
Bezpieczni w sieci z OSE: oszustwa na zwrot podatku
Schemat działania przestępców jest podobny. Podszywają się pod urzędy skarbowe, Krajową Administrację Skarbową czy infolinię Krajowej Informacji Skarbowej i obiecują zwrot podatku, jeśli np. wykonamy pilną korektę swojego zaznania podatkowego. Na co zwrócić uwagę, gdy dostaniemy taką lub podobną wiadomość?
Phishing – jak działają oszuści?
Oszuści wykorzystają każdą okazję, by przeprowadzić atak. Najpopularniejszą metodą wyłudzenia danych i pieniędzy jest phishing, który bazuje na socjotechnice. Aby osiągnąć swój cel, mistrzowie manipulacji wykorzystują strach, emocje, presję czasu, pośpiech w działaniu potencjalnej ofiary i niewiedzę o podstawowych zasadach bezpieczeństwa w sieci.
Jak ich działania wyglądają w praktyce? Wysyłają wiadomości (e-mail, SMS, w komunikatorach) lub dzwonią, podszywają się pod znane instytucje i firmy, a następnie nakłaniają nas do bezzwłocznego wykonania określonych czynności. Zazwyczaj nalegają na kliknięcie w link, pobranie załącznika czy „niezbędnego” oprogramowania, wpisania swoich danych logowania w oknie fałszywej strony bądź podania danych osobowych. Spełnienie poleceń oszustów z reguły kończy się utratą poufnych informacji albo oszczędności.
Zwrot podatku czy pułapka?
Wiadomość e-mail lub telefon o nieoczekiwanym zwrocie podatku może wywołać euforię i skłonić nas do podjęcia nieprzemyślanych działań. Szczególnie że od przypływu gotówki dzieli nas tak niewiele. Wystarczy, że wykonamy kilka prostych, choć w rzeczywistości bardzo niebezpiecznych czynności:
- podamy dane karty płatniczej, aby rzekomy urząd skarbowy mógł przelać należną kwotę;
- klikniemy w link, który ma nas przekierować do powiadomienia o nadpłacie podatku, a tak naprawdę przeniesie na niebezpieczną stronę z oprogramowaniem do pobrania;
- zalogujemy się w fałszywym panelu logowania do bankowości elektronicznej, aby móc szybko i bez problemu odebrać zwrot podatku;
- zalogujemy się w oknie spreparowanej strony e-Urzędu skarbowego w celu weryfikacji naszego banku i automatycznego otrzymania nadpłaty podatku;
- podamy domniemanemu konsultantowi infolinii urzędu nasze dane osobowe lub dane logowania, aby przejść pomyślną weryfikację.
Scenariuszy ataku może być wiele. Jedno jest pewne – pracownicy administracji publicznej nigdy nie kontaktują się z obywatelami w sprawach związanych z podaniem poufnych danych, takich jak: numer PESEL/NIP, dowodu tożsamości, rachunku bankowego, loginów i haseł do kont. Nigdy też nie proszą o instalację dodatkowego oprogramowania, dokonania płatności czy weryfikacji danych za pomocą przesłanych linków. Jeżeli z naszego zeznania podatkowego wynika nadpłata, urząd skarbowy po prostu dokona zwrotu na podany w rozliczeniu rachunek bankowy lub przekazem pocztowym. Należność możemy też odebrać w kasie urzędu, jeśli taką opcję wskażemy w składanym formularzu.
Ochrona przed atakiem
Przed próbami wyłudzenia cennych informacji i środków na koncie może nas uchronić zdrowy rozsądek i przestrzeganie podstawowych zasad bezpieczeństwa w sieci. Jeśli dostaniecie nieoczekiwaną wiadomość o zwrocie podatku, nie działajcie pod wpływem emocji, nie klikajcie bezrefleksyjnie w otrzymane linki, analizujcie każdą treść, próbując dociec, czy przedstawiona sytuacja dotyczy właśnie Was. Ponadto weryfikujcie otrzymane informacje – sięgajcie przy tym do oficjalnych źródeł, zadzwońcie na infolinię urzędu (numer wybierzcie samodzielnie) lub złóżcie wizytę w placówce – ostrożności nigdy za wiele.
Jakie jeszcze kroki warto podjąć, by nie wpaść w sidła przestępców?
- Uważajcie na fałszywe strony, łudząco podobne do oryginalnych. Zawsze przyglądajcie się adresowi w pasku przeglądarki – może zawierać prawie niezauważalny błąd, np. dodatkowe kropki lub łączniki czy podmienione znaki, przykładowo: „rnbank.pl” zamiast „mbank.pl”, „podatki.gou.pl” zamiast „podatki.gov.pl”.
- Weryfikujcie adres e-mail nadawcy. Jeśli oszust twierdzi, że jest pracownikiem Krajowej Administracji Skarbowej, a jego adres wygląda tak: „prawdziwy_kas@gov.mof.pko360.pl” lub tak: „krajowaadministracjaskarbowa-kas@gov.mof.pekao.pl” – nie odpowiadajcie na taką wiadomość!
- Stosujcie silne hasła – różne do wielu portali. Twórzcie silne hasła, które składają się z co najmniej 12 znaków, łatwe do zapamiętania dla Was, ale trudne do odgadnięcia przez oszustów. Szczegółowe wskazówki znajdziecie w poradniku CERT Polska „Kompleksowo o hasłach”.
- Postawcie na dodatkowe zabezpieczenie swoich kont. Może to być uwierzytelnianie dwuskładnikowe – wtedy podczas logowania oprócz hasła będziecie wpisywać drugi składnik, np. kod ze specjalnej aplikacji.
- Dbajcie o bezpieczeństwo swoich urządzeń. Pamiętajcie o regularnych aktualizacjach systemu operacyjnego i oprogramowania – laptopa, ale też tabletu i smartfona. Ponadto wszelkie aplikacje i programy pobierajcie tylko z pewnych źródeł.
- Korzystajcie ze sprawdzonego programu antywirusowego. Nie zapominajcie, że on też wymaga bieżącej aktualizacji!
- Zastrzeżcie swój nr PESEL. Możecie to zrobić przez profil zaufany, aplikację mObywatel lub w urzędzie gminy. W ten sposób zabezpieczycie swoje dane i ustrzeżecie się przed wyłudzeniami kredytów czy zaciągnięciem innego zobowiązania, np. umowy abonamentowej czy zakupu na raty.
Reagujcie i bądźcie na bieżąco!
Jeżeli otrzymacie podejrzaną wiadomości e-mail lub SMS – zgłoście to do CERT Polska! Możecie to zrobić na kilka sposobów: korzystając z bezpłatnego numeru 8080, wypełniając dostępny na stronie formularz CERT.PL – zgłoś incydent lub przesyłając zgłoszenie na adres: cert@cert.pl.
Nie dajcie się zaskoczyć przestępcom! Sprawdzajcie komunikaty publikowane przez CERT Polska i CSIRT KNF – na stronach internetowych oraz w mediach społecznościowych. Znajdziecie w nich bieżące informacje na temat nowych kampanii i metod działania oszustów.

