"揭秘:假退税、假营业执照、AI陷阱全解析!"
2024-06-25
是什么让舞弊者眼中出现美元符号?个人身份信息。以下是一些旨在通过网络链接、邮件和不安全的人工智能平台榨取受害者 PII 的骗局。 唐纳德-琼斯(Donald Jones)收到一封电子邮件,据说是美国国税局(IRS)发来的,说他应该会收到退税款,但他首先要填写一份表格并提交。他点击了邮件中的一个链接,并按照要求进行了操作。当月晚些时候,琼斯的银行告诉他,他的支票跳票了,因为他的账户余额为零。幸运的是,银行恢复了他的资金,他也立即更改了自己的账号,以防止今后再有损失。
作者:罗伯特-霍尔特弗雷特博士,CFE
这个案例是虚构的,但它代表了一个真实的骗局。据美国联邦贸易委员会(FTC)称,诈骗分子再次利用电子邮件和短信冒充美国国税局(IRS)--带有国税局标志--窃取个人身份信息(PII)并用于不正当目的。 诈骗信息称,你有 650 美元的退税,因为你在 2023 年报税时多缴了 1000 美元。"我们将你的全部或部分......多付款项......用于抵扣你在其他纳税年度的欠款。因此,您应退还 650.00 美元。然后,你会被指示点击链接 "查看你的退税",查看你的 "退税电子报表 "或填写一份文件。千万不要这样做,因为骗子会窃取你的身份信息,或在你的电脑或智能手机上加载恶意软件。无论哪种情况,您的 PII 都会被泄露。 "美国联邦贸易委员会建议:"如果有人就退税事宜突然联系你,最重要的一点是,真正的美国国税局不会通过电子邮件、短信或社交媒体联系你,以获取你的个人或财务信息。"只有骗子才会这样做。 联邦贸易委员会建议: 切勿点击任何链接,这些链接可能会在您的电脑或手机上安装恶意软件,让骗子窃取您的信息。 在国税局官方网站上查看任何待办退款的状态。访问 "退税状态",查看您是否真的收到了退税。 分享您所知道的。您可以告诉您的朋友和家人有关该骗局的信息,帮助保护您的社区。 如果您点击了这些信息中的链接,或共享了个人信息或财务信息,请在 IdentityTheft.gov 网站上报告,以获得免费的定制恢复计划。(请参阅 "国税局不会通过电子邮件或短信退税",作者 Larissa Bungo,联邦贸易委员会,2024 年 1 月 23 日。) 伪造营业执照或商标骗局 据美国联邦贸易委员会(FTC)称,舞弊者冒充假冒的政府机构,向小企业主邮寄表格和信件,要求立即付款以注册或更新营业执照或商标。 骗子们试图通过加入美国、商业法规和商标等字眼来增加假冒政府信件的合法性。他们会建议潜在受害者访问一个网站,然后要求他们提供营业执照、社会保险号、雇主识别号和信用卡号。这封信以典型的舞弊方式警告收信人,如果他们不尽快回复,就会被罚款。 在回复这些信件之前: 了解机构是否真实。访问 USA.gov,核实联邦、州和地方政府机构的名称和联系信息。不要使用信中列出的任何网站或电话号码。 要知道,美国政府绝不会要求企业和个人通过西联汇款或速汇金等服务汇款,或使用礼品卡、加密货币或支付应用程序进行支付。 查看 "诈骗与您的小企业 "中的建议。 如果您发现类似骗局,请通过 ReportFraud.ftc.gov 向联邦贸易委员会举报。同时向当地执法机构和媒体举报该骗局。(参见 "冒充政府者向企业主邮寄假通知",作者 Bridget Small,联邦贸易委员会,2024 年 2 月 13 日)。 员工使用人工智能增加了 PII 丢失的风险 许多企业认为,ChatGPT 和其他生成式人工智能平台将提高员工的工作效率和产品创新能力,从而增加利润。 他们在平台(尤其是新平台)上添加的一个常见功能是上传文件的功能,这些文件可能包含大量信息。当然,如果这些数据存放在不安全的系统中,就很容易发生数据泄露,造成 PII 和重要敏感业务信息的丢失。 Menlo Security 在分析了全球 500 家组织的人工智能互动样本后,在 2023 年 6 月发布的研究报告《生成式人工智能对安全态势的持续影响》中探讨了这些问题。 研究显示,员工注入新的生成式人工智能平台的数据类型包括 PII(55.11%)、机密信息(39.86%)、受限信息(3.44%)、医疗信息(0.9%)、支付卡行业(0.03%)和其他信息(0.67%)。高 PII 暴露率对身份盗窃的增加有严重影响,而身份盗窃已经达到创纪录的水平。 研究还显示,企业通过键入、复制和粘贴或文件上传等方式将数据插入人工智能平台。复制和粘贴以及文件上传会带来最大的数据丢失风险,因为它们通常包含大量数据。通过文件上传造成的数据丢失正在增加。 门罗安全研究解决方案 Menlo Security 的研究提供了一些步骤,帮助人们在使用生成式人工智能平台时尽量减少 PII 和其他敏感信息的丢失。 各组织必须采用正确的技术,才能安全使用生成式人工智能。直接封锁生成式人工智能平台并不是一项可行的政策;公共部门甚至不鼓励这样做。企业需要一种分层方法,使其有能力应对员工使用这些平台的各种方式。例如,Menlo 在报告中指出,员工正在复制和粘贴大量数据,并将其上传到生成式人工智能平台。企业可以建立复制和粘贴控制,如字符数限制或阻止特定代码,但这并不妨碍员工使用这些有用的工具。门罗说:"没有人会手动输入数千行源代码,因此限制粘贴功能可以有效防止这类数据丢失。这也会让用户在输入信息时三思而后行"。 企业还可以应用触发额外控制的安全策略,如事件记录或启动会话监控,以帮助解决问题和进行事后分析。调查内部人员造成的漏洞必须提供意图证明。"记录事件和浏览会话可以提供可视性和洞察力,让我们了解用户是恶意还是疏忽,"Menlo 在报告中说。 各组织应采用可在生成式人工智能群组层面实现安全控制的技术。新的频繁生成的人工智能网站增加了数据暴露的可能性。"门罗报告称:"如果按域逐一应用政策,企业必须不断更新其列表,否则就有可能出现员工正在使用的生成式人工智能网站的安全漏洞。 罗伯特-E.-霍尔特弗雷特(Robert E. Holtfreter)博士,CFE,是中央华盛顿大学会计与研究专业的杰出教授。他是研究咨询机构 Gerson Lehrman Group 会计委员会的成员,也是白领犯罪研究联合会顾问委员会的成员。他还是 ACFE 西北太平洋分会的副主席,是 ACFE 咨询委员会和编辑咨询委员会的成员,也是 ACFE 首届 CFE 考试内容开发委员会的成员。他于 2005 年获得 ACFE "会计杰出贡献奖",2006 年获得 "年度讲师奖"。Holtfreter 荣获 2016 年《反舞弊》杂志最佳专题文章 Hubbard 奖。请通过 doctorh007@gmail.com 与他联系。 原文标题: Fake tax refunds, business license scams and risky AI platforms By Robert Holtfreter, Ph.D., CFE 本文由ACFE China校对翻译,如需转载,请提前告知。
