2026 美国报税季诈骗：TurboTax、H&R Block 与 IRS 七大变体全梳理

2024 年 IRS Dirty Dozen 清单（由美国国税局于 2024 年春发布）将与税务相关的钓鱼邮件、短信钓鱼和冒名顶替列为长期居首的威胁类别。2024 年 FTC 消费者哨兵网络数据（2025 年 2 月发布）共记录超过 110 万起身份盗用报告，与税务相关的身份盗用一直名列前茅。2024 年 FBI 互联网犯罪报告（2025 年 4 月发布）共收到 859,532 起投诉，报告损失达 166 亿美元，同比上涨 33%。美国财政部税务管理稽核长办公室（TIGTA）追踪 IRS 冒充电话诈骗已超过十年，每个报税季都会记录到新的变体。这套模式之所以年复一年地重演，是因为它确实奏效。下面就是今年你会遇到的 7 种变体。

假 TurboTax "账户被锁定"邮件

这一类在 4 月报税截止前一周到达顶峰。邮件外观仿照 TurboTax，配有 Intuit 蓝色顶栏和小小的 Intuit 页脚。主题行通常是三种之一："您的 TurboTax 账户已被锁定"、"在您的 TurboTax 账户上检测到可疑登录"，或"完成报税前需采取的操作"。

正文说有人尝试从陌生设备或位置访问你的 TurboTax 账户。要在截止日前解锁账户，请点击"验证身份"或"恢复访问"按钮。链接指向一个高仿登录页面，域名形如 turbotax-secure-login.com、intuit-verify.help 或 turbotax-account-unlock.co。页面会收取你的 Intuit 用户名和密码，常常以"附加验证"为由索要 SSN 的后四位，还可能假借"验证退税到账账户"骗取你的银行账号和路由号。

真正的 Intuit 账户安全通信使用 @intuit.com 发件域，链接也只会指向 intuit.com 或 turbotax.intuit.com。世界上不存在 turbotax-secure-login.com。带连字符的高仿域名、非 intuit.com 的 TLD，就是全部破绽。如果拿不准，关掉邮件，开一个新的浏览器标签，手动输入 turbotax.intuit.com，直接登录。任何真正的锁定通知都会出现在你账户后台。

假 H&R Block "您的退税被暂扣"短信

这一类沿用了 FedEx 和 DHL 包裹诈骗里的"小额关税费"模型。短信内容大致是："H&R Block: 您的联邦退税 1,847 美元目前被暂扣，需要支付 1.99 美元手续费才能放行入账。请前往 hrblock-refund-release.com/r/8K2J9F 支付。" 或者一种变体："HRB: 退税入账失败，请重新提交银行信息：hrblock-deposit-verify.help。"

链接会跳到一个用银行卡支付小额"手续费"的页面。骗子真正想要的不是这 1.99 美元，而是完整的卡号、CVV、有效期、ZIP 码，再加上常常出现的"验证身份"环节里那个完整的 SSN。银行卡信息会被打包，几周内在暗网市场被卖出。SSN 则进入另一批身份盗用资料包，几个月后被用来以你的名义提交虚假退税。

H&R Block 不会通过短信通知客户放行退税。联邦退税由 IRS 入账，不是 H&R Block，IRS 也从不收取"放行费"。真正的 H&R Block 信息来自 @hrblock.com 域名和该公司在运营商处登记的短代码。如果你收到声称退税被暂扣的短信，不要点链接。直接到 hrblock.com 登录，或者打电话给你当初报税的本地办公室。

假 IRS 退税待发邮件，指向高仿 irs.gov 网站

邮件配有 IRS 鹰徽和美国财政部图案。主题行通常是"IRS: 2026 年退税通知"或"您 2,431.00 美元的退税已可发放"。正文声称退税正在等待最终身份验证，并提供一个链接，指向 irs-tax-refund.us、irs-gov-online.com、irs-treasury-portal.help 等类似域名。

落地页对 IRS.gov 进行了高度仿冒。一个假的"Get My Refund"表单会索取全名、SSN、出生日期、上一年度调整后总收入（AGI）、当前地址、银行账号和路由号。某些变体还会要求上传驾照照片。结果就是一整套身份盗用素材连同直接 ACH 滥用所需的银行凭证，全部送到攻击者手里。

真正的 IRS 只用一个域名：irs.gov。不存在 irs.us、不存在 irs-online.com、不存在 irs-treasury-portal.help。IRS 也不会主动通过电子邮件就退税联系你，第一步永远是纸质信件。如果退税真的有问题，你会在邮箱里收到一封 CP 系列通知，并在 irs.gov/account 的在线账户里看到状态更新。其他一切都是钓鱼。把邮件转发给 phishing@irs.gov，然后删除。

