20250309/【预防欺诈专题】税务黑客:谁在入侵CRA账户?

加拿大星星生活捷克佳/【编者按】每年三月是加拿大全国预防欺诈月,政府及各机构提醒公众警惕各类诈骗,并提供防范建议。目前,欺诈手段不断变化,骗子常冒充政府、银行等获取个人信息。任何人都可能成为目标,提高防范意识、谨慎应对可疑电话、短信、电子邮件和社交媒体信息,是打击此类犯罪的最佳方式。

在骗子侵入了他们在加拿大税务局的账户后,加拿大各地身份盗窃的受害者希望洗清自己的名声。

海蒂•格尔曼(Heidi Germann)在卑诗省克雷斯顿出生长大,这座小镇位于美国边境以北12公里处。在游历了世界各地之后,格尔曼最后回到了自己的家乡。如今,47岁的格尔曼是吉米酒吧的一名服务员,该酒吧是这个拥有5,500名居民小镇的中心场所。

这里的人们为自己的身份感到自豪,但身份恰恰是格尔曼所失去的。


【海蒂•格尔曼(Heidi Germann)】

2023年5月下旬,格尔曼的加拿大税务局(CRA)账户被黑客入侵,骗子利用她的身份提交虚假退税申请,并更改直接存款信息,使退税金进入骗子账户。从那时起,她一直在努力证明自己的清白。“我想知道如何恢复我的身份。”

CBC深度调查节目“第五权力”(TheFifthEstate)发现,格尔曼只是加拿大税务局最新诈骗案中的众多受害者之一,骗子冒充个人授权税务代表,从而窃取其税务账户。

举报人、泄露的文件和多名受害者描述了这样一幅画面:黑客多次使用税务代理的特殊访问权限侵入受害者的CRA账户。他们使用被盗的个人信息创建虚假T4表格,使CRA误以为受害者有退税资格,并将资金转入骗子账户。

在此之前,有消息称,在过去几年中,CRA数以万计的纳税人账户遭到黑客攻击,并向诈骗者支付了数千万元。

CRA内部分析显示,过去几年间,数万名纳税人的账户遭黑客攻击,损失金额高达数千万元。一名举报人透露,该机构有意隐瞒欺诈规模,以维护公众信任。然而,CRA内部人士警告,加拿大人如果知道税务局管理松懈的程度,恐怕会大为震惊。


【渥太华的康诺特大厦是加拿大税务局总部所在地】

格尔曼的案例再次证明,加拿大税务局在支付退款时几乎不加核查,哪怕只需简单的谷歌搜索就能发现可疑之处。

但这个故事还有一个转折,一名受害者奋起反抗,试图扭转局势。

**受害者受到错误指责

格尔曼说,起初,加拿大税务局错误地指责她于2024年提交了虚假的纳税申报单。CRA给当时是两名受抚养人监护人的格尔曼发了一封信,威胁说如果她不偿还10,046.90加元,就扣留她的工资,尽管这时该机构已经支付给骗子的钱。


【自从CRA账户被黑客入侵后,格尔曼就再也没有收到过退税和政府福利,因此不得不在酒吧加班】

格尔曼表示,但身份盗窃让她陷入财务困境。CRA误认她为欺诈者,冻结她的账户,使她无法获得政府补助。

更令人惊讶的是,CRA声称她通过H&R Block在阿尔伯塔省的一家办事处提交了报税,但她从未使用该公司服务。即便她提供证据证明自己是受害者,CRA仍坚持索要退款。

那么,为什么加拿大税务局要指责受害者,而不是提交虚假纳税申报表的冒名顶替者呢?

经过数月的调查,CBC了解到,格尔曼只是一个更大骗局中的一环。这场骗局涉及H&R Block、一家位于卡尔加里的在线数字银行、无助的加拿大税务局,以及其他身份被盗的卑诗省居民。

当节目主持人向格尔曼出示一份她从未见过、却印有自己名字的银行对账单——实际上是冒名顶替者使用的账户时,她紧张地笑了。“这是我的名字,真的令人毛骨悚然。”

**报税公司和加拿大税务局

据行业研究公司IBISWorld称,加拿大最大的两家报税公司Intuit和H&R Block均为美国公司,是北美每年140亿美元行业的一部分。全国有数百家小型报税公司,有些是在线报税,有些是可以亲自前往报税。如今,超过90%的美国人和加拿大人使用第三方报税员或其软件在线报税。


