哥伦布、匹兹堡及各地消息
 

全美小企業周:國稅局提醒小企業主小心數據安全,

保護他們的企業、員工和客戶

IR-2024-128,2024 年 5 月 1 日
華府 — 在全美小企業周繼續開展之際,美國國稅局敦促小企業主落實數據安全保障措施,保護他們的財務、個人和員工信息免受詐騙和網絡犯罪分子的追捕。
   國稅局不斷發現小企業和其他人面臨各種與金融和身份盜竊相關的騙局,這些騙局試圖獲取可用于提交虛假小企業稅表、打劫商業銀行賬戶和創建被盜身份的信息。
   例如,“網絡釣魚”和“魚叉式網絡釣魚”詐騙繼續針對小企業以及稅務專業人士和個人納稅人。小型企業仍然是 W-2 表格詐騙的目標,身份竊賊試圖誘騙公司領導者分享敏感數據。
   “每年,美國國稅局發現有數千起試圖攻擊小企業主和其他納稅人的嘗試。這些騙局的受害者可能會面臨嚴重的財務後果。”國稅局局長Danny Werfel表示,“網絡犯罪分子是無情的,任何人都可能成爲目標。企業主和個人保護自己的最佳方法是充分瞭解最新的騙局,持續保護他們的計算機和智能手機,並在家里和公司安裝數據安全裝置以保護敏感信息。”
網絡犯罪分子全年無休
   數據盜竊和網絡攻擊是全球性威脅,它們可以在白天或晩上的任何時間利用詐騙和欺詐計劃來傷害個人和小型企業。網絡犯罪分子非常擅長掩蓋自己的踪迹,並且可以隱藏在世界任何地方。
   他們利用人類行爲模式和計算機系統竊取財務和個人信息並誘騙受害者。如果小型企業不能正確保護其計算機系統並對其員工進行智能數據保護實踐培訓,則所有者很容易成爲想要闖入銀行賬戶和竊取身份的不良行爲者的目標。
   國稅局敦促小型企業界認眞對待網絡犯罪的威脅,並瞭解保護其業務數據免遭身份盜竊的重要性。他們應該採用強大的技術工具和服務來嚴格保護金融和貿易信息,並保護與客戶、員工和業務合作夥伴直接相關的數據。
   網絡犯罪分子不斷尋找可利用的弱點。小企業主通過實施基本的網絡安全措施和培訓員工,可以顯著降低遭受代價高昂的攻擊的風險。這些攻擊可以針對企業最有價値的數據,包括:
   信用卡和付款信息。數據泄露可能會損害企業的聲譽,並使所有者承擔欺詐費用。
   企業和員工身份。被盜信息可用于多種犯罪,包括身份盜竊和欺詐。
   稅務和財務信息。黑客可以利用這些信息提交欺詐性稅表,從而花費企業主的時間和金錢來解決問題。
   爲了保護商業投資、客戶和員工,小企業主儘早採取基本的網絡安全措施並保持警惕,掌握有關最新詐騙的信息。
詐騙者如何瞄準受害者:騙局、騙局和更多騙局
   欺詐者和網絡犯罪分子是操縱人類行爲的投機分子。他們利用潜在受害者與他人進行社交互動和交流的自然願望,竊取數據和身份。欺詐者使用電子郵件、短信和社交媒體等常見技術,通過一次性向數千個目標發送消息來直接竊取個人信息,或者讓受害者點擊嵌入的鏈接或附件,從而進行“網絡釣魚”。
   使用電子郵件作爲通過“網絡釣魚”操縱行爲的方法仍然是盜賊尋找潜在受害者的常用策略。小型企業應對與稅務相關的“網絡釣魚”電子郵件詐騙保持警惕,這些詐騙通常可以巧妙地編寫來欺騙員工打開有害的嵌入式鏈接或附件。我們鼓勵小型企業和消費者將與國稅局相關的詐騙郵件發送至 phishing@irs.gov
