美国财政部门监督人员表示,美国税务局(IRS)对在线提交报税表的公民的身份管理控制方面已经取得改进,但在识别欺诈性个人资料和活动方面还需要努力改善。

近日负责对税务局进行审计的美国财务部税务管理监督署(TIGTA)发表报告赞扬该机构对身份验证控制措施的部署和改进。

税务管理监督署赞同税务局要求纳税人使用双因素身份验证来登陆以使用IRS的在线服务。该审计机构还表示,税务局已经提高自动监控不同系统活动的能力,并可检测出任何异常情况。

税务管理监督署认为:“通过利用监控工具,网络欺诈分析小组可发现欺诈行为,即欺诈者不正当利用从IRS外部窃取的数据而成功实施少量有针对性的攻击。”

然而,该审计机构补充说,这些监控工具需要更好地检测自动攻击。

该报告称:“如果无法阻止自动化攻击,那么,更多纳税人记录可能会被盗用,并因为身份盗用退税欺诈而造成收入损失。”

20161月,税务局遭受了一次机器人攻击,该攻击欺骗该机构的在线PIN生成工具以向网络罪犯发送大约10万个PIN码,网络罪犯利用这些PIN码尝试获取1亿美元欺诈性退税。

税务管理监督署认为,尽管税务局已部署双重身份验证,该机构还需要提高检测创建模拟真实人物个人资料的能力。该报告认同税务局在这方面已经取得一些进展,但仍然有不足之处。

税务管理监督署称:“税务局表明已经纠正这些不足之处,但目前还没有通过充分测试或者监控审计日志来确定控制是否可完全有效阻止未经授权的活动。”

税务管理监督署还提到20155月的事件,其中罪犯“使用从税务局外部来源获得的纳税人个人身份信息来冒充合法纳税人”。在该事件中,税务管理监督署估计共提交25.24万欺诈性纳税申报表,导致税务局发布4.9亿美元不法行为退款。

税务局认同税务管理监督署报告的所有四条建议,包括更好地规划以及改进税务管理监督署审计的具体系统。

本文翻译自CyberScoop

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。