冒充 IRS 的电话，索要礼品卡付款

这是至少从 2013 年就一直在跑的经典套路。TIGTA 将其归类为"IRS 冒充电话诈骗"，每个报税季都会报告新一波高峰。来电常常先用机器人外呼，按 1 之后才会转到真人接听。来电者自称 IRS 探员（有时还会报一个假的工号），声称你欠下旧账税款，必须今天通过礼品卡（iTunes、Google Play、Steam、Amazon、Target）付清。如果不立刻付款，对方就威胁要在一小时内拘捕、遣返、吊销执照或扣押工资。

有时候来电会伪造来电显示，呈现为"IRS"或一个真实的 IRS 电话号码。有时候剧本会切换成要求电汇或加密货币。不变的是"紧迫感 + 不可逆付款方式"（礼品卡、电汇、加密货币）这一组合，而合法的税务征收方永远不会使用这些方式。

IRS 不会打电话要求立即付款。IRS 不会通过电话威胁逮捕。在任何情况下，IRS 都绝不接受礼品卡作为付款方式，从无例外。只要电话里出现任何一个上述信号，请直接挂断。可以通过 tigta.gov（使用"IRS Impersonation Scam Reporting"表单）向 TIGTA 举报，并到 reportfraud.ftc.gov 向 FTC 举报。如果你确实不放心是不是真有税单，请你自己去查 IRS 官方电话 1-800-829-1040 直接拨打，不要用来电者给的号码。

带恶意附件的假"您的 1099"钓鱼邮件

这一类瞄准零工劳动者、自由职业者，以及任何过去收到过真实 1099-NEC、1099-K、1099-MISC 或 1099-INT 的人。邮件在 1 月底或 2 月到达，主题行是诸如"您 2025 年来自 Uber 的 1099 已生成"、"您的 DoorDash 1099-NEC 已附在邮件中"、"重要：来自 PayPal 的 1099-K"或"您来自 Upwork 的 1099-MISC 可供下载"。

正文很简短，说你的税务文件已附在邮件中。附件通常是 PDF 或 Word 文档，文件名形如 1099-NEC-2025.pdf.html、Uber_1099_Final.doc 或 DoorDash_Tax_Form.zip。打开后，要么执行一个收集凭证的表单（HTML 变体），要么拉取远程负载（带宏的 doc 变体），要么解压恶意二进制文件（zip 变体）。2024 和 2025 年的常见负载包括 Lumma、RedLine 和 Vidar 等信息窃取木马，几分钟内就能洗劫浏览器密码、加密钱包和会话 Cookie。

大平台（Uber、DoorDash、Lyft、PayPal、Venmo、Coinbase、Upwork）真正派发 1099 的方式，是在平台内部的税务面板里，通过你现有的登录访问。平台可能会发邮件告知文件已生成，但文件是在平台内部下载，不是从邮件附件里下载。如果你收到带附件的 1099 邮件，不要打开。直接登录平台，在税务版块里下载文件。可疑邮件请转发到 phishing@irs.gov，以及被冒充平台的滥用举报邮箱。

指向高仿政府域名的刺激金或退税状态短信

每次国会有关于税收抵免、退税时间表或刺激金的真实新闻，这一类就会卷土重来。短信内容形如："IRS: 您有一笔尚未领取的 1,400 美元经济影响补助。请前往 irs-stimulus-claim.us/v/3K9F 验证资格"，或者"US Treasury: 您的退税状态已更新，请前往 gov-refund-status.com/r/8J2L 查询"。

落地页是 IRS.gov 或财政部网站的仿冒页。表单索要 SSN、出生日期、银行路由号和账号，有时还要求上传驾照照片。某些变体还会接入一个假的"小额验证手续费"刷卡表单。这些数据会喂入身份盗用包和 ACH 欺诈套件，单独出售。

真正的 IRS 从不会就退税或刺激金主动给你发短信。2026 年没有新的联邦刺激金计划获得授权，因此 2026 年任何提及"未领取刺激金"的消息都是钓鱼。退税状态请到 irs.gov/refunds 或 IRS2Go 移动应用查询，两者都需要你亲自输入自己的 SSN 和报税信息，绝不会通过短信里的链接完成。请把短信转发到 7726（无线运营商的垃圾短信举报号），并发送至 phishing@irs.gov。