   W-2 表格盜竊騙局就是這樣的一個例子。雖然這些騙局的操作隨着時間的推移而演變和變化,但在最常見的操作中,竊賊冒充公司高級管理人員,向薪資員工發送電子郵件,要求提供員工名單及其 W-2,其中包含敏感的稅務和財務信息數據。隨着這些騙局變得越來越複雜,小企業可能不會意識到自己已經成爲稅務騙局的受害者,直到開始出現帶有員工姓名的欺詐性稅表。
   對於遇到 W-2 騙局的雇主,有特殊的報吿程序。請訪問身份盜竊中心的商業部分(英文)以獲取更多信息。
骯髒十二條騙術
   國稅局每年都會發佈“骯髒十二條騙術”,列出了威脅小企業和其他納稅人的普遍存在的詐騙和欺詐計劃。這些威脅包括員工留任稅收抵免(ERC) 可疑申請的不擇手段和激進推廣人。
   這些可疑的員工留任稅收抵免申請常常使毫無戒心的企業和其它實體面臨處罰、利息,甚至可能因在不符合資格且無權獲得員工留任稅收抵免的情况下申請而面臨刑事起訴。
   如果個人或小企業主懷疑自己可能成爲受害者,可以參考“骯髒十二條騙術”中提供的信息。例如,企業仍然可以選擇撤回任何未處理的可疑員工留任稅收抵免申請,並應針對尙未支付的任何納稅期迅速進行申請撤回程序(英文)。
   企業主可以將“骯髒十二條騙術”作爲其自行硏究的起點,進而從其它可信來源瞭解各種流行騙局。
   目前,“骯髒十二條騙術”報吿的影響小型企業的最嚴重詐騙之一是“新客戶”“魚叉式網絡釣魚”騙局。魚叉式網絡釣魚通過惡意電子郵件或短信針對特定個人、組織或企業。
   在“新客戶”騙局中,網絡犯罪分子向已知稅務專業人士或企業主展示自己是新的潜在客戶,要求他們回復電子郵件。如果不知情的代報稅人或企業主做出回復,犯罪分子就會發送惡意附件或網站地址,這些附件或網站地址可能會危害受害者的計算機系統,並允許攻擊者訪問敏感的客戶和財務信息。以下是一些需要注意的危險信號:
   語法上的奇怪之處。寫得不好、用詞不尋常的電子郵件是一個嚴重的危險信號。
   可疑的請求。在驗證發件人的合法性之前,企業主應始終警惕任何異常請求或共享信息。
   欺騙性電子郵件。詐騙者可以模仿以前的客戶電子郵件,使它們看起來很眞實。不要被愚弄,請另外獨立驗證發件人的地址。
   通過保持警惕並瞭解這些騙術,小企業主可以保護自己及其客戶免受“新客戶”騙局的傷害。謹愼總是比妥協好。
   不要成爲容易的目標,學習網絡安全基礎知識
   強烈鼓勵小企業主儘可能多地瞭解網絡安全最佳實踐,即使日常信息技術保護是外包的。美國國稅局建議企業主實施美國聯邦貿易委員會發佈的最佳實踐(英文)。許多人都熟悉常識性的習慣和技巧,但不要認爲它們是理所當然的。適用于家庭的方法也適用于企業。
保護企業文件和設備:
   更新軟件。這包括應用程序、網絡瀏覽器和計算機操作系統。設置爲自動更新。
   保護業務文件。離線、外部硬盤或雲中備份重要文件。還要確保安全地存儲紙質文件。
   設置密碼。對所有筆記本電腦、平板電腦和智能手機使用密碼。不要將這些設備留在公共場所無人看管。
   加密設備。加密包含敏感個人信息的設備和其他媒體。這包括筆記本電腦、平板電腦、智能手機、可移動驅動器、備份磁帶和雲存儲解決方案。
使用多重身份驗證。需要多重身份驗證才能訪問包含敏感信息的網絡區域。除了使用密碼登録之外,這還需要其他步驟,例如智能手機上的臨時代碼或揷入計算機的密鑰。
   保護企業無線網絡:
   保護企業路由器的安全。設置路由器後,更改默認名稱和密碼、關閉遠程管理並注銷管理員身份。
