یک پرونده الکترونیکی رد شده. یک فرم ۹۴۱ که ارسال آن را به خاطر نمیآورید. یک گزارش سالانه دفتر ایالتی با یک نماینده ثبتشده جدید که هرگز نامش را نشنیدهاید. هر یک از اینها نشانهای کوچک و با نادیدهانگاری آسان است — و هر کدام اثر انگشت کلاسیک سرقت هویت کسبوکار محسوب میشود. طبق گفته FTC، گزارشهای سرقت هویت در سال ۲۰۲۴ از ۱.۱ میلیون فراتر رفته است و IRS همچنان با سرقت هویت کسبوکار به عنوان یک تهدید متمایز و رو به رشد در کنار سرقت هویت شخصی برخورد میکند.
برخلاف سرقت هویت مصرفکننده، سرقت هویت کسبوکار بهندرت تحت پوشش یک قانون واحد، یک سازمان واحد یا یک بیمهنامه واحد قرار میگیرد. شناسههای EIN را نمیتوان مانند شمارههای تأمین اجتماعی مسدود کرد. دفاتر اعتبارسنجی تجاری، همان محافظتهایی را که Equifax، Experian یا TransUnion در بخش مصرفکننده ارائه میدهند، فراهم نمیکنند. و IRS، بانک شما، دفتر ایالتی (Secretary of State) و ارائهدهنده خدمات حقوق و دستمزد شما، هر کدام در مسیر اصلاحی خاص خود عمل میکنند. این راهنما شما را با نشانههای هشداردهنده، مراحل پاسخگویی فوری و اقدامات دفاعی در طول سال آشنا میکند که صاحبان کسبوکارهای کوچک — از مالکان انفرادی گرفته تا شرکتهای سهامی (C-corporations) با مالکیت محدود — میتوانند همین هفته به کار ببندند.
سرقت هویت کسبوکار واقعاً چگونه اتفاق میافتد
اکثر حملات موفق سرقت هویت کسبوکار بر اطلاعات عمومی در دسترس متکی هستند. شماره EIN شما در فرمهای W-9، 1099، پروندههای تجاری و گاهی در فاکتورهای شما ظاهر میشود. نماینده ثبتشده، تاریخ تشکیل، مدیران و آدرس شما از طریق پایگاههای داده دفتر ایالتی عمومی هستند. ترکیب اینها با یک آدرس پستی دزدیده شده، یک نامه امضا شده جعلی یا یک حساب ایمیل هک شده، تمام چیزی است که یک سارق برای جعل هویت کسبوکار شما نیاز دارد.
الگوهای رایج حمله عبارتند از:
- کلاهبرداری مالیاتی مبتنی بر EIN. مجرمان فرمهای جعلی ۱۱۲۰، ۱۱۲۰-S یا ۱۰۶۵ را به نام کسبوکار شما ثبت میکنند تا اعتبارهای قابل استرداد را مطالبه کنند یا از اظهارنامه برای پایهگذاری یک طرح سرقت هویت فردی استفاده کنند.
- کلاهبرداری حقوق و دستمزد. فرمهای جعلی ۹۴۱ برای ایجاد اعتبارهای قابل استرداد ثبت میشوند، یا مجموعهای از فرمهای W-2 جعلی در بخش خدمات آنلاین کسبوکار سازمان تأمین اجتماعی بارگذاری میشود تا شمارههای SSN کارمندان جمعآوری شود.
- ربودن نماینده ثبتشده. سارق اصلاحیهای را در دفتر ایالتی ثبت میکند که نماینده ثبتشده یا مدیر اصلی را تغییر میدهد. هنگامی که آنها کنترل آدرس پستی رسمی برای ابلاغیههای قضایی را به دست میگیرند، اخطارهای دولتی را تغییر مسیر داده و میتوانند به نام شما حساب باز کنند.
- تصرف حساب بانکی و تجاری. فیشینگ یا استفاده از اعتبارنامههای سرقتی علیه پورتال بانکی تجاری، ابزار انتقال ACH یا پردازشگر پرداخت شما — که اغلب با برداشتهای سریع قبل از متوجه شدن شما همراه است.
