数万名纳税人账户被黑客入侵，加拿大税务局多次发放数百万加元虚假退税

在今年纳税季节的高峰期，加拿大税务局发现黑客窃取了该国最大的纳税申报公司之一 H&R Block Canada 使用的机密数据。

加拿大广播公司CBC的调查发现，冒名顶替者使用该公司的机密凭证，未经授权访问数百名加拿大人的个人加拿大税务局（CRA）账户，更改直接存款信息，提交虚假申报表，并从公款中骗取超过 600 万加元的虚假退款。

在一个案例中，黑客提交的退货申请使用了合法的邮政编码，但却使用了不存在的番茄街的虚假地址。

魁北克市拉瓦尔大学税务副教授安德烈·拉罗在接受采访时表示：“显然大门是敞开的，有些人正在渗透到这个系统中。但加拿大税务局似乎还没有找到锁门的钥匙。”

据消息人士透露，此次危机促使加拿大税务局联系了税务部长玛丽-克洛德·比博（Marie-Claude Bibeau）的办公室。

该机构已准备好媒体渠道来回答有关 H&R Block 数据泄露以及该机构为何向诈骗者支付数百万加元的问题。

图：税收部长玛丽-克劳德·比博 (Marie-Claude Bibeau) 拒绝了采访请求，包括采访最近加拿大人 CRA 账户被盗的情况。 （Justin Tang/加拿大新闻社）

最终，公众并未获悉该计划。

H&R Block 公司在一份声明中表示，没有证据表明此次入侵事件源自该公司。

该税务公司表示，经过“全面的内部调查”，其“数据、系统、软件和安全”均未受到任何损害。H&R Block 表示，该公司并不知道受此次泄密事件影响的加拿大纳税人是否是其客户。

据消息人士透露，加拿大税务局未能确定黑客的身份，但排除了自身系统被入侵或内部人员参与的可能性。最终，谁窃取了这些数据以及从何处窃取仍不得而知。

税务部长和加拿大税务局媒体关系办公室均未回应有关 H&R Block 数据泄露的问题。

第五等级和加拿大广播公司没有透露消息来源，因为他们没有被授权公开发言。

议会违规行为报告大幅增加

加拿大广播公司的调查发现，H&R Block 数据泄露事件只是加拿大税务局面临的众多问题之一，审计人员和调查人员担心公众可能会失去对负责保护纳税人金钱和个人信息的机构的信任。

在该机构内部忙于处理所谓的威胁行为者的同时，第五阶层/加拿大广播公司的调查发现，公众对于被盗金额的惊人数量以及该机构检测欺诈的能力存在巨大缺陷基本上一无所知。

拉罗表示，应该进行议会调查，确定问题的“严重程度”，并迫使加拿大税务局和部长作出答复。

他说：“他们都应该清楚地说明发生了什么，以及涉及多少钱。”

加拿大税务局还有义务向直接向议会报告的隐私专员报告纳税人账户的“重大”违规行为。

图：魁北克市拉瓦尔大学税务副教授安德烈·拉罗 (Andre Lareau) 表示，他对支付给骗子的虚假退税金额感到担忧。“加拿大税务局似乎还没有找到锁门的钥匙，”他说。 （Mathieu Potvin/Radio-Canada）

在 6 月份向议会提交的一份报告中，隐私专员报告称，在截至 2024 年 3 月 31 日的财政年度中，加拿大税务局发生了 71 起违规行为。在此前的三年中，共报告了 42 起隐私泄露事件。

此后这些数字开始激增。 

在回答《第五阶层》 /加拿大广播公司的问题时，加拿大税务局承认，从 2020 年 3 月到 2023 年 12 月，其发生了超过 31,468 起“重大”隐私泄露事件，影响了 62,000 名加拿大纳税人。

议会未获知

隐私专员菲利普·杜弗雷斯内 (Philippe Dufresne) 也拒绝接受采访。 

在一封电子邮件中，他的办公室为决定不将隐私泄露事件大幅增加的情况纳入 2024 年 6 月提交给议员的报告中进行辩护。专员办公室为这一决定辩解称，加拿大税务局在 2024 年 3 月的报告期之后发送了这些信息，他将在明年的年度报告中纳入新的数据。