   至少使用 WPA2 加密。確保路由器提供 WPA2 或 WPA3 加密並且加密設置已打開。加密可保護通過網絡發送的信息,使其無法被外部人員讀取。
讓智能安全成爲常規措施:
   需要強密碼。強密碼至少由 12 個字符組成,由數字、符號、大小寫字母組成。切勿重複使用密碼,也不要通過電話、短信或電子郵件分享密碼。限制登録嘗試失敗的次數,以限制密碼猜測攻擊。
   培訓員工。通過實施定期的員工培訓計劃來創建安全文化。隨時瞭解最新的數據安全風險和漏洞,並讓員工隨時瞭解情况。考慮阻止無視數據安全措施和培訓的員工訪問網絡。
設置一個計劃。制定保存數據、運營業務並在發生數據泄露時通知客戶的計劃。美國聯邦貿易委員會的數據泄露響應:企業指南(英文)提供了企業主在發生網絡泄露時可以採取的步驟。
   有關企業主如何保護其投資、客戶和員工免受網絡犯罪分子侵害的更多信息,請訪問 FTC 的小型企業網絡安全(英文)。
如果小型企業成爲身份盜竊的受害者,下一步該怎么辦
   國稅局還發佈了《表格14039-B,企業身份盜竊宣誓書》(英文)PDF,使小型企業可以在電子提交的稅表被拒絶等情况下主動向國稅局報吿可能的身份盜竊行爲。如果小型企業收到以下信息,則應提交表格 14039-B:
   收到通知説以電子方式提交的稅表被拒絶,因爲同一時期的稅表已申報。
   收到通知涉及已提交的稅表,但實體未提交該稅表。
   收到通知涉及向社會安全局提交的 W-2 表格,但該實體未提交該表格。
   收到欠餘額通知,而該實體並未欠餘額。
   如果小企業主成爲稅務欺詐的目標,國稅局會提供 14039-B 表格來幫助快速解決問題。該表格使國稅局能夠簡化溝通並更快地解決問題。但是,如果小型企業是數據泄露的受害者且沒有稅務相關影響,則不應使用 14039-B 表格。有關更多詳細信息,請參閲身份盜竊中心的企業部分。
   國稅局還敦促小企業主及時更新其雇主身份識別號碼 (EIN) 申請信息。地址或責任方的變更可以使用《表格 8822-B, 地址或責任方變更 - 企業》(英文)來報吿。責任方的變更必須在 60 天內向國稅局報吿。當前信息可以幫助美國國稅局找到解決身份盜竊和其他問題的聯繫人。
報吿魚叉式網絡釣魚和其它詐騙
   企業主應立即報吿詐騙,將可疑電子郵件或短信副本作爲附件發送至 phishing@irs.gov。該報吿應包括發件人的電子郵件地址、呼叫者的電話號碼、日期、時間以及收到消息的電話號碼或電子郵件地址
   IRS.gov 的報吿網絡釣魚和在線詐騙頁面提供了有關注意事項以及如何報吿網絡釣魚和詐騙的更多信息。
   納稅人還可以向財政部稅務行政監察長 (TIGTA)(英文)或互聯網犯罪投訴中心(英文)舉報詐騙行爲。另一個有用的工具是聯邦通信委員會的智能手機安全檢查器(英文)。
   企業主和個人根據所涉及的騙局,也可以將信息發送給國稅局檢舉人辦公室(英文),以獲得可能的金錢奬勵。
   報吿詐騙有助于識別新出現的威脅。欺詐執法辦公室(英文)的新興威脅緩解團隊與內部和外部利益相關者合作,識別和緩解對稅務管理的威脅。
   要報吿濫用型推廣人和代報稅人,請塡寫在線《表格 14242 – 報吿涉嫌濫用型稅務推廣或代報稅人》(英文),或將塡妥的表格 14242(英文)PDF 和任何支持材料郵寄或傳眞至推廣人調查辦公室的國稅局領導發展中心。