其中一个诈骗方法,是黑客进入报税者的户口,再更改直接银行存款的资料,令退税发放到骗徒手上。税务局发现时,600万已被骗去。照片:SHUTTERSTOCK / ANDRIY R
报料者称,骗徒觊觎税务局先退税、后核实
的政策,及人手及资源皆不足、难以及时查证的漏洞,从而得逞。
根据加拿大广播公司(CBC)调查节目《第五权》(The Fifth Estate)和加拿大广播电台(Radio-Canada)的调查,在2024年报税季期间,加拿大税务局(CRA)发现有诈骗分子掌握报税公司H&R Block的机密信息,冒名控制该公司数百纳税人的报税账户,特别是更改档案中的银行账户。
H&R Block 声称数据泄漏并非源于其系统。照片:RADIO-CANADA / JOCELYN BOISSONNEAULT
黑客在提交数百份虚假报税表后,攫取了共600万元。
其中一份报税表,虽有真实的邮政编码,地址却是捏造的番茄街(Tomato Street)。
税务专家、拉瓦尔大学法学副教授拉罗(André Lareau)认为,国会应成立委员会研究问题。照片:RADIO-CANADA
税务专家、拉瓦尔大学法学副教授拉罗(André Lareau)批评,电脑攻击日益猖獗,而CRA则存在漏洞,情况尤如盗贼进了银行,警报系统却一声不响。
据称,CRA是在今年四月从地下网发现这个骗税计划的。黑客吹嘘自己掌握CRA提供给H&R Block的电子申报识别码。这个识别码,是该公司的专员代表客户提交报税表时使用的机密电子代码。
CRA查证下发现,一批互不关连的纳税人退款,竟都发放到同一银行账户。犯罪分子在要求1400万元退税、并获发放600万后,CRA才发现并终止有关阴谋。
由于报料人无权公开谈论这些文件,因此CBC及Radio-Canda将他们的身分保密。
公众被蒙在鼓里
H&R Block否认客户资料外泄,称经过彻底的内部调查后,发现公司的数据、系统、软件和安全措施均没有受到任何损害
。
消息人士称,CRA虽向税务部长办公室通报了事件,又在春季已准备好相关新闻简报,但公众一直被蒙在鼓里。
国家税务部长比博(Marie-Claude Bibeau)拒绝回应CBC及Radio-Canada的查问。
国家税务部长比博(Marie-Claude Bibeau)。照片:(PATRICK DOYLE/THE CANADIAN PRESS)
报料者又称,CRA无法确定黑客身份,只能排除事件并非CRA自身系统被入侵,亦非内部人员参与其中。
但由于CRA即使怀疑有人使用银行账户诈骗,也不一定会与金融机构共享关键信息,报料者担心这会影响追捕黑客。
隐私泄露个案远高于上报数量
CRA在回应CBC及Radio-Canada的查问时,承认在2020年3月至2023年12月期间,共发生3.1万起隐私泄露事件,影响了6.2万名纳税人。
但私隐专员公署向国会提交的年度报告中,称CRA在2020至2024财年期间,竟只有113起隐私泄露事件。
私隐专员公署曾辩指,因CRA在2023-2024财政年结束后,才向他们发送骗案数量增加的信息,因此新案件将被纳入下一份年度报告。
税务专家拉罗(André Lareau)认为,国会应成立委员会研究问题的严重程度,并要求CRA和部长作回应,以让公众清楚到底发生了什么事及有涉事实际金额为多少。
加拿大税务局称,他们会直接通知受影响纳税人,有须要时会向他们提供信用保护,而且一向非常重视保护加拿大纳税人的信息。
照片:LA PRESSE CANADIENNE / SEAN KILPATRICK
保守党议员保罗-胡斯(Pierre Paul-Hus)谴责政府对事件沉默,认为公众须要知道CRA为什么要隐瞒信息。
CRA则表示,是在对3.1万起隐私泄露事件进行调查并确认后,才以追溯方式报告事件,但他们没有解释是如何及何时确认隐私泄露个案远高于公布的数字。
CRA只表示,注意到外部数据泄露和网络威胁明显增加,问题包括未经授权的第三方进入加拿大人的账户、篡改直接存款信息、提交虚假税单和提交虚假报税表等。
CRA称,他们会直接通知受影响纳税人,有须要时会向他们提供信用保护,CRA一向非常重视保护加拿大纳税人的信息。
CRA表示,自2020年起,该局已就与隐私泄露有关的已确认欺诈案件支付了总计1.9亿元款项。大部分款项是在疫情开始的2020年发放,及后金额已急剧下降。
Daniel Leblanc et Harvey Cashore de Radio-Canada, adaptation en chinois par Donna Chan.