加拿大税务局则表示，它只是追溯性地报告了 31,468 起隐私泄露事件。

图：诈骗者获得第三方报税凭证，代表纳税人报税。然后他们伪造报税单并更改直接存款账户。在加拿大税务局发现骗局之前，钱就被支付出去了。 

在回答加拿大广播公司的问题时，该机构表示注意到“外部数据泄露和网络威胁明显增加”，其中“未经授权的第三方”访问加拿大人的税务账户，更改直接存款信息，制作“虚假税务信息单”并提交虚假申报表。

加拿大税务局表示，当发生违规行为时，个人纳税人会得到通知，并会获得“所需的信用保护”，而且加拿大税务局对保护加拿大人的税务信息“非常重视”。

加拿大税务局没有回答如何以及何时首次得知隐私泄露事件数量被少报给议会，也没有按年份细分报告的总数。

2020 年，财政委员会报告称，当年的加拿大税务局网络攻击已得到控制。2022 年，一名法官在一场针对联邦政府隐私泄露的集体诉讼中得出结论，12,700 个加拿大税务局账户中的直接存款信息已被诈骗者更改。

加拿大税务局在周五晚上发布的第二份声明中表示，该局在 2020 年至 2024 年 10 月初期间错误地批准了超过 1.9 亿元的与“已确认”的隐私泄露案件有关的虚假支付。

该机构表示，大多数此类事件发生在 2020 年新冠疫情期间，近年来此类事件“急剧减少”。

该机构在声明中表示，2024 年它向冒名顶替者支付了总计 300 万美元——据消息人士透露，这个数字似乎与今年 H&R Block 数据泄露事件中损失的 600 万美元不一致。

据消息人士透露，加拿大税务局积压了大量可疑病例，尚未报告为“确诊”病例。

H&R Block 证书泄露事件的微观世界

并非所有针对加拿大税务局的诈骗都涉及侵犯隐私。诈骗者经常使用自己的账户进行虚假索赔。

据消息人士透露，H&R Block 的案件是一个缩影，反映出加拿大税务局不堪重负、资源不足、智谋不足的现状，黑客和骗子趁机趁机得逞，因为加拿大税务局无法发现大量纳税申报欺诈行为。 

消息人士称，加拿大税务局内部所谓的“先付款后追讨”文化，使得该机构打击虚假退税的努力变得更加复杂，这是一种刻意的政策，目的是尽快向公众发放退税，然后再审计差异。

拉罗表示，加拿大税务局喜欢宣传其“高效”机构的“形象”，即“尽快”发放纳税申报单。 

消息人士向《第五阶层》 /加拿大广播公司透露，这种做法给诈骗分子留下了可乘之机。

该机构官员似乎在今年 4 月份注意到暗网上有帖子出售非法获取的 H&R Block 数据后，就发现了问题。

图：Fifth Estate/Radio-Canada 的调查发现，一名骗子在暗网上寻找 H&R Block 的机密信息。窃取这些数据的人的身份以及黑客来自何处仍不得而知。 

黑客获得了加拿大税务局提供的 H&R Block 电子报税凭证 - 本质上是该公司会计师用来代表纳税人提交纳税申报表的机密电子密钥。

最终真相大白，被窃取的 H&R 区块信息帮助冒名顶替者获取加拿大人的纳税申报表、更改银行信息甚至地址，以骗取虚假的退款和税收抵免。

据消息人士透露，加拿大税务局意识到其向同一银行账户发放了多笔不相关的虚假退款。

加拿大税务局审计人员得出结论，他们被骗了，在 2024 年支付了超过 600 万元，然后才阻止另外 1400 万元支付给冒名顶替者。

机构内部和外部缺乏沟通

据消息人士透露，即使加拿大税务局怀疑欺诈者正在使用他们的某个银行账户，加拿大税务局也不会总是与金融机构分享关键信息。

消息人士补充说，该机构还担心缺乏内部沟通会减慢追捕黑客的速度。

加拿大税务局在声明中表示，违规行为的急剧增加可以追溯到 2020 年和新冠疫情紧急救济金的推出。该机构表示，其已采取相应措施，为个人纳税人账户提供更强有力的保护，并保障其在线服务。

加拿大税务局发言人表示，一旦发生违规行为，“我们已经制定了流程和程序，以便快速应对，并减轻对纳税人信息和纳税人账户的威胁”。

该机构发言人 Kim Thiffault 表示：“随着骗子调整其做法，加拿大税务局也会随之调整。”