W-2 身份盗用：在你报税前退税已被改道

这一类是安静而昂贵的变体。受害者根本不会收到任何钓鱼邮件。攻击者已经通过其他渠道（雇主数据泄露、HR 钓鱼攻击、被盗信件箱，或包含 SSN 和雇主信息的历史泄露）拿到了受害者的 W-2 信息，并在报税季的早期，通常是 1 月底或 2 月初，赶在真正纳税人之前就以其名义提交了虚假联邦退税。

这份虚假退税申报会主张一笔大额退款，并把它打到攻击者控制的账户里（常见的是预付借记卡、洗钱中介的银行账户，或用合成身份开设的金融科技账户）。等到真正的受害者 3 月或 4 月坐下来用 TurboTax、H&R Block 报税时，IRS 会以 IND-510 等代码拒绝你的申报，告诉你该 SSN 下已有一份退税已提交。

IRS 身份盗用宣誓书（Form 14039）是正式的恢复路径，一旦怀疑遭遇税务相关身份盗用就要提交。同时建议申请一个身份保护 PIN（IP PIN），IRS 现在向任何在 irs.gov/ippin 提出申请的纳税人开放。IP PIN 是六位数字代码，必须随你的真实申报一起提交；任何没有该 PIN 的虚假申报会被自动拒绝。还可以到 irs.gov/transcripts 申请免费的工资和收入抄本，看看以你名义已被报告了什么；并到三大征信局（Equifax、Experian、TransUnion）冻结信用；同时到 identitytheft.gov 完成 FTC 恢复计划，并到 ic3.gov 向 FBI 报案。

真正的 IRS 沟通方式

这是整篇文章里最值得记住的一条。上述每一种变体在这条规则下都会露馅。

• 第一次联系永远是纸质信件。IRS 会先把一封实体信件（CP、LT 或 5071C 系列通知）寄到登记在册的地址，然后才会有任何其他联系。没有短信，没有邮件，没有社交媒体，没有要求付款的电话。
• 安全消息走 IRS 在线账户。登录 irs.gov/account 才能看到真正的通知、付款记录和任何退税问题。该后台是唯一可信源。
• IRS 的唯一域名是 irs.gov。不是 .us、不是 .com、不是 .help、不是 .online。任何其他 TLD 都是假的。
• IRS 不接受礼品卡。没有例外。真正的付款方式包括直接借记、IRS Direct Pay（irs.gov/payments）、EFTPS、通过审核的处理商刷卡、支票或汇票。其他都是诈骗。
• IRS 不会通过电话威胁逮捕。真正的催收是通过书面通知在数月、数年里逐级推进，而不是 60 秒一通电话。
• 退税查询走 irs.gov/refunds 或 IRS2Go。短信里的链接从来不是正确路径。

真正的 TurboTax 与 H&R Block 发件域名

如果一封报税软件邮件是真实的，它一定来自以下域名之一。任何挂着品牌名字但不在此列的，都是仿冒。

• TurboTax / Intuit：@intuit.com、@turbotax.intuit.com。真实链接指向 intuit.com 或 turbotax.intuit.com。不是 turbotax-secure.com，不是 intuit-verify.help，不是 turbotax-account-unlock.co。
• H&R Block：@hrblock.com、@emails.hrblock.com。真实链接指向 hrblock.com。不是 hrblock-refund.com，也不是 hrblock-deposit-verify.help。
• IRS：只有 irs.gov。IRS 根本不会用电子邮件发起联系。任何"来自 IRS"的邮件，要么是你授权过的报税服务扫描后的真实 CP 系列通知，要么就是钓鱼。
• Cash App Taxes（前身是 Credit Karma Tax）：@cash.app。真实链接指向 cash.app/taxes。
• TaxSlayer：@taxslayer.com。真实链接指向 taxslayer.com。
• TaxAct：@taxact.com。真实链接指向 taxact.com。

