Fałszywe zwroty i kontrole. PIT na celowniku oszustów

Kampanie phishingowe związane z rozliczeniami podatkowymi co roku uderzają w tysiące osób, wykorzystując pośpiech, niewiedzę i presję czasu. Oszuści wiedzą dokładnie, kiedy i jak się odezwać, by wiadomość wyglądała „jak z urzędu”.

Dlatego warto wiedzieć, jak wyglądały najczęstsze schematy oszustw z ostatniego sezonu podatkowego. NASK daje konkretne wskazówki, które pomagają odróżnić prawdziwy komunikat od próby wyłudzenia i uchronić się przed stratą pieniędzy.

Zwrot podatku jako przynęta

Między lutym a czerwcem ubiegłego roku przestępcy chętnie podszywali się pod Krajową Administrację Skarbową (KAS) i Urzędy Skarbowe. Wysyłali fałszywe e-maile obiecując zwrot nadpłaconego podatku lub grożąc kontrolą. W wiadomościach załączali linki do podrabianych stron KAS i podszywali się pod witrynę podatki.gov.pl prosząc o rzekome logowanie do Profilu Zaufanego lub podanie danych karty.

– W sezonie rozliczeń podatkowych większość z nas wysyła swoje deklaracje podatkowe. Spodziewamy się jakichś komunikatów z urzędu. Kiedy nagle dostajemy wiadomość mówiącą „Przysługuje Ci zwrot nadpłaty!”, czy „Kontrola podatkowa – kliknij tutaj!” – instynkt podpowiada nam, żeby reagować szybko z uwagi na ciekawość czy strach wywołany treścią wiadomości. Właśnie na to liczą oszuści – mówi Iwona Prószyńska, ekspertka NASK ds. strategicznej komunikacji cyberbezpieczeństwa.

Najważniejszą zasadą w takich sytuacjach jest zachowanie spokoju, ponieważ pośpiech jest najgorszym doradcą i to właśnie na nasze impulsywne działanie liczą cyberprzestępcy. Kiedy uspokoimy emocje, po odczytaniu wiadomości warto pamiętać o trzech krokach, które skutecznie pomagają zdemaskować nieuczciwych nadawców.

Jak się bronić?

W przypadku wiadomości dotyczących podatków warto trzymać się kilku prostych zasad. To podstawowe kroki, które pomagają szybko ocenić, czy mamy do czynienia z prawdziwym komunikatem z urzędu, czy próbą wyłudzenia:

• Sprawdzaj adres nadawcy wiadomości

To pierwsza i podstawowa reguła. Dostałeś wiadomość, która nakłania Cię do jakiegoś działania? Zatrzymaj się. Spójrz uważnie na adres e-mail nadawcy.

Przykładowo, jeśli wiadomość pochodzi od kontakt@podatki-gov.com, to nie jest to wiadomość z państwowego urzędu. Instytucje rządowe korzystają z adresów e-mail w domenie @gov.pl.

• Zawsze weryfikuj adres strony przed podaniem jakichkolwiek danych

To zalecenie jest kluczowe dla wszystkich tych sytuacji, gdzie oszuści tworzą fałszywe strony internetowe, do których prowadzą linki z wiadomości. Zanim wpiszesz cokolwiek do formularza w takiej witrynie spójrz na pasek adresu strony. Wpisz do wyszukiwarki nazwę instytucji, przejdź do oficjalnej strony instytucji i porównaj adresy.

Pamiętaj: Instytucje rządowe mają adresy kończące się na .gov.pl, nie.gov-pl.com, .gov.pl.uk, itp.

• Zadzwoń do instytucji, która rzekomo wysłała wiadomość

To najskuteczniejsza metoda weryfikacji. Jeśli otrzymasz wiadomość od „Krajowej Administracji Skarbowej” która mówi np. o wszczęciu kontroli – skontaktuj się z urzędem. Samodzielnie znajdź numer telefonu (z oficjalnej strony, nie z wiadomości!), zadzwoń i zweryfikuj, czy wiadomość jest prawdziwa.

