Krajowa Administracja Skarbowa (KAS) aktualnie ostrzega przed kolejną falą fałszywych wiadomości o zwrocie podatku PIT. Oszuści podszywają się pod administrację publiczną i wykorzystują nazwę PUESC, by nakłonić podatników do kliknięcia w link oraz podania danych rachunku bankowego.
Kolejne próby phishingu
Wygląda to niestety jak kolejna dobrze przygotowana kampania phishingowa. Istotą jest gra na emocjach podatników oczekujących zwrotu nadpłaty. Wiadomości wyglądają na urzędowe, ale ich celem jest przejęcie danych lub skierowanie ofiary na fałszywą stronę. Jednak KAS wyraźnie przypomina, że PUESC nie służy do obsługi zwrotów PIT, a prawdziwy zwrot nadpłaty nie wymaga dodatkowego potwierdzania konta bankowego przez link z wiadomości e-mail. Mechanizm nie jest nowy. Przestępcy podszywają się pod instytucje publiczne, w tym administrację skarbową i PUESC, aby skłonić podatników do kliknięcia w link, podania danych albo „potwierdzenia” rachunku bankowego. To kolejny przykład oszustwa online, które bazuje na zaufaniu do urzędów i na emocjach związanych z oczekiwaniem na zwrot nadpłaty.
Uwaga na to, w co klikasz!
KAS donosi, że w ostatnich dniach podatnicy otrzymują wiadomości wyglądające na oficjalne zawiadomienia, w których nadawca sugeruje, że szybka weryfikacja konta bankowego przyspieszy wypłatę pieniędzy. Treść takich e-maili jest skonstruowana tak, by wywołać poczucie pilności i zachęcić do natychmiastowego działania. To właśnie ten element jest szczególnie niebezpieczny, ponieważ wiele osób, widząc informację o zwrocie podatku, reaguje odruchowo i nie weryfikuje źródła wiadomości. KAS jasno wskazuje, że platforma PUESC jest autentycznym narzędziem administracji państwowej, ale nie służy do obsługi zwrotów podatku dochodowego PIT. Jeśli więc wiadomość zachęca do zalogowania się do systemu w celu odebrania pieniędzy, należy traktować ją jako próbę wyłudzenia danych. W prawidłowym procesie zwrot nadpłaty jest realizowany automatycznie i nie wymaga dodatkowych potwierdzeń przez link przesłany w wiadomości e-mail.
Obietnica bez pokrycia
Mechanizm oszustwa jest zwykle podobny. Ofiara otrzymuje e-mail lub wiadomość SMS, w której pojawia się informacja o rzekomym zwrocie podatku, konieczności pilnej weryfikacji danych albo wpisania numeru rachunku bankowego. Następnie wiadomość prowadzi do fałszywej strony internetowej, która ma przypominać panel administracyjny lub serwis publiczny. Po wpisaniu danych użytkownik może stracić dostęp do konta, ujawnić dane osobowe albo narazić się na dalsze próby kradzieży pieniędzy. Warto podkreślić, że tego rodzaju kampanie nie są zjawiskiem jednorazowym. Motyw „zwrotu podatku” regularnie wraca w różnych wariantach, a oszuści korzystają z niego szczególnie intensywnie w okresach rozliczeń podatkowych. Wcześniejsze komunikaty KAS i Ministerstwa Finansów również ostrzegały przed fałszywymi e-mailami o nadpłacie lub zwrocie PIT. Z kolei CERT Polska od czasu do czasu alarmuje o podobnych kampaniach, w których cyberprzestępcy podszywają się pod urzędy, operatorów pocztowych czy firmy kurierskie.
