La conversation
L’Australian Tax Office (ATO) a versé plus d’un demi-milliard de dollars aux cybercriminels entre juillet 2021 et février 2023, selon un rapport d’ABC.

La plupart des paiements concernaient de petits montants (moins de 5 000 dollars australiens) et n’étaient pas signalés par les propres systèmes de surveillance de l’ATO.

Les fraudeurs ont exploité une faiblesse du système d’identification utilisé par le portail en ligne myGov pour rediriger les remboursements d’impôts d’autres personnes vers leurs propres comptes bancaires.

La bonne nouvelle est que le gouvernement fédéral peut faire beaucoup pour sévir contre ce type de fraude – et que vous pouvez faire pour assurer la sécurité de vos propres paiements.

Comment fonctionnent ces arnaques

La création d’un compte myGov ou d’un identifiant myGov nécessite une pièce d’identité sous forme de « 100 points d’identité ». Cela signifie généralement soit un passeport et un permis de conduire, soit un permis de conduire, une carte d’assurance-maladie et un relevé bancaire.

Une fois qu’un compte myGov est créé, le lier à vos dossiers fiscaux nécessite deux des éléments suivants : une évaluation ATO, des coordonnées bancaires, une fiche de paie, un paiement Centrelink ou un super compte.

Ces documents étaient précisément ceux ciblés dans trois importantes violations de données au cours de l’année écoulée : chez Optus, chez Medibank et chez Latitude Financial.

Dans cette arnaque, le cybercriminel crée un faux compte myGov en utilisant les documents volés. S’ils peuvent également obtenir suffisamment d’informations pour établir un lien avec l’ATO ou votre numéro de dossier fiscal, ils peuvent alors modifier les coordonnées bancaires pour que votre remboursement d’impôt soit versé sur leur compte.

C’est une arnaque malheureusement simple.

Comment le gouvernement peut améliorer

L’un des problèmes ici est assez étonnant. L’ATO sait où les salaires sont payés, via le système de paie « single touch ». Cela garantit que les salaires, les impôts et les cotisations de retraite sont tous payés en une seule fois.

La plupart des personnes qui ont reçu un remboursement d’impôt auront fourni des coordonnées bancaires sur lesquelles ce paiement peut être effectué. En effet, de nombreuses personnes utilisent précisément ces coordonnées bancaires pour s’identifier auprès de myGov.

À l’heure actuelle, ces coordonnées bancaires peuvent être modifiées dans myGov sans plus tarder. Si l’ATO vérifiait simplement auprès de l’individu via un autre canal lorsque les coordonnées bancaires sont modifiées, cette fraude pourrait être évitée. Il pourrait être judicieux de vérifier également auprès de l’employeur de l’individu.

Une partie du problème est que l’ATO n’a pas été très transparent sur les risques. Si ces risques avaient été clairement définis, les appels à des modifications des procédures ATO auraient été clairs et nets de la part de la communauté de la cybersécurité.

L’ATO est généralement bon pour identifier quand un incident de cybersécurité peut conduire à une fraude. Par exemple, lorsque la société de logiciels de recrutement PageUp a été piratée en 2018, l’ATO a demandé aux personnes susceptibles d’avoir été concernées de reconfirmer leur identité. Cela a été fait sans commentaire public et représente une bonne pratique.

Malheureusement, les millions de dossiers volés dans les violations d’Optus, Medibank et Latitude Financial n’ont pas conduit à un niveau de vigilance similaire.

Une autre action que l’ATO pourrait prendre serait de vérifier quand un seul ensemble de détails de compte bancaire est associé à plus d’un compte myGov.

Une identité numérique nationale serait également utile. Cependant, ce système est en développement depuis des années, n’est pas universellement populaire et pourrait bien être retardé jusqu’après les élections fédérales prévues en 2024.

Se protéger

La chose la plus importante à faire est de s’assurer que l’ATO n’utilise pas un numéro de compte bancaire autre que le vôtre. Tant que l’ATO ne dispose que de votre numéro de compte bancaire pour transférer votre détaxe, cette arnaque ne fonctionne pas.

Cela aide également à protéger votre numéro de dossier fiscal. Seuls quatre groupes ont besoin de ce numéro.

Le premier est l’ATO lui-même. Le second est votre employeur. Cependant, rappelez-vous que vous n’avez pas besoin de donner votre TFN à un employeur potentiel, et votre employeur n’a besoin que de votre TFN. après vous avez commencé à travailler.

Votre super fonds et votre banque peuvent vous demander votre TFN. Cependant, fournir votre TFN à votre super fonds ou à votre banque est facultatif – cela facilite simplement les choses, sinon ils retiendront l’impôt que vous devrez réclamer plus tard.

Bien sûr, tous les problèmes habituels de sécurité des données s’appliquent toujours. Ne partagez pas les détails de votre permis de conduire sans raison valable. Faites également attention avec votre passeport. Votre carte Medicare est destinée aux services de santé et n’a pas besoin d’être largement partagée.

N’ouvrez pas les e-mails de personnes que vous ne connaissez pas. Ne cliquez jamais sur les liens dans les messages à moins d’être sûr qu’ils sont sûrs. Plus important encore, sachez que votre banque ne vous enverra pas d’e-mails contenant des liens, pas plus que l’ATO.

A lire également