【第三方报税公司如H&R Block Canada仅在加拿大就属于每年17亿元产业的一部分】

然而,与专业会计事务所不同,报税行业监管较松,员工可能只接受60小时培训即可上岗。

加拿大税务局网站链接到25家提供软件和纳税申报服务的私人公司,但同时提醒纳税人自行承担使用风险。

魁北克拉瓦尔大学税法副教授安德烈•拉罗(Andre Lareau)指出,这种做法本质上是在推卸责任。他说,管理加拿大税务局数据安全的联邦法规不适用于税务公司。


【加拿大T1报税表】

加拿大各地隐私办公室收到大量关于报税公司泄露个人信息的投诉。美国H&R Block在2024年报告一起网络安全漏洞,导致23,067名客户信息被盗。

前加拿大税务局调查员肖娜•罗伊(Shawna Roy)证实,黑客利用税务代理的访问权限窃取身份信息,并提交虚假退税申请。她曾建议CRA审计第三方报税公司,但该建议未被采纳,反而她所在的反欺诈部门最终被解散。


【前加拿大税务局调查员肖娜•罗伊(ShawnaRoy)】

罗伊表示,CRA的安全系统极为薄弱,骗子可以轻松获取账户访问权限。她因此对整个税务系统失去信心,并于2023年5月辞职。

**基洛纳受害者的调查

在基洛纳(Kelowna),另一名受害者“保罗”(Paul,化名)的经历与格尔曼类似。他的CRA账户在2023年夏天被黑,骗子冒用他的身份申报退税,并在2024年春天收到CRA的索偿信,要求他偿还3万加元的欺诈性退税。这封信的作者是加拿大税务局局长鲍勃•汉密尔顿(Bob Hamilton)。


【电脑屏幕上显示的是加拿大税务局的账户页面】

于是保罗开始发起攻势。他登录加拿大税务局(CRA)账户后,保罗注意到有三位新的“授权代表”:

H&R Block。

H&R Block加拿大有限公司

罗谢尔(Rochelle)[姓氏隐藏]。

但他说他从未使用过H&R Block。于是拨打H&R Block总部电话,希望获取信息。

客服告诉他,与其身份相关的T4表格已因“数据不一致”被标记为待审查,并表示将调查该事件。然而,几个月过去,他仍未收到回复。

在漫长的等待中,保罗意外收获了一丝希望,他确信这将成为案件破获的关键线索。

2024年2月,保罗的父母打电话告诉他,他收到了一封来自卡尔加里DC银行的信件。尽管他几年前就已搬离父母家,信中却写道,该银行即将关闭他的账户。

但保罗从未在DC银行开过户,甚至此前都没听说过这家银行。

起初,他没有在意,把信随手搁在一旁。但很快,他灵光一闪——如果这封信与他被黑的CRA账户有关呢?如果骗子利用他的身份,在DC银行开了一个账户呢?


【DC银行的总部位于卡尔加里的这栋大楼里】

带着疑问,保罗查找了DC银行的联系方式,并拨打电话与客服沟通。

“对方问我:‘你没有收到任何退款吗?’”保罗回忆道,“她说,‘这里有一大笔钱,包含多笔退税款。你真的没有收到过任何退款吗?’”

保罗随即向银行说明,自己是身份盗窃的受害者。DC银行意识到问题的严重性,承诺配合警方调查,并建议他让基洛纳的皇家骑警(RCMP)与银行联系。

不久后,保罗再次致电银行,要求对方将与“他”名下账户相关的交易记录通过电子邮件发送给他。银行很快照办了。

**预付万事达卡

这份交易记录详细显示了冒名顶替者在一个多月内的资金流动情况。

2023年7月21日,冒名顶替者的账户首次收到9,372.20加元,随后转出近4,000加元,汇给不明身份的人。接着,他开始在不同场所大肆挥霍。

一个月后,另一笔255加元进账,来源是一名叫海蒂•格尔曼的人。后来,保罗才得知,骗子同样盗用了格尔曼的身份,在DC银行开设账户。

对保罗而言,银行记录就是最有力的证据。记录上的消费地点,他根本未曾去过,这足以证明资金并非由他使用。

带着这一发现,保罗立即联系H&RBlock,希望这能促使他们加快调查进度。但他的兴奋很快变成了震惊。

“客服代表告诉我,系统里根本找不到我的记录。”保罗回忆道。甚至他首次致电时得到的参考编号也不见了。

“怎么可能?我的账户去哪儿了?我的信息被删除了吗?”保罗愤怒地质问。

几个月后,他将DC银行的交易记录副本(其中提到H&R Block)发送给CBC。记者随后咨询了独立洗钱和欺诈专家、哈利法克斯反欺诈情报咨询公司负责人凡妮莎•伊福拉(Vanessa Iafolla)。


【反欺诈专家凡妮莎•伊福拉(Vanessa Iafolla)】

伊福拉看到这份记录后,直言不讳地表示:“天哪,H&R Block和DC银行可能要面临大麻烦了。”

“人们可以在自己的名下开设账户,却对账户的存在一无所知,这简直荒唐!尤其是这些账户被用来欺骗CRA。如果金融机构允许自己的账户被这样滥用,那无疑是个严重的问题。”

她指出,根据加拿大《犯罪收益和恐怖主义融资法案》,银行必须核实客户身份。那么问题来了:既然有严格的身份审核规定,骗子又是如何成功开设这些账户的呢?