如果你记不清正确域名，安全做法永远一样：关闭邮件；新开一个浏览器标签；手动在地址栏输入品牌名；直接登录。任何真正的通知都会出现在你账户后台。

七种变体共有的红旗信号

• 以小时计的紧迫感。"24 小时内不验证就失去退税"、"一小时内不付款就拘捕"、"午夜前必须采取行动"。
• 给出链接或附件，而不是指引你直接登录。真正的通知会说"请登录 irs.gov/account"或"请登录您的 TurboTax 账户"。假通知则推一个一键直达的链接。
• 带连字符的高仿域名。真品牌很少使用连字符或多余的词。irs-tax-refund.us、turbotax-secure-login.com、hrblock-refund-release.com 全部是仿冒。
• 非标准 TLD。IRS 只用 .gov。Intuit 和 H&R Block 只用 .com。任何挂在这些品牌名下的 .us、.help、.co、.shop、.online，都是钓鱼。
• 在单一页面同时索要 SSN、银行路由号或驾照照片。真正的报税流程绝不会把这些信息一次性聚合到一个外部表单里。合法流程发生在你已经信任的报税软件内部。
• 付款方式是礼品卡、电汇、加密货币或"手续费"。联邦税款支付走 IRS Direct Pay、EFTPS、刷卡处理商或支票，其他都不是。
• 威胁逮捕、遣返或吊销执照。真正的 IRS 催收以书面方式在数月内逐步升级，不会在一通电话里发生。
• 拼写错误或措辞古怪。"Your refund is currently been processed"、"Verifity your account"、"Internal Revneue Service" 这类错误在真实活动中常常出现。

任何税务相关消息的 10 秒核验流程

每一封邮件、每一条短信、每一通电话，行动前都把下面这套流程跑一遍。

1. 先停 10 秒。紧迫感是骗局的主要武器，慢下来。任何税务相关的事都绝不是一通 60 秒的电话就能决定的。
2. 查看发件人的完整邮箱地址（不要只看显示名）。显示名"IRS"配上真实地址 irs-notice@verify-portal.com，就是钓鱼。
3. 不点链接先查链接。桌面端悬停，移动端长按，真实 URL 会浮现。如果不是 irs.gov、intuit.com 或 hrblock.com，就当作假的处理。
4. 关掉这条消息，直接去核实。新开浏览器标签，自己手动输入 irs.gov/account、turbotax.intuit.com 或 hrblock.com。登录。如果问题真实存在，账户后台会显示。
5. 仍不确定？把 URL 粘进免费的 SafeBrowz URL 安全检测，两秒得到结论。

如果你已经在假网站上输入了信息

如果读到这里你认出最近某个瞬间，下面是执行顺序。

• 如果你输入了银行卡信息：在银行 App 里立即冻结这张卡。重新申请一张新卡。对任何陌生扣款发起退款。在美国，Regulation E 保护借记卡（60 天内报告）；信用卡则在 Fair Credit Billing Act 下通常有更长的保护期。
• 如果你输入了 SSN、出生日期或银行路由号：到 irs.gov/Form-14039 提交 IRS 身份盗用宣誓书。到 irs.gov/ippin 申请 IP PIN。到 irs.gov/transcripts 申请免费的工资和收入抄本，看看以你名义已被报告了什么。
• 在三大征信局冻结信用：Equifax（equifax.com/personal/credit-report-services）、Experian（experian.com/freeze）和 TransUnion（transunion.com/credit-freeze）。冻结免费，需要用信用时可在几分钟内解除。
• 在 identitytheft.gov 完成 FTC 恢复计划。它会根据被泄露的内容生成个性化恢复步骤，并提供预填的宣誓书。
• 在 ic3.gov 报案（FBI 互联网犯罪投诉中心），让案件进入联邦调查渠道。
• 如果你的 TurboTax、H&R Block 或其他报税账户被入侵：请直接登录（不要走钓鱼邮件里的链接），修改密码，启用两步验证，并联系服务商反欺诈专线。TurboTax: 1-800-944-8596。H&R Block: 1-800-472-5625。
• 如果有人以你名义提交了虚假退税：请用纸质方式（是的，纸质）连同 Form 14039 一起提交你真正的申报，按表单说明寄到指定地址。在 IRS 处理该案件期间，预计会有数月延迟。IRS 设有专门的"身份保护专责小组"，电话 1-800-908-4490。

各类变体的举报渠道

• 冒充 IRS、TurboTax 或 H&R Block 的钓鱼邮件：带完整邮件头转发到 phishing@irs.gov，然后删除。
• 冒充 IRS 的电话：到 tigta.gov 的 "IRS Impersonation Scam Reporting" 表单举报，同时到 reportfraud.ftc.gov 向 FTC 举报。
• 钓鱼短信：把短信转发到 7726（手机键盘上拼成 SPAM），运营商会处理；同时到 reportfraud.ftc.gov 举报。
• 身份盗用（SSN 被用于虚假退税）：向 IRS 提交 Form 14039，并在 identitytheft.gov 完成 FTC 恢复计划。
• 通用欺诈损失举报：任何涉及资金损失或在线行为的案件，都可在 FBI IC3 ic3.gov 提交。
• BBB 诈骗追踪：到 bbb.org/scamtracker 提交，让案件进入更好商业局公共数据库（有助于警示同一地区的他人）。

