Po rozliczeniach podatkowych wiele osób czeka na zwrot pieniędzy, a cyberprzestępcy dokładnie wiedzą, kiedy uderzyć. Do skrzynek trafiają wiadomości wyglądające jak korespondencja z fiskusa, z obietnicą nadpłaty albo groźbą kontroli. Wystarczy jeden link i chwila nieuwagi, żeby oddać oszustom dane do banku.
KAS i Ministerstwo Finansów nie potrzebują mailowego potwierdzania numeru karty, żeby wypłacić zwrot podatku. To najważniejsza zasada, o której trzeba pamiętać w maju i kolejnych tygodniach. Oszuści liczą na emocje, pośpiech i urzędowy ton wiadomości.
Zwrot podatku stał się idealną przynętą
Fałszywe wiadomości pojawiają się w momencie, gdy wielu podatników naprawdę spodziewa się pieniędzy z urzędu. W temacie maila pojawiają się informacje o nadpłacie, zatwierdzeniu zwrotu albo pilnym potwierdzeniu danych. Taki komunikat brzmi wiarygodnie, bo pasuje do kalendarza rozliczeń PIT.
Przestępcy podszywają się pod Krajową Administrację Skarbową, Ministerstwo Finansów albo lokalny urząd skarbowy. Wiadomość jest zwykle krótka i rzeczowa, żeby nie dać odbiorcy czasu na spokojne myślenie. Link prowadzi jednak nie do urzędu, lecz na stronę przygotowaną do kradzieży danych.
Według przywołanego badania ChronPESEL.pl i Krajowego Rejestru Długów z takim scenariuszem zetknął się już co piąty Polak. To pokazuje, że nie chodzi o niszową sztuczkę wysyłaną do kilku osób. To masowa kampania oparta na bardzo dobrze dobranym momencie.
Najgroźniejsze jest to, że fałszywa wiadomość nie musi wyglądać prymitywnie. Oszuści kopiują język urzędowy, logotypy i układ prawdziwych portali. Różnicę często zdradza dopiero adres strony albo prośba o dane, których urząd nigdy nie powinien żądać w taki sposób.
Link w mailu prowadzi tam, gdzie zaczyna się kradzież
Na fałszywej stronie ofiara jest proszona o wpisanie numeru karty płatniczej albo danych logowania do bankowości internetowej. Pretekst jest prosty: system ma rzekomo przelać zwrot podatku. W rzeczywistości odbiorca sam przekazuje przestępcom klucz do swoich pieniędzy.
W ostrzeżeniu wymieniono przykładowe domeny używane przez oszustów, między innymi adresy zakończone na web.app, firebaseapp.com, com.es i org. Najważniejszy sygnał ostrzegawczy jest prosty: prawdziwe serwisy podatkowe państwa powinny działać w domenie gov.pl. Każda podobna, ale inna końcówka wymaga natychmiastowej podejrzliwości.
Oszuści stosują także wersję z Platformą Usług Elektronicznych Służby Celno-Skarbowej. Mail ma zachęcać do logowania w celu przyspieszenia zwrotu. Po wpisaniu danych logowania konto może zostać przejęte tak samo jak przy fałszywej stronie podatkowej.
Niektóre wiadomości nie obiecują pieniędzy, lecz straszą kontrolą. Tematy o pilnym potwierdzeniu rozliczeń albo wszczęciu kontroli podatkowej mają wywołać lęk. Strach działa równie skutecznie jak obietnica zwrotu, jeśli człowiek kliknie bez sprawdzenia adresu.
Prawdziwy urząd nie prosi o kartę przez przypadkowy link
KAS i Ministerstwo Finansów od lat powtarzają, że podatnik nie powinien potwierdzać danych przez link przesłany mailem lub SMS-em. Jeśli nadpłata istnieje, urząd przelewa ją na rachunek wskazany w rozliczeniu. Nie trzeba wpisywać numeru karty na stronie otwartej z wiadomości.
Status zwrotu można sprawdzić w e-Urzędzie Skarbowym, ale trzeba wejść tam samodzielnie. Najbezpieczniej wpisać adres podatki.gov.pl ręcznie w przeglądarce. Klikanie w link z maila odbiera tę kontrolę i przenosi zaufanie na nadawcę, który może być przestępcą.
Adresy prawdziwych instytucji powinny kończyć się domeną gov.pl. Maile z końcówkami com, net, app, org albo łudząco podobnymi wariantami trzeba traktować jak fałszerstwo. Przestępcy liczą na to, że odbiorca przeczyta nazwę szybko i nie zauważy różnicy.
Wątpliwości można wyjaśnić bez odpowiadania na podejrzaną wiadomość. Podatnik może skorzystać z infolinii KAS 22 330 03 30 oraz zgłosić fałszywy link do CERT Polska. To droga bezpieczniejsza niż rozmowa z kimś, kto podszywa się pod urząd.
Po kliknięciu liczą się minuty
Jeśli ktoś podał dane karty lub logowania, powinien natychmiast skontaktować się z bankiem. Blokada karty, zmiana haseł i ostrzeżenie banku mogą ograniczyć straty. W takiej sytuacji nie ma sensu czekać, czy pieniądze znikną.
Phishing jest przestępstwem i może wymagać zawiadomienia policji lub prokuratury. W grę mogą wchodzić przepisy Kodeksu karnego dotyczące oszustw komputerowych i nękania. Dla ofiary ważne jest również zebranie śladów wiadomości, adresu strony i ewentualnych transakcji.
Warszawa została pokazana jako szczególnie atrakcyjny cel kampanii, bo duże miasto oznacza wielu podatników i większą liczbę potencjalnych kliknięć. Nie znaczy to jednak, że mieszkańcy mniejszych miejscowości mogą spać spokojnie. Masowe wysyłki nie kończą się na jednej grupie odbiorców.
Najprostsza zasada brzmi: urząd nie wypłaca zwrotu przez formularz z losowego maila. Kto ją zapamięta, zyska kilka sekund potrzebnych do przerwania ataku. W phishingu właśnie te sekundy decydują, czy podatnik zobaczy zwrot z fiskusa, czy pusty rachunek.
Fałszywy adres można rozpoznać szybciej niż fałszywy ton
Najbardziej zdradliwy jest urzędowy język, bo brzmi znajomo i uspokaja odbiorcę. Przestępcy nie muszą pisać perfekcyjnie, jeśli dobrze trafią w moment zwrotów podatku. Dlatego pierwszym odruchem powinno być sprawdzenie adresu, a nie czytanie obietnicy pieniędzy.
Domena gov.pl jest tu praktycznym filtrem bezpieczeństwa. Adres podobny wizualnie do rządowego serwisu nie daje żadnej gwarancji. Jedna dodatkowa końcówka albo dziwny człon w nazwie powinny wystarczyć, by zamknąć stronę.
Warto też pamiętać, że bank nigdy nie powinien być miejscem potwierdzania zwrotu podatku przez link z maila. Urząd ma dane z rozliczenia i nie potrzebuje numeru karty płatniczej. Prośba o kartę przy zwrocie podatku jest sygnałem alarmowym.
Najskuteczniejsza obrona jest mało efektowna, ale działa. Trzeba samodzielnie wpisać adres serwisu, zalogować się zwykłą drogą i nie korzystać z podpowiedzi z wiadomości. Oszuści tracą wtedy najważniejszą przewagę, czyli pośpiech ofiary.