- جعل فرمهای 1099-NEC و 1099-K. سارقان فرمهای ۱۰۹۹ را به نام شما برای کارگرانی که هرگز استخدام نکردهاید صادر میکنند، هزینههای جعلی در یک اظهارنامه دروغین ایجاد میکنند و باعث ارسال اخطارهای IRS به افرادی میشوند که شما نمیشناسید.
نشانههای هشداری که نباید نادیده بگیرید
سازمان IRS و اکثر بازرسان کلاهبرداری بر روی لیست کوتاهی از پرچمهای قرمز توافق دارند. با هر یک از اینها به عنوان یک حادثه احتمالی برخورد کنید و مراحل پاسخگویی زیر را در همان روزی که متوجه شدید، آغاز کنید.
سیگنالهای مربوط به بخش مالیات
- اظهارنامه الکترونیکی شما رد میشود زیرا اظهارنامهای برای همان دوره قبلاً وجود دارد.
- اخطاریهای از IRS دریافت میکنید — مانند CP2000، نامه 6042C یا درخواست رونوشت — که به اظهارنامه، واریز یا استرداد وجهی اشاره دارد که شما انجام ندادهاید.
- درخواست تمدید روتین (فرم ۷۰۰۴) به عنوان تکراری رد میشود.
- فرمهای W-2 که هرگز ارسال نکردهاید در حساب خدمات آنلاین کسبوکار SSA شما ظاهر میشوند.
- یک اخطاریه مالیات بر اشتغال IRS به دورههایی اشاره میکند که هرگز در آنها حقوق و دستمزد نداشتهاید.
- واریزهایی را در حساب مالیاتی کسبوکار IRS خود مشاهده میکنید که مربوط به اعتبارهای ادعا نشده توسط شماست.
سیگنالهای ثبت و بانکی
- پورتال دفتر ایالتی شما یک نماینده ثبتشده جدید، مدیران جدید یا یک آدرس ناآشنا را نشان میدهد.
- تاییدیه تمدید یا اصلاحیهای را دریافت میکنید که اجازه آن را ندادهاید.
- گزارش اعتبار تجاری شما از Dun & Bradstreet، Experian Business یا Equifax Small Business خطوط اعتباری یا استعلامهای جدیدی را نشان میدهد.
- تامینکنندگان در مورد فاکتورهایی تماس میگیرند که به نام کسبوکار شما صادر شده اما هرگز به دست شما نرسیده است.
- بانک شما فعالیتهای ACH، کاربران مجاز جدید یا درخواستهای حوالهای را گزارش میدهد که شما آغاز نکردهاید.
سیگنالهای عملیاتی
- نامههایی که منتظرشان بودید — اخطارهای مالیات حقوق و دستمزد، صورتحسابهای بانکی، چکهای تامینکنندگان — دیگر نمیرسند.
- مشتریان یا کارگران فرمهای ۱۰۹۹ را با EIN شما دریافت میکنند که هرگز صادر نکردهاید.
- ارائهدهنده خدمات حقوق و دستمزد شما در مورد تلاشهای مشکوک برای ورود یا کاربران ادمین جدید هشدار میدهد.
۷۲ ساعت اول: کتابچه راهنمای پاسخگویی شما
سرعت عمل حیاتی است. هر چه کلاهبرداری بیشتر در سیستم باقی بماند، اصلاح سرقت هویت دشوارتر میشود. از این توالی کلی استفاده کنید؛ بسیاری از مراحل میتوانند به صورت موازی اجرا شوند.
ساعت ۰ تا ۴: مهار آسیب
- امنسازی اعتبارنامهها. بازنشانی رمز عبور را برای هر حسابی که میتواند با امور مالی شما در ارتباط باشد اجباری کنید: حساب آنلاین IRS، حساب مالیاتی کسبوکار IRS، EFTPS، پورتالهای مالیاتی ایالتی، بانکداری تجاری، ابزارهای ACH، پردازشگرهای پرداخت، ارائهدهنده حقوق و دستمزد، پورتال ثبت دفتر ایالتی و ایمیل. احراز هویت چندمرحلهای (MFA) را در هر جایی که ارائه میشود فعال کنید، ترجیحاً با استفاده از یک کلید امنیتی سختافزاری یا اپلیکیشن احراز هویت به جای پیامک (SMS).