Pełna wiarygodność
To pokazuje, że problem nie dotyczy wyłącznie jednego komunikatu lub jednego adresu e-mail. Jest to szerzej stosowana metoda ataku, oparta na socjotechnice. Oszuści liczą na to, że odbiorca nie będzie analizował detali technicznych wiadomości, tylko skupi się na obietnicy szybkiego zwrotu pieniędzy. W praktyce wystarczy jeden kliknięty link, aby otworzyć drogę do utraty danych albo infekcji urządzenia. Istotne jest także to, że fałszywe wiadomości bywają bardzo dobrze przygotowane wizualnie. Często zawierają logo instytucji, urzędowy ton, sformułowania dotyczące procedur podatkowych oraz elementy przypominające oficjalną korespondencję. Dla przeciętnego odbiorcy może to wyglądać wiarygodnie, dlatego szczególnie ważne jest zwracanie uwagi na adres nadawcy, adres strony docelowej oraz sposób formułowania prośby. Oficjalne instytucje publiczne nie wymagają potwierdzania konta bankowego poprzez przypadkowy link w wiadomości.
Ogranicz zaufanie
Największym błędem jest działanie pod wpływem emocji. Jeśli wiadomość wygląda na pilną, wymaga natychmiastowej reakcji i obiecuje szybkie pieniądze, należy zachować szczególną ostrożność. Zwrot podatku nie powinien być załatwiany przez klikanie w odsyłacze przesłane w podejrzanym e-mailu. Zamiast tego warto sprawdzić komunikat niezależnym kanałem, na przykład kontaktując się z urzędem skarbowym lub infolinią KAS. W takim przypadku można skorzystać z numeru infolinii KAS 22 330 03 30 albo zadzwonić do właściwego urzędu skarbowego. Dobrym rozwiązaniem jest również zgłoszenie podejrzanej wiadomości do zespołu CERT zajmującego się incydentami cyberbezpieczeństwa. Im szybciej taki przypadek zostanie przekazany do odpowiednich służb, tym większa szansa na ograniczenie skali kampanii i ostrzeżenie innych użytkowników.
Dobre praktyki
W praktyce podatnik powinien zapamiętać kilka podstawowych zasad. Po pierwsze, nie należy klikać w linki z wiadomości o rzekomym zwrocie podatku. Po drugie, nie wolno podawać danych logowania, numeru karty ani numeru rachunku bankowego w odpowiedzi na niespodziewany e-mail. Po trzecie, zawsze trzeba sprawdzić adres nadawcy i zachować czujność wobec błędów językowych, dziwnych domen oraz nacisku na natychmiastowe działanie. Po czwarte, jeśli wiadomość budzi wątpliwości, najlepiej zweryfikować ją poza kanałem, którym przyszła. Warto też pamiętać, że dane do zwrotu podatku urząd skarbowy pozyskuje z wcześniej złożonych deklaracji albo formularza ZAP-3. Jeżeli podatnik chce zmienić numer rachunku, powinien zrobić to oficjalną drogą, a nie za pomocą linku otrzymanego w e-mailu. Gdy urząd nie ma numeru konta, nadpłata może zostać przekazana tradycyjnym przekazem pocztowym. To kolejny dowód na to, że prawdziwy proces zwrotu podatku nie wymaga „aktywowania” pieniędzy przez wiadomość elektroniczną.
Świat cyfrowych oszustw
Kluczowy wniosek jest prosty: im bardziej wiadomość wygląda na pilną i urzędową, tym lepiej zachować ostrożność. Oszuści coraz częściej wykorzystują aktualne tematy, takie jak rozliczenia PIT, aby uwiarygodnić swoje działania. Dlatego podstawą bezpieczeństwa jest nieufność wobec niespodziewanych linków, weryfikacja źródła i korzystanie wyłącznie z oficjalnych kanałów kontaktu. W przypadku tego typu kampanii liczy się szybka reakcja i rozsądna procedura. Najpierw trzeba zachować spokój, potem zweryfikować komunikat, a dopiero później ewentualnie podjąć działania. To prosta zasada, ale właśnie ona najczęściej chroni przed utratą danych, a w rezultacie pieniędzy. W świecie cyfrowych oszustw ostrożność jest nie tylko zaleceniem, ale koniecznością.
Zobacz także:
