2020-08-21 更新
到今天周五上午,CRA online服务游离在完全down掉和部分down掉之间的状态。
2020-08-20 更新
到今天周四上午,online服务已经部分恢复了。
我们做会计行的,天天等着CRA系统恢复好干活呢,所以我用Jmeter每5分钟探测一次在政府网页上,只要service not available 的字样消失了,就给我发个短信。
但又一想,怕每5分钟太频繁了结果政府服务器再认为我是坏人,就不好玩了。所以改成了1小时探测一次。
总之昨夜我收到了通知。我试了一下,确实是可以登录了。在登录安全上,政府给加了一个图片验证,这个”找car“的游戏难度太高了,因为火车、卡车、SUV,不是car!
但个人用户登进去之后会发现,还是查不了自己的direct deposit账户信息。
如果你是同行,登录进去之后会发现:可以看已有客户的资料,但还是不能加新客户,一点Authorization request 就 service not available 了。
当然,你现在查不了。因为就在本稿发出的这一刻,CRA My Account一直还是关闭的。我的意思是只要CRA Online一恢复,建议你立即查一下。
问答形式又来了,咱们来说一说最近闹得很凶的CRA账号被黑一事。
- 黑客常年有,见惯不怪了,这次我需要特别注意一下吗?
[JKtax]
这次和身边的你我他更息息相关了。先来张真实的截图,上周五大卫惊奇地发现,他在CRA账号里的direct deposit信息被改到了位于Brampton的一家TD的分理处,同时他在CRA的注册邮箱也被改了,邮箱地址后面被加了两个零,其余信息没动。
[JKtax]
[JKtax]
黑客做这些改动的目的已经达到了,他的CRA账户被用来申请了疫情救济金CERB,钱已经转进Brampton的TD了。
[JKtax] - 有很多人的账号被黑吗?
[JKtax]
是的。7月20日左右起,陆续有人报告说:
[JKtax]
(a) 他从没申请过CERB,但他的CRA账号被人用来把钱申请走了;或
[JKtax]
(b) 他申请过CERB,头几次的钱进了自己的账号,但后几次的被“截和”了,进了不知道谁的银行账号。
[JKtax] - CRA采取了什么行动吗?
[JKtax]
CRA于上周五(8月14日)终于扛不住了,关闭了几乎所有online access,一直到现在。
[JKtax] - 全加拿大受害者人数有多少?
[JKtax]
几天来主流媒体(以CBC为主)都说CRA有5,500的个人账号给黑了,但刚刚又说:在加拿大的1千2百万个激活的CRA账号中,有9,041个账户的登陆是通过欺诈手段获取并被用于登陆政府网站,有证明其中三分之一用到了最近的CERB上。
[JKtax]
但我想:(a) 我身边就不止一例;(2) 我认识的几位大会计,几乎每位都有客户被黑的;(3) 看各大论坛上的受害者讨论,感觉人数远比几千要多。
[JKtax] - 黑客是用什么手段获取了纳税人的online账户的?
[JKtax]
这就是可怕的地方。以我本人在IT业10年的经验总结一下,CRA账号被黑只有三种可能:
[JKtax]
(a) 黑客攻击了CRA或银行的服务器拿到了log-in信息;
[JKtax]
(b) 黑客打电话给CRA,冒充纳税人改了登录信息;
[JKtax]
(c) 黑客攻击的是纳税人的个人电脑和移动设备,拿到了CRA登陆信息。
[JKtax]
为什么说可怕呢?是因为到现在也不能确定到底用的是哪种方法。如果知道了攻击从何处来,堵漏和反击就容易多了。
[JKtax]
Reddit上有人自信地说:我是资深IT安全专家,我可以说黑客如果直接攻击CRA或银行的服务器就太蠢了,所以黑客攻击的是薄弱得多的个人设备,你在浏览器里不知道随手点了哪个button了,登陆信息就被拿走了。
[JKtax]
更官方(来自CBC)的说法是:黑客早就黑进了CRA的服务器,掌握了很多人的CRA登录信息,但直等到7月下旬才动手,因为那样可以一次申请到最多的钱,到了CERB里点6次,$2,000 x 6 = $12,000 就到手了。
[JKtax]
就在我刚刚觉得自己总结的第二种“打电话”的方式不成立的时候(其实我内心一直觉得这个方法虽然笨,但行得通),就看到了在Reddit上,有受害者说:我发现我的CRA账号被盗用了,就给CRA电话,电话里CRA说不是你上周四打来电话改的你的银行信息吗?我说:啊~那不是我,真是太难以置信了。
[JKtax]
所以到最后,只能说:这次黑客对CERB的攻击,是全方位的。
[JKtax] - 这次攻击,和银行有关系吗?