- مستندسازی مشاهدات. از اخطار مشکوک، پرونده رد شده، سوابق دفتر ایالتی یا صورتحساب بانکی، اسکرینشاتهای تاریخدار تهیه کنید. نامه اصلی IRS را نگه دارید — برای فرم 14039-B به آن نیاز خواهید داشت.
- اطلاعرسانی فوری به بانک. اگر بازه زمانی قطع خدمات بانک اجازه میدهد، هرگونه انتقال ACH یا حواله معلق را لغو کنید. از بانک بخواهید حساب را برای بررسی کلاهبرداری نشانهگذاری کرده و قوانین positive-pay را بازنشانی کند.
روز اول: ثبت سوگندنامهها
۴. فرم ۱۴۰۳۹-B اداره مالیات (IRS) را ارسال کنید، که سوگندنامه سرقت هویت کسبوار است. این فرمی است که کسبکارها، تراستها، ماترکها و سازمانهای معاف از مالیات زمانی استفاده میکنند که سارقی از نام تجاری یا شناسه کارفرما (EIN) آنها استفاده میکند. کپیهای ابلاغیه IRS که باعث مشکوک شدن شما شده و هرگونه اظهارنامه یا ریز تراکنشی که میتوانید تهیه کنید را پیوست کنید. ۵. با خط مالیاتی کسبکار و موارد خاص IRS به شماره ۴۹۳۳-۸۲۹-۸۰۰-۱ تماس بگیرید. از نماینده بخواهید حساب شما را برای بررسی سرقت هویت نشانهگذاری کند و در صورتی که برگه CP575 شما مفقود شده است، درخواست نامه 147C را به عنوان مدرک جدیدی از EIN قانونی خود ثبت کنید. ۶. گزارشی در FTC (کمیسیون تجارت فدرال) ثبت کنید در آدرس IdentityTheft.gov و یک برنامه بازیابی دریافت کنید. با وجود اینکه فرآیند اصلی FTC متمرکز بر مصرفکننده است، شناسه پرونده (Case ID) هنگام کار با بانکها و مراجع اعتبارسنجی مفید است. ۷. یک گزارش پلیس ثبت کنید در حوزه قضایی محلی خود. بسیاری از دفاتر وزیر ایالتی (Secretary of State) و برخی بانکها بدون داشتن گزارش پلیس، به اختلافات رسیدگی نخواهند کرد.
روز دوم: جلوگیری از گسترش خسارت
۸. با سه مرجع اعتبارسنجی کسبوار تماس بگیرید. شما نمیتوانید پرونده اعتباری یک کسبوکار را مانند یک پرونده اعتباری شخصی مسدود (Freeze) کنید، اما میتوانید هشدارهای تقلب قرار دهید و در مورد استعلامها اعتراض کنید:
- Dun & Bradstreet (D&B): درخواست هشدار تقلب در پروفایل DUNS خود بدهید و ردیفهای اعتباری را تأیید کنید.
- Experian Business: یک پرونده اعتراض باز کنید و یک بیانیه تقلب اضافه کنید.
- Equifax Small Business: درخواست بررسی حسابهای جدید و استعلامها را بدهید. ۹. به دفتر وزیر ایالتی (Secretary of State) اطلاع دهید. اگر سارقی نماینده ثبتشده یا مدیران شما را تغییر داده است، یک اصلاحیه اصلاحی ثبت کنید و مراحل گزارش سرقت هویت ایالت خود را دنبال کنید. بسیاری از ایالتها (کلرادو، فلوریدا، نیویورک و دیگران) اکنون فرمهای اختصاصی برای این کار دارند. ۱۰. به تامینکنندگان و مشتریان اطلاع دهید. اگر فاکتورهای جعلی یا فرمهای ۱۰۹۹ کاذب صادر شده است، یک ایمیل کوتاه و مبتنی بر واقعیت — و نه یک ایمیل تبلیغاتی — ارسال کنید تا از واریز پرداختها به حسابهای اشتباه جلوگیری شود.
