Bezpieczni w sieci z OSE: oszustwa na zwrot podatku

Trwa okres składania deklaracji PIT. Dla oszustów to kolejna okazja, by podszyć się pod znane instytucje i wyłudzić od nas cenne dane lub pieniądze. Przeczytajcie, jak nie dać się zwieść internetowym naciągaczom!

Schemat działania przestępców jest podobny. Podszywają się pod urzędy skarbowe, Krajową Administrację Skarbową czy infolinię Krajowej Informacji Skarbowej i obiecują zwrot podatku, jeśli np. wykonamy pilną korektę swojego zaznania podatkowego. Na co zwrócić uwagę, gdy dostaniemy taką lub podobną wiadomość?

Phishing – jak działają oszuści?

Oszuści wykorzystają każdą okazję, by przeprowadzić atak. Najpopularniejszą metodą wyłudzenia danych i pieniędzy jest phishing, który bazuje na socjotechnice. Aby osiągnąć swój cel, mistrzowie manipulacji wykorzystują strach, emocje, presję czasu, pośpiech w działaniu potencjalnej ofiary i niewiedzę o podstawowych zasadach bezpieczeństwa w sieci.

Jak ich działania wyglądają w praktyce? Wysyłają wiadomości (e-mail, SMS, w komunikatorach) lub dzwonią, podszywają się pod znane instytucje i firmy, a następnie nakłaniają nas do bezzwłocznego wykonania określonych czynności. Zazwyczaj nalegają na kliknięcie w link, pobranie załącznika czy „niezbędnego” oprogramowania, wpisania swoich danych logowania w oknie fałszywej strony bądź podania danych osobowych. Spełnienie poleceń oszustów z reguły kończy się utratą poufnych informacji albo oszczędności.

Zwrot podatku czy pułapka?

Wiadomość e-mail lub telefon o nieoczekiwanym zwrocie podatku może wywołać euforię i skłonić nas do podjęcia nieprzemyślanych działań. Szczególnie że od przypływu gotówki dzieli nas tak niewiele. Wystarczy, że wykonamy kilka prostych, choć w rzeczywistości bardzo niebezpiecznych czynności:

  • podamy dane karty płatniczej, aby rzekomy urząd skarbowy mógł przelać należną kwotę;
  • klikniemy w link, który ma nas przekierować do powiadomienia o nadpłacie podatku, a tak naprawdę przeniesie na niebezpieczną stronę z oprogramowaniem do pobrania;
  • zalogujemy się w fałszywym panelu logowania do bankowości elektronicznej, aby móc szybko i bez problemu odebrać zwrot podatku;
  • zalogujemy się w oknie spreparowanej strony e-Urzędu skarbowego w celu weryfikacji naszego banku i automatycznego otrzymania nadpłaty podatku;
  • podamy domniemanemu konsultantowi infolinii urzędu nasze dane osobowe lub dane logowania, aby przejść pomyślną weryfikację.

Scenariuszy ataku może być wiele. Jedno jest pewne – pracownicy administracji publicznej nigdy nie kontaktują się z obywatelami w sprawach związanych z podaniem poufnych danych, takich jak: numer PESEL/NIP, dowodu tożsamości, rachunku bankowego, loginów i haseł do kont. Nigdy też nie proszą o instalację dodatkowego oprogramowania, dokonania płatności czy weryfikacji danych za pomocą przesłanych linków. Jeżeli z naszego zeznania podatkowego wynika nadpłata, urząd skarbowy po prostu dokona zwrotu na podany w rozliczeniu rachunek bankowy lub przekazem pocztowym. Należność możemy też odebrać w kasie urzędu, jeśli taką opcję wskażemy w składanym formularzu.

Ochrona przed atakiem

Przed próbami wyłudzenia cennych informacji i środków na koncie może nas uchronić zdrowy rozsądek i przestrzeganie podstawowych zasad bezpieczeństwa w sieci. Jeśli dostaniecie nieoczekiwaną wiadomość o zwrocie podatku, nie działajcie pod wpływem emocji, nie klikajcie bezrefleksyjnie w otrzymane linki, analizujcie każdą treść, próbując dociec, czy przedstawiona sytuacja dotyczy właśnie Was. Ponadto weryfikujcie otrzymane informacje – sięgajcie przy tym do oficjalnych źródeł, zadzwońcie na infolinię urzędu (numer wybierzcie samodzielnie) lub złóżcie wizytę w placówce – ostrożności nigdy za wiele.

Jakie jeszcze kroki warto podjąć, by nie wpaść w sidła przestępców?

  • Uważajcie na fałszywe strony, łudząco podobne do oryginalnych. Zawsze przyglądajcie się adresowi w pasku przeglądarki – może zawierać prawie niezauważalny błąd, np. dodatkowe kropki lub łączniki czy podmienione znaki, przykładowo: „rnbank.pl” zamiast „mbank.pl”, „podatki.gou.pl” zamiast „podatki.gov.pl”.
  • Weryfikujcie adres e-mail nadawcy. Jeśli oszust twierdzi, że jest pracownikiem Krajowej Administracji Skarbowej, a jego adres wygląda tak: „prawdziwy_kas@gov.mof.pko360.pl” lub tak: „krajowaadministracjaskarbowa-kas@gov.mof.pekao.pl” – nie odpowiadajcie na taką wiadomość!
  • Stosujcie silne hasła – różne do wielu portali. Twórzcie silne hasła, które składają się z co najmniej 12 znaków, łatwe do zapamiętania dla Was, ale trudne do odgadnięcia przez oszustów. Szczegółowe wskazówki znajdziecie w poradniku CERT Polska „Kompleksowo o hasłach”.
  • Postawcie na dodatkowe zabezpieczenie swoich kont. Może to być uwierzytelnianie dwuskładnikowe – wtedy podczas logowania oprócz hasła będziecie wpisywać drugi składnik, np. kod ze specjalnej aplikacji.
  • Dbajcie o bezpieczeństwo swoich urządzeń. Pamiętajcie o regularnych aktualizacjach systemu operacyjnego i oprogramowania – laptopa, ale też tabletu i smartfona. Ponadto wszelkie aplikacje i programy pobierajcie tylko z pewnych źródeł.
  • Korzystajcie ze sprawdzonego programu antywirusowego. Nie zapominajcie, że on też wymaga bieżącej aktualizacji!
  • Zastrzeżcie swój nr PESEL. Możecie to zrobić przez profil zaufany, aplikację mObywatel lub w urzędzie gminy. W ten sposób zabezpieczycie swoje dane i ustrzeżecie się przed wyłudzeniami kredytów czy zaciągnięciem innego zobowiązania, np. umowy abonamentowej czy zakupu na raty.

Reagujcie i bądźcie na bieżąco!

Jeżeli otrzymacie podejrzaną wiadomości e-mail lub SMS – zgłoście to do CERT Polska! Możecie to zrobić na kilka sposobów: korzystając z bezpłatnego numeru 8080, wypełniając dostępny na stronie formularz CERT.PL – zgłoś incydent lub przesyłając zgłoszenie na adres: cert@cert.pl.

Nie dajcie się zaskoczyć przestępcom! Sprawdzajcie komunikaty publikowane przez CERT Polska i CSIRT KNF – na stronach internetowych oraz w mediach społecznościowych. Znajdziecie w nich bieżące informacje na temat nowych kampanii i metod działania oszustów.

27.03.2025

Najnowsze artykuły

Bezpieczni w sieci z OSE: oszustwa na zwrot podatku - Ogólnopolska Sieć Edukacyjna