**132大道上的房子

在埃德蒙顿西北132大道,一栋不起眼的灰色平房隐藏着一个重要线索——它与格尔曼和保罗的CRA账户被盗案件有关。


【埃德蒙顿郊区航拍照片】

CBC追踪发现,骗子提交的虚假T4单据均来自两家编号公司,而这两家公司都将132大道这栋房子作为总部。为了申请虚假退税,骗子不仅伪造T4,还创建了这些虚假公司。

更可疑的是,这两家公司的唯一董事是同一个人。但当记者上门调查时,发现租户早已搬走,而这位董事罗谢尔(Rochelle)其实是另一位身份被盗的受害者。

“天哪!”罗谢尔震惊地说,当她用谷歌搜索自己的全名时,发现自己竟被列为埃德蒙顿两家公司的董事。

“可我根本没开过任何公司。”她对CBC说。

这些公司造假的痕迹显而易见——他们为2022年的工作开具了T4,但公司成立时间却是2023年5月和6月。一家2022年还不存在的公司,如何为“员工”开T4?

然而,加拿大税务局(CRA)还是支付了这些退款。

记者的搜索揭露了更深的骗局。在132大道地址上,还有另一家名为Expedited Enterprises的公司,声称从事卡车运输业务。虽然网站和电话已失效,但公司在埃德蒙顿北部圣艾伯特(St. Albert)还有一个登记地址。

CBC进一步调查圣艾伯特该地址的土地所有权记录,终于找到一个真实的名字——道格拉斯•波普莱特(Douglas Poplett)。

波普莱特早有前科。根据2020年《圣艾伯特公报》报道,他和一名女子克里斯蒂娜•切尔帕克(Christina Cherpak)因盗窃和使用偷来的身份卡被控多项罪名。


【克里斯蒂娜•切尔帕克(Christina Cherpak)在Facebook个人资料照片】

2021年,切尔帕克的身份盗窃罪被撤销,她承认持有毒品罪。而波普莱特则因冒充他人、持有赃物及违反禁止持有身份文件的法令而被定罪。据法院记录,他过去20年内共被指控71项罪行,其中许多涉及欺诈。

波普莱特的Facebook显示,他与切尔帕克于2021年结婚。切尔帕克的社交媒体最近仍在更新,包括2024年她用烟花庆祝新年的视频。


【道格•波普莱特(Doug Poplett)和克里斯蒂娜•切尔帕克(Christina Cherpak)的照片】

CBC试图联系波普莱特,但他因另一宗欺诈案正在接受审判,并通过律师拒绝采访。而切尔帕克也未回复记者的邮件和社交媒体请求。

**闭路电视录像:关键证据浮现

CBC重新审查DC银行的交易记录,发现与税务申报公司H&RBlock相关的虚假退税款被疯狂挥霍。每笔交易都精确记录到秒,这意味着某些地点可能存有冒名顶替者的闭路电视录像(CCTV)。

然而,记者们多次联系商家,却被告知录像只有执法部门要求才能提供,或已被删除。


【分析银行的交易记录】

转机出现在埃德蒙顿卡尔加里小道附近的Len’Steves餐厅一笔异常退款。银行记录显示,2023年8月23日凌晨1:20,该餐厅发生了一笔交易,两天后又出现525元的退款。

CBC记者找到餐厅老板雷贡多拉(Len Regondola),询问是否仍有监控录像。当她看到银行记录的日期时,眼前一亮,立刻认出了这笔交易的日期。“那天我被抢了。”


【埃德蒙顿Len’Steves餐厅老板雷贡多拉(Len Regondola)】

雷贡多拉回忆,一男一女在餐厅逗留至打烊。等他们离开后,她才发现信用卡机被调包,取而代之的是一台外观相似的机器。

诈骗者试图给自己退款25,357元,但雷贡多拉及时发现并阻止了交易。她立即报警,但之后再未收到警方回复。

雷贡多拉调出电脑记录,发现诈骗者使用了多张信用卡进行退款操作。其中一张卡尾号9174,正是CBC一直追踪的DC银行预付万事达卡,它曾收到CRA虚假退款。

抢劫雷贡多拉的人,与CRA欺诈案直接相关。

可喜的是,雷贡多拉的手机里确实保留了闭路电视录像。画面中,一名男子身材与道格•波普莱特(Doug Poplett)相仿,几分钟后,一名女子直视摄像头,她毫无疑问就是克里斯蒂娜•切尔帕克(Christina Cherpak)——波普莱特的妻子,也是Facebook和TikTok视频中的那名女子。

**H&R Block特许经营权的未解之谜

尽管调查深入,H&R Block仍留下几个悬而未决的问题。

几个月来,保罗一直困惑于:“H&R Block”和“H&R Block Canada, Inc.”究竟是如何成为他被盗税务账户的“授权代表”的?