روز سوم و پس از آن: مغایرتگیری و بازیابی
۱۱. فرمهای ۱۰۹۹ جعلی را مغایرتگیری کنید. اگر یک فرم جعلی 1099-NEC یا 1099-K تحت شناسه EIN شما صادر شده است، یک فرم ۱۰۹۹ اصلاحی با مبلغ صفر بنویسید و مورد اختلاف را در اسناد حسابداری خود ثبت کنید. ابلاغیه IRS، اظهارنامه اصلاحشده و سوگندنامه را به عنوان یک بسته واحد نگهداری کنید. ۱۲. نامههای مفقود شده را جایگزین کنید. سرویس پستی ایالات متحده (USPS) را برای درخواستهای تغییر آدرس غیرمجاز در usps.com/manage بررسی کنید. استفاده از سرویس Informed Delivery را مد نظر قرار دهید تا اسکن نامههای ورودی را مشاهده کنید. ۱۳. دسترسی کارکنان را بازنشانی کنید. هر کسی که شرکت را ترک کرده یا نقش خود را تغییر داده است، باید تمام اعتبارنامههایی را که دیگر به آنها نیاز ندارد، از دست بدهد. اکثر حوادث سرقت هویت کسبوار شامل حداقل یک حساب کاربری است که نباید همچنان فعال میبود.
نقش خاموش دفترداری در تشخیص تقلب
دفترداری قوی یکی از ارزانترین و موثرترین کنترلهای تقلب است که یک کسبکار کوچک در اختیار دارد. یک دفتر کل شفاف، ناهنجاریها را نمایان میکند — و در موضوع سرقت هویت، همه چیز به دیده شدن بستگی دارد. سه عادت بیشترین اهمیت را دارند:
- انضباط در مغایرتگیری ماهانه. هر حساب بانکی، کارت اعتباری، حقوق و دستمزد و حسابهای فروشنده را هر ماه مغایرتگیری کنید. دفاتر بهروز نشده، انتقالهای ACH غیرمجاز، لیستهای حقوق و دستمزد صوری و پرداختهای سرقت شده به تامینکنندگان را برای ماهها پنهان میکنند.
- سرفصل حسابهای (Chart of Accounts) دقیق. حسابهای متمایز برای پرداختهای مالیاتی، بدهیهای حقوق و دستمزد، سپردههای فروشندگان و انتقالات درونشرکتی، شناسایی اعدادی که متعلق به آنجا نیستند را آسان میکند. یک حساب "متفرقه" کلی، جایی است که تقلب در آن پنهان میشود.
- سوابق با کنترل نسخه. وقتی IRS اسناد پشتیبان برای فرم واقعی ۹۴۱ یا 1120-S شما را میخواهد، شما به مسیری نیاز دارید که نشان دهد هر ورودی در چه زمانی و توسط چه کسی ثبت شده است. سوابق مشهود در صورت دستکاری (Tamper-evident) در طول فرآیند رفع سرقت هویت حکم طلا را دارند.
دفاتر دقیق و شفاف همچنین زمان لازم برای اثبات جعلی بودن یک اظهارنامه را کوتاه میکنند. هرچه سریعتر بتوانید یک دفتر روزنامه حقوق و دستمزد، دفتر روزنامه یا دفتر کل تمیز برای دوره مورد اختلاف ارائه دهید، واحد تخصصی حفاظت از هویت IRS سریعتر میتواند پرونده شما را ببندد.
اقدامات دفاعی در طول سال
بسیاری از کسبوکارهایی که به سرعت از سرقت هویت بهبود مییابند، آنهایی هستند که پیش از وقوع حادثه آماده شده بودند. عادتهای زیر هزینه بسیار کمی دارند و در اولین باری که مشکلی پیش میآید، ارزش خود را نشان میدهند.