[JKtax]
我觉得有。以本文最初的Brampton TD为例,现在有两种可能。一种是这个银行账号的主人也一起被骗了,也就是他的银行账号也被黑掉了,所以CERB刚一转进他的账号,就被转走给世界某个角落一个不知名的岛去了。
[JKtax]
第二种可能是有人拿假证件,去Brampton TD开了一个银行账号,用完就完了。
[JKtax]
第一种有个强有力的说服点,就CRA账号被黑,其实是银行账号被黑了,因为很多人在登陆CRA时是用的银行登陆信息 (Sign-in Partner),但我觉得第一种的说法也有个矛盾点,因为如果连银行登陆都已经被黑了,那黑客直接把账号里的钱拿走不就完了(当然也不排除很多账号里只有少量金额的可能)。
[JKtax]
如果是第二种,银行接受了假ID给开了户头,那银行就有问题了。虽然据说在多伦多买个假驾照连5百块钱都不用 (这还是零售价,批发价应该更便宜),但这不是银行可以不做尽职调查的理由。
[JKtax]
无论哪种可能,可以说银行都难脱其咎,甚至还有人分析说内鬼就来自银行内部。
[JKtax] - 那加拿大五大银行都不安全了吗?
[JKtax]
看论坛上很多人都在说自己的身份被盗用的经历,我猛然发现大多数的冒领,都是转去到了TD银行的账户中。只有一个人说他本来是Simplii的账户,被改成了一个Scotia的账号,仅此一例而已。
[JKtax]
Okay这只是个人观点,如果你看到这篇就去股市做空TD赔了钱,不要怪我。
[JKtax] - 现在CRA网站还down着,我有点担心,有什么方法能查到我有没有被黑吗?
[JKtax]
有,查你的邮件。被黑的第一步是收到一封CRA的通知邮件,这真的是CRA发的,说 your email was removed from our system…
[JKtax]
我设身处地的想了一下,如果我是一名黑客,我也会是一名很贴心的黑客。我会在CRA系统里改受害者的邮箱的同时,用一个自动化程序,连续给受害者发几百封看着都差不多的邮件,这样受害者对混迹于中的CRA的那封真邮件,就可能忽视了,甚至Gmail/hotmail都帮助着给过滤掉了。
[JKtax]
还有的黑客比较简单粗暴,懒得搞这些,甚至连CRA账号里的邮箱都懒得改,所以受害人会直接收到一封通知邮件说:你的direct deposit信息已被更改……
[JKtax]
我认识一位成功的地产经纪,每天忙得急三火四的,她Gmail里有上万封未读邮件都在Primary里,像这种风格的,我猜CRA有通知她也早错过了。
[JKtax] - 如果我的确被黑了,我该做什么?
[JKtax]
目前最佳途径是直接联系Canadian Anti-Fraud Centre先挂上号,因为网上看到很多受害者的亲身经历,比如打电话给CRA,等了几个小时之后终于和真人说上话了,但解决不了问题。CRA接线那位的回答也是千奇百怪,甚至还有建议受害者去找MP的。
[JKtax]
以受害者之间的交流看,CRA目前最常见的答复是:我们知道了,为保护你,你的CRA账号已经被锁死了,我们会有专人在一周内给你电话的。
[JKtax]
然后,就没有然后了,大多数人都等不到这个电话。
[JKtax] - 算了我的CRA账号里也没钱,盗用就盗用吧,再说我都不知道怎么登录我的CRA账号,我怎么知道有没有被黑?
[JKtax]
你可以一直不理、不用CRA网上账号,但如果明年年初你收到一张CERB收入的T4x的单子,请你对此交税,你就知道了。
[JKtax] - 黑客最多是拿来我的CRA账户来骗国家的CERB,对吧?
[JKtax]
不确切。因为受害者讨论中,有人惊呼:我打通EI部门的电话之后被告知,有人用我的名字和SIN,加上一张沃尔玛的RoE,申请了EI,可是我从来没在沃尔玛工作过呀!这些人连RoE都敢上传一张假的,我已经无语了。
[JKtax] - 目前政府关掉CRA的网站,影响了谁?
[JKtax]
(a) 真正需要申领CERB的人,对很多人来说,CERB是救命钱,赈灾的钱都偷,盗亦无道了;
[JKtax]
(b) 所有想登陆自己个人账号的自然人;
[JKtax]
(d) 所有想登陆客户账号的会计师事务所比如我们。
[JKtax]
所有想登陆自己My Business Account的业主,不受影响。
[JKtax] - 我终于登进去我的CRA帐号了,没有被黑,那我还需要做什么吗?
[JKtax]
你都读到最后了,那我就说一句:还是可以把你CRA账号的密码改得更复杂一些。如果想更彻底,可以把常用的online banking密码也更新一下。
由于时间仓促,加之水平所限,表达错误不当之处在所难免,诚望各位朋友和同行们斧正。
Danny Chen,JKtax Director & COO,全面负责事务所的运作和管理。联系方式:办公室电话 905-940-1999;邮件 admin@jktax.ca;办公室微信 jktax-vivian