最后更新：2026 年 5 月 30 日

SafeBrowz 如何拦截这类威胁

SafeBrowz 采用三层检测架构：本地 + API + AI。

• 第一层，本地检测：60+ 条 URL 模式和 550+ 个品牌专属签名直接在你的浏览器中运行。这一层会在点击发生的瞬间拦下 turbotax-secure-login.com、hrblock-refund-release.com、irs-tax-refund.us、irs-stimulus-claim.us 这类"连字符 + 后缀"变体，凭证表单根本来不及加载。Intuit、TurboTax、H&R Block、Cash App、IRS 以及其他数百个品牌的签名都已经写进了扩展。
• 第二层，API 核查：Google Safe Browsing、PhishTank 和 URLhaus 在服务端进行交叉比对。全球任何一处刚被举报的钓鱼域名都会被即时识别，包括那些每隔几天就被烧掉再换的报税季高仿域名。
• 第三层，AI 深度扫描（高级版）：对页面内容做分析，识别黑名单尚未收录的全新仿冒页面。比如两小时前才上线的假 TurboTax 登录页、还没被任何人举报过的全新 IRS 退税仿冒站。支持 100 多种语言，对针对拉丁裔社区的西语报税钓鱼同样有效。

检测特征来自威胁情报研究和我们自有的品牌数据库，并非来自用户浏览数据。SafeBrowz 不存储每位用户的浏览记录。

常见问题

IRS 会率先打电话、发短信或发邮件吗？

不会。IRS 永远通过纸质邮件发起联系。一封 CP、LT 或 5071C 系列通知会寄到你最近一次申报留下的地址。只有在书面通知被反复忽略后，IRS 工作人员才会在有限的征收情形下通过电话跟进，并且即便此时也绝不会索要礼品卡、威胁逮捕，或在电话里要求银行信息。如果你的第一次联系就是一条要求付款的短信、邮件或电话，那一定是钓鱼或诈骗。邮件转发到 phishing@irs.gov，电话举报到 tigta.gov。

怎么判断一封 TurboTax 邮件是不是真的？

真正的 Intuit 邮件来自 @intuit.com 或 @turbotax.intuit.com，链接也只指向 intuit.com 或 turbotax.intuit.com。不存在 turbotax-secure.com、turbotax-verify.help 或 intuit-account-unlock.co。最稳妥的做法是彻底无视邮件里的链接：新开一个浏览器标签，手动输入 turbotax.intuit.com，直接登录。任何真实的账户通知都会显示在你的后台。如果真的有问题，App 内消息才是可信源。

IRS Form 14039 是什么，什么情况下要提交？

Form 14039 是 IRS 身份盗用宣誓书。当你怀疑自己的 SSN 被用于虚假退税，或当 IRS 因为同一 SSN 下已有一份退税被提交而拒绝你的真实申报时，就要提交。你可以通过 identitytheft.gov 在线提交（会自动生成预填版），也可以按表单说明把纸质版邮寄到指定地址。同时到 irs.gov/ippin 申请 IP PIN，未来任何虚假退税都会被自动拒绝。

IP PIN 是什么，怎么申请？

身份保护 PIN（IP PIN）是 IRS 给你分配的六位数字代码，必须随你的真实退税申报一起提交。在你 SSN 名下提交但没有正确 IP PIN 的申报会被自动拒绝。任何纳税人都可以申请（不只是身份盗用受害者），路径是 irs.gov/ippin。PIN 每年更换，并通过你的 IRS 在线账户告知。对于 W-2 身份盗用变体，IP PIN 是单项最有效的防护。

如何举报一条假 H&R Block 短信？

把短信转发到 7726（在手机键盘上拼成 SPAM），运营商的垃圾短信处理系统会接收。同时到 reportfraud.ftc.gov 举报，并可考虑把短信细节转发给 H&R Block 的 security@hrblock.com（品牌滥用举报标准邮箱）。不要为了"看看是什么"先点链接，也不要回复 STOP，那只会确认你的号码是有效的。直接转发、删除即可。

我把 SSN 输给了假 IRS 网站，今天第一件事该做什么？

先到三大征信局冻结信用（Equifax、Experian、TransUnion）。免费，全部加起来大约 10 分钟。然后到 irs.gov/ippin 申请 IP PIN，让任何以你 SSN 名义提交的虚假申报被自动拒绝。提交 Form 14039（身份盗用宣誓书），并在 identitytheft.gov 完成 FTC 恢复计划，它会根据被泄露的内容生成个性化的下一步。也别忘了到 ic3.gov 报案。冻结和 IP PIN 越早到位，攻击者可利用的窗口就越小。