ردپای خود در IRS را ایمن کنید
- هویت خود را یک بار با ID.me تأیید کنید و یک حساب آنلاین IRS برای کسبکار ایجاد کنید. از آنجا میتوانید ماندهحساب، ریز تراکنشها و ابلاغیهها را به صورت پیشدستانه و نه واکنشی، نظارت کنید.
- فرم CP575 خود (تأییدیه اصلی IRS برای EIN شما) را در مکانی امن و دارای نسخه پشتیبان نگهداری کنید. اگر نمیتوانید آن را پیدا کنید، با خط مالیاتی کسبوکار IRS تماس بگیرید تا نامه 147C دریافت کرده و آن را ذخیره کنید.
- حداقل سالی یک بار — و در صورت داشتن حقوق و دستمزد، هر فصل — ریز تراکنشهای مالیاتی (Tax Transcript) را دریافت کنید. یک ریز تراکنش حقوق و درآمد غیرمنتظره، اغلب اولین نشانه تقلب در حقوق و دستمزد است.
ردپای ایالتی خود را ایمن کنید
- در سیستمهای هشدار ایمیلی یا پیامکی دفتر وزیر ایالت (در صورت وجود) ثبتنام کنید. هرگونه گزارش سالانه یا اعلان اصلاحیه ناخواسته، مستحق بررسی در همان روز است.
- به جای آدرس شخصی، از یک سرویس نماینده ثبتشده حرفهای (Professional Registered Agent) استفاده کنید. یک نماینده حرفهای نامههای مشکوک را شناسایی میکند و جعل هویت او دشوارتر است.
- در صورت در دسترس بودن، در هشدارهای ثبت UCC ایالت خود مشترک شوید؛ ثبتهای صوری UCC-1 علیه داراییهای شما، پیشدرآمدی شناختهشده برای کلاهبرداریهای وامدهی هستند.
امنیت تراکنشهای بانکی و حقوق و دستمزد خود را تقویت کنید
- قابلیت Positive Pay یا Reverse Positive Pay را برای هر حساب جاری تجاری فعال کنید.
- برای صدور تراکنشهای ACH و هر حواله بانکی بالاتر از یک آستانه پایین (بسیاری از کسبوکارهای کوچک از ۱,۰۰۰ یا ۲,۵۰۰ دلار استفاده میکنند)، تایید دوگانه را الزامی کنید.
- افرادی که دسترسی مدیریت در سامانه حقوق و دستمزد شما دارند را محدود کنید. لیست مدیران را به صورت فصلی بازبینی کنید.
- از کلیدهای امنیتی سختافزاری (FIDO2/WebAuthn) برای امور بانکی، حقوق و دستمزد و ایمیل استفاده کنید. پیامک و اپلیکیشنهای احراز هویت بهتر از رمز عبور تنها هستند، اما کلیدهای سختافزاری تقریباً در برابر تمامی حملات تصاحب حساب مبتنی بر فیشینگ مقاوم هستند.
وضعیت اعتباری و تعامل با تامینکنندگان خود را ایمن کنید
- در حداقل یک سرویس نظارت بر اعتبار تجاری مشترک شوید. سرویس CreditSignal متعلق به D&B هشدارهای رایگان ارائه میدهد؛ نظارت کامل توسط D&B، Experian Business یا Nav معمولاً بین ۱۵ تا ۱۹۹ دلار در ماه هزینه دارد.
- تغییرات بانکی تامینکنندگان جدید را با تماس با شماره تلفنی که از قبل در پرونده دارید تأیید کنید، نه شمارهای که در ایمیل درخواست تغییر ذکر شده است. کلاهبرداریهای مربوط به نفوذ به ایمیلهای تجاری (BEC) تقریباً همیشه شامل پیامی مبنی بر "اطلاعات جدید ACH" هستند.
- فرآیند صدور فرمهای مالیاتی ۱۰۹۹ را استاندارد کنید و لیست کاملی از تمام دریافتکنندگان وجه داشته باشید. یک فرآیند صدور تحت کنترل باعث میشود زمانی که یک فرم ۱۰۹۹ جعلی با شماره شناسایی کارفرما (EIN) شما ظاهر میشود، موضوع آشکار شود.