Przykłady kampanii z poprzedniego roku

Przestępcy grają na naszych emocjach: strachu przed kontrolą skarbową, radości z potencjalnego zwrotu nadpłaty podatku czy poczucia obowiązku związanego z wypełnieniem procedur urzędowych. Oszuści wysyłają maile z fałszywymi nagłówkami typu “Została odnotowana niewyrównana nadpłata podatku”, “Wszczęto kontrolę podatkową” czy “Zwrot nadpłaconego podatku czeka na zatwierdzenie”.

Co łączy te przykłady:

• Podszywanie się pod KAS lub Ministerstwo Finansów. Nazwa nadawcy wiadomości wygląda oficjalnie – np. e-Urząd Skarbowy, ale adres e-mail to zwu06455@nifty.com. Adres e-mail nadawcy może też przypominać oficjalny, ale zawierać błędy np. brak poprawnej domeny gov.pl, dziwne końcówki jak gov.pl.com, czy znaki jak “kas-pl” zamiast “kas”.
• Emocjonalne haczyki. Treść budująca napięcie: “Pilna procedura zwrotu!”, “Kontrola wszczęta – kliknij, by uniknąć kary!” albo “Twój zwrot nadpłaty czeka tylko na potwierdzenie”. To celowa manipulacja – oszuści wiedzą, że w stresie zwracamy mniejszą uwagę na szczegóły.
• Podejrzane linki i załączniki. Maile od przestępców zawierają linki podszywające się pod strony internetowe KAS, serwisu Profil Zaufany czy podatki.gov.pl. Po kliknięciu jesteśmy przenoszeni do fałszywej witryny, która wizualnie łudząco przypomina oficjalny serwis, ale ma inny adres domeny np. “e-urzadskarbowy5.servicedetails.com.es/pl/” zamiast “podatki.gov.pl”. Strona prosi o podanie danych logowania do Profilu Zaufanego pod pretekstem “dokończenia procedury”.

Zgłoś to do CERT Polska

Jeśli otrzymasz wiadomość, która wzbudza Twoje wątpliwości jak najszybciej zgłoś ją do zespołu CERT Polska. Twoja reakcja ma znaczenie, bo może uchronić ciebie i kolejne osoby.

Jeśli to e-mail lub podejrzana strona:

Wejdź na stronę incydent.cert.pl, gdzie znajdziesz intuicyjny formularz zgłoszeniowy. Wypełnij go zgodnie ze wskazówkami i prześlij do zespołu CERT Polska. Jeśli strona okaże się złośliwa – trafi na Listę Ostrzeżeń. To usługa, wykorzystywana przez dostawców internetu, do ochrony użytkowników. Gdy internauta próbuje wejść na niebezpieczną stronę, zostaje przekierowany na czerwoną planszę z ostrzeżeniem o zagrożeniu.

Podejrzane wiadomości i linki można też zgłaszać za pośrednictwem aplikacji mObywatel w usłudze „Bezpiecznie w sieci”.

Jeśli to SMS z podejrzanym linkiem:

Prześlij wiadomość na bezpłatny numer 8080. Trafia ona wtedy do analityków CERT Polska, którzy ją badają. Jeśli potwierdzą, że to phishing – domena trafia na Listę Ostrzeżeń. Dodatkowo analitycy CERT Polska tworzą wzorce SMS, które są blokowane przez operatorów telekomunikacyjnych. Dzięki temu masowo rozsyłane oszukańcze SMS-y nie trafiają do kolejnych osób.

W ubiegłym roku do analityków z CERT Polska dotarło łącznie ponad 650 tysięcy zgłoszeń za pomocą strony incydent.cert.pl i aplikacji mObywatel oraz niemal 300 tysięcy SMS-ów przekierowanych na numer 8080. To ważne, bo dzięki świadomości i zaangażowaniu wspólnie możemy dbać o nasze bezpieczeństwo w sieci.

Czas rozliczeń = czas phishingu

W czasie rozliczeń podatkowych czujność i spokój to najlepsi sprzymierzeńcy. Cyberoszuści nieustannie doskonalą swoje metody, dlatego tak ważne jest świadome reagowanie na podejrzane wiadomości, pamiętanie o zasadach bezpieczeństwa i korzystanie z dostępnych narzędzi ochronnych, takich jak zgłoszenia do CERT Polska. Pamiętajmy – każdy zgłoszony incydent to realna pomoc w walce z cyberprzestępczością i krok w stronę bezpieczniejszego internetu dla wszystkich.