他回忆,虚假退税存入后,DC银行卡上出现三笔神秘电子转账,去向不明。身份被冒用、资金不知去向,让他倍感不安。

“我很害怕,”保罗担心诈骗者会报复,“我不知道是谁冒充我。”

2024年5月,保罗联系到H&R Block卡尔加里总部欺诈调查员香特尔•弗雷克(Chantal Freake)。她为他分配了新的案件参考号,因为旧的已被删除或丢失。她承诺,H&R Block将启动内部欺诈调查并联系RCMP。

然而,几个星期过去,直到6月27日,弗雷克才通过语音邮件回复:“很抱歉这么久才联系您。报税的办公室实际上是一个特许经营店,所以我们的系统里没有您的记录。特许经营店有自己的系统,我们无法查看。”

这竟是保罗最后一次听到H&R Block的消息。

调查发现,为保罗报税的H&R Block特许经营店位于阿尔伯塔省斯普鲁斯格罗夫(Spruce Grove),距离埃德蒙顿约35公里。


【位于阿尔伯塔省斯普鲁斯格罗夫的这家H&R Block特许经营店提交了一份虚假的纳税申报单】

CBC记者前往该店,试图查清H&R Block是如何卷入欺诈案的。

如果有人能解释H&R Block如何提交这些虚假报税表,那个人很可能是特许经营店的老板——切瑞•塞库拉(Cherry Sekura)。

记者站在店外拨通电话,直截了当地说:“我们希望得到您的帮助。”

然而,塞库拉并未回答问题,而是先询问记者是如何得到她的号码的,然后又要求提供他的电话号码。接着,她直接挂断了电话。

斯普鲁斯格罗夫的RCMP告诉CBC,他们没有发现任何H&RBlock相关的调查记录。

至此,H&RBlock在这场骗局中的角色,依然成谜。

**骗局剖析


【涉及基洛纳受害者的诈骗案例——以及如何追查幕后黑手(CBC)】

CBC向H&R Block发出详细信件,介绍了保罗和格尔曼的遭遇,记者询问了保罗对他的文件被删除的担忧,以及他为查明真相所做的努力。

H&R Block未回应具体问题,而是发邮件质疑CBC的报道,表示该报道误导性强,完全基于猜测。H&R Block强调,身份盗窃发生在他人非法获取并使用个人信息时,并非源自H&R Block,加拿大公司指出盗窃可能通过多种方式发生,如网络钓鱼、盗刷、社会工程或邮件盗窃等。

DC银行表示,在发现账户存在“异常”后关闭了保罗的账户,但未解释冒名顶替者如何开设该账户。银行指出,H&R Block的政策是通过面对面的身份验证来处理报税事务,以符合《犯罪收益(洗钱)和恐怖主义融资法案》。

加拿大税务局拒绝了CBC记者关于账户被黑和身份盗窃的采访请求,表示该局已组建专门团队应对欺诈行为,并成功应对了数十万次恶意攻击。


【加拿大税务局局长鲍勃•汉密尔顿(Bob Hamilton)】

一位举报人告诉CBC,加拿大人至今未看到有关骗子从国库窃取资金的完整记录。据称,这一金额接近5亿元。消息人士表示,加拿大人应感到愤怒,但这种压力可能促使不愿改变的相关方做出改进。

对于担心税务账户被黑客入侵的加拿大人,消息人士提醒,“纳税季节将至,一切将再次发生”。

在卑诗省克雷斯顿,海蒂•格尔曼因未收到福利,不得不在吉米酒吧加班。她表示从未收到加拿大税务局对其被诬告冒名顶替的道歉。基洛纳的保罗也未收到道歉,且仍然担心有人可能参与盗取其身份,扰乱他的生活。

保罗表示:“不幸的是,我是这一复杂骗局的众多受害者之一。我不知道这个骗局的规模,也不清楚它会发展到什么程度。”

新闻来源:

https://www.cbc.ca/newsinteractives/features/whos-hacking-cra-accounts

【预防欺诈专题】

揭开CRA骗局:加拿大史上最大诈骗案的黑幕

税务黑客:谁在入侵CRA账户?

终于揪住狐狸尾巴!数据泄露揭露呼叫中心加密货币诈骗者真面目

警惕虚假网站投资陷阱!多名受害者损失惨重

CIBC女客户震惊,名下竟有陌生人贷款26万,她完全不知

五大热门骗局曝光:法律专家建议如何保护自己