بیمه شما چه مواردی را پوشش میدهد و چه مواردی را پوشش نمیدهد
بیشتر بیمهنامههای عمومی صاحبان کسبوکارهای کوچک (BOP) سرقت هویت تجاری را پوشش نمیدهند. پوشش مورد نظر شما معمولاً تحت یکی از سه الحاقیه زیر قرار میگیرد:
- مسئولیت سایبری (Cyber liability): معمولاً سرقت اعتبارنامهها، نفوذ به ایمیلهای تجاری و هزینههای بازسازی را پوشش میدهد.
- بیمه جرائم (Crime insurance): میتواند خسارات ناشی از چکهای جعلی، کلاهبرداریهای کامپیوتری و کلاهبرداری در انتقال وجوه را پوشش دهد که اغلب مشروط به بندهای راستیآزمایی است.
- الحاقیههای بازیابی هویت (Identity recovery endorsements): گاهی به بیمهنامههای BOP یا سایبری ضمیمه میشوند و هزینههای حقوقی، هزینههای ثبت اسناد و بهرهوری از دست رفته را جبران میکنند.
بندهای تضمین و راستیآزمایی را به دقت مطالعه کنید. بسیاری از بیمهنامههای جرائم، در صورتی که تایید دوگانه یا تایید از طریق تماس تلفنی طبق قرارداد الزامی بوده و انجام نشده باشد، خسارت را پرداخت نمیکنند. رعایت بهداشت کنترلی ذکر شده در بخش بالا نه تنها یک تمرین خوب است، بلکه پوشش بیمهای شما را نیز حفظ میکند.
وظایف بازیابی بلندمدت که اکثر صاحبان کسبوکار فراموش میکنند
پس از مهار بحران فوری، یادآورهای تقویمی برای این پیگیریها تنظیم کنید؛ این موارد موج دوم کلاهبرداری را که اغلب پس از موج اول رخ میدهد، شناسایی میکنند:
- ۳۰ روز بعد: ریزتراکنشهای جدید را از IRS (اداره مالیات)، اداره درآمد ایالتی و حساب بیمه بیکاری خود دریافت کنید.
- ۶۰ روز بعد: سوابق دفتر ایالتی (Secretary of State) را مجدداً بازبینی کنید و تأیید کنید که تغییر نماینده ثبتشده شما اعمال شده است.
- ۹۰ روز بعد: گزارشهای اعتبار تجاری را مجدداً دریافت کنید و تأیید کنید که استعلامها و خطوط اعتباری (tradelines) جعلی حذف شدهاند.
- یک سال بعد: یک بررسی سالانه سرقت هویت را در زمان بستن حسابهای پایان سال برنامهریزی کنید. این کار به طور طبیعی با فرآیند مغایرتگیری و آمادهسازی مالیاتی همراه است.
دفاتر مالی و هویت خود را از ابتدا سازماندهی کنید
نخی که تمام مراحل این دستورالعمل را به هم پیوند میدهد، مستندسازی است. هرچه سریعتر بتوانید سوابق تمیز و قابل اعتمادی از فعالیتهای واقعی کسبوکار خود (حقوق و دستمزد، اظهارنامهها، فعالیتهای تامینکنندگان و تراکنشهای بانکی) ارائه دهید، پروندههای سرقت هویت سریعتر بسته میشوند و سارق نفوذ کمتری بر شهرت شما خواهد داشت. Beancount.io حسابداری متنسادهای (plain-text accounting) را فراهم میکند که شفاف، تحت کنترل نسخه (version-controlled) و آماده برای هوش مصنوعی است، به طوری که هر ورودی در دفتر کل شما دارای تاریخچهای شفاف و قابل حسابرسی است. رایگان شروع کنید و سوابقی ایجاد کنید که روند بازیابی از هر نوع کلاهبرداری را به طرز چشمگیری کمدردسرتر میکند.