以预期管理人员会质疑W-2事件的延误。

注意与员工的沟通,并在发送前与主管的律师讨论所有沟通。如果发生监管询问或诉讼,您与现任和前任雇员的沟通可能会给您带来后果。特别是,W-2事件经常影响可能以不太有利的条件离开公司的前雇员。

越来越多的案例表明,员工有资格在数据安全事件中要求赔偿损失。参见例如Galaria诉Nationwide Mut。英斯Co.,663 F. App’x 384,388(6th Cir。2016)。最近的其他一些案例已经认识到,购买信用监控服务以及与个人身份信息被盗后的欺诈活动相关的某些自付费用,可能会造成W-2网络钓鱼诈骗的可识别伤害。在Savidge v.Pharm-Save,Inc.,第3:17-CV-00186号,2017年WL 5986972(WD Ky.2017年12月1日)中,两名前Pharm-Save员工在W-2行动后提起了集体诉讼网络钓鱼骗局。该公司提出驳回此案,部分理由是前雇员只能表现出与网络钓鱼事件没有因果关系的投机性伤害,因此未能提出合理的救济要求。在驳回公司的动议时,法院认为“购买信用监控和/或身份保护服务以及与{plaintiff}以她的名义提交的虚假纳税申报单相关的费用是合理产生的,而不是为了回应过度投机的伤害。” ID。在6点钟。尽管法院指出,仅提交欺诈性的纳税申报单本身并不是可识别的损害,但法院认为,“网络罪犯已经滥用了(原告的)信息,这一事实可能表明{购买}身份保护服务知道她的信息已经被滥用了,这是合理且必要的。” ID。在* 4,* 7。

在处理过失索赔的因果关系时,Pharm-Save法院解释说,“一般来说,“为了证明数据泄露导致身份盗窃,诉状必须包括对两个实例之间的关系的指控,不包括时间和时间的指控。顺序。” ID。 (*省略引号)(引用Resnick v。AvMed,c。,693 F.3d 1317,1326 {11th Cir。2012})。 Pharm-Save,法院发现,所谓的伤害与事件之间存在足够的联系,因为该公司“明确告知受影响的个人,该违规行为“涉及了{their} W-2”和“ {i} t犯罪分子可能以我们雇员的名义提起或试图欺诈性退税。'” Pharm-Save,2017年WL 5986972,* 7(引用原告的投诉)。

信用监控通常用于影响员工SSN的W-2事件。实际上,一些州要求当个人的SSN受到影响时,公司必须提供一年的免费信用监控,并且至少有一个州监管机构例行要求将覆盖期延长至居民两年。公司将要与他们的律师讨论其雇员所需的信用监控范围,并应就其政策所涵盖的信用监控量与运营商进行协商。此外,由于您公司的内部人力资源和客户支持人员可能会受到此事件的影响,因此让外部呼叫中心回答问题可能会有所帮助。通知供应商通常也可以为您设置一个呼叫中心。

合格的律师将意识到W-2事件之后的监管报告义务。例如,自2017年7月1日起,弗吉尼亚州要求雇主或工资服务提供商发生涉及涉及州所得税的计算机数据的事件,即“纳税人识别号与预扣所得税的组合”,并通知总检察长。”通知必须包含公司名称和联邦雇主识别号,总检察长将使用该名称和通知州税局。参见弗吉尼亚州法典第18.2-186.6(M)节。

美国国税局(IRS)建议员工如果怀疑自己是与税收有关的身份盗窃的受害者,应采取各种步骤,包括提交欺诈性申报表:
*立即回应任何IRS通知;拨打提供的电话号码,或者如果有指示,请访问IDVerify.irs.gov。
*如果由于您的SSN重复提交或被指示这样做而拒绝了以电子方式提交的纳税申报单,请填写IRS表格14039,身份盗用誓章。在IRS.gov上使用可填写的表格,进行打印,然后将表格附加到您的退货并按照说明邮寄。
*即使您必须在纸上付款,也要继续缴税并提交纳税申报表。

*本文中表达的观点仅代表作者,不一定代表BakerHostetler或其客户。