USA, attacco ai contribuenti

USA, attacco ai contribuenti

Ignoti truffatori hanno ottenuto i dati di migliaia di cittadini statunitensi, semplicemente richiedendoli al Fisco. Disponevano delle informazioni necessarie ad accedere alla piattaforma online a nome dei contribuenti
Ignoti truffatori hanno ottenuto i dati di migliaia di cittadini statunitensi, semplicemente richiedendoli al Fisco. Disponevano delle informazioni necessarie ad accedere alla piattaforma online a nome dei contribuenti

I dati sono quelli relativi a 100mila contribuenti statunitensi, ma la natura delle informazioni è sensibile: riguardano redditi e tasse, ottenuti direttamente dai servizi messi a disposizione dall’Internal Revenue Service statunitense. Il movente? Appropriarsi dei rimborsi richiesti al Fisco a nome dei contribuenti.

Ad annunciare la breccia è la stessa istituzione: il veicolo dell’attacco è stato l’ applicazione Get Transcript, che consente al cittadino di ottenere i resoconti di tutte le sue interazioni col Fisco, utili a richiedere i rimborsi, e la chiave per accedervi sono stati gli stessi dati dei cittadini coinvolti, rastrellati dai cracker altrove. Le violazioni, spiega l’IRS, sono state perpetrate tra il mese di febbraio e la metà di maggio, quando sono state rilevate attività sospette sul servizio: le indagini hanno contribuito a dare una dimensione alla breccia.

Le autorità, forse per allentare il peso delle responsabilità, calcano la mano sul metodo presumibilmente adottato dai cracker: sono riusciti ad ottenere i dati accedendo attraverso “il processo di autenticazione in più fasi che richiede una pregressa conoscenza delle informazioni personali del contribuente, tra cui il Social Security Number, la data di nascita, lo stato civile e l’indirizzo di residenza”. Per accedere al servizio di IRS sono poi necessarie anche informazioni che dovrebbero essere note solo all’individuo, o al suo commercialista. Si tratta di informazioni che potrebbero essere sgorgate dai recenti attacchi sferrati ai danni di compagnie assicurative statunitensi, ottenute attraverso servizi di assistenza fiscale di terze parti o sfilate ai cittadini con campagne di phishing.

L’ipotesi della violazione di servizi terzi sembra particolarmente fondata: già nei mesi scorsi l’esperto di sicurezza Brian Krebs riferiva della disavventura di un contribuente statunitense, impossibilitato a registrarsi ai servizi online dell’IRS perché ignoti lo avevano preceduto. La ricostruzione di Krebs punta il dito contro certi servizi di assistenza fiscale, incapaci di offrire garanzie al cittadino che paghi per i loro servizi.

Gaia Bottà

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
28 mag 2015
Link copiato negli appunti