Subskrybuj nas na Youtube
Zapisz się na newsletter
- Fałszywe maile od skarbówki – atak w najgorszym możliwym momencie
- Na czym polega oszustwo? Fałszywy Profil Zaufany jako pułapka
- Jak rozpoznać fałszywą wiadomość od oszustów?
- Kliknąłeś w link i podałeś dane? Działaj szybko
- Jak się chronić? Podstawy cyberbezpieczeństwa w sezonie rozliczeń CIT i PIT za 2025 rok
Fałszywe maile od skarbówki – atak w najgorszym możliwym momencie
Trudno o lepszy moment na atak niż sezon rozliczeń podatkowych. Miliony Polaków składają właśnie PIT za 2025 rok – termin upływa 30 kwietnia. Przedsiębiorcy mają jeszcze mniej czasu – deklaracje CIT trzeba złożyć do 31 marca. Do tego trwa wdrażanie Krajowego Systemu e-Faktur. Kontakt z urzędem skarbowym i Ministerstwem Finansów jest w tych tygodniach czymś zupełnie normalnym. I właśnie na to liczą oszuści.
Pełnomocnik Rządu ds. Cyberbezpieczeństwa opublikował wczoraj ostrzeżenie przed nasilonymi atakami socjotechnicznymi, w których cyberprzestępcy podszywają się pod Krajową Administrację Skarbową oraz Ministerstwo Finansów. Skala kampanii jest na tyle poważna, że zdecydowano się na wydanie oficjalnego komunikatu.
Na czym polega oszustwo? Fałszywy Profil Zaufany jako pułapka
Mechanizm jest prosty – i właśnie dlatego skuteczny. Oszuści rozsyłają wiadomości, w których informują o rzekomej "nowej notyfikacji" z KAS. W treści znajduje się link prowadzący do strony łudząco przypominającej panel logowania do Profilu Zaufanego.
Kto wpisze tam swój login i hasło – oddaje je prosto w ręce przestępców. A Profil Zaufany to nie jest zwykłe konto – to cyfrowy klucz do urzędów, deklaracji podatkowych, danych osobowych. W połączeniu z okresem, w którym podatnicy masowo logują się do e-Urzędu Skarbowego i wysyłają PIT-y, ryzyko wpadki rośnie.
Ważne
Warto pamiętać, że ani KAS, ani Ministerstwo Finansów nie wysyłają linków do logowania w mailach czy SMS-ach. Jeśli taka wiadomość trafia do skrzynki – to niemal na pewno próba wyłudzenia.
Jak rozpoznać fałszywą wiadomość od oszustów?
Pełnomocnik Rządu ds. Cyberbezpieczeństwa podpowiada trzy proste kroki, zanim klikniemy w cokolwiek:
- Po pierwsze – sprawdzić adres nadawcy wiadomości. Fałszywe maile często pochodzą z adresów łudząco podobnych do prawdziwych, ale zawierających drobne literówki lub nietypowe domeny.
- Po drugie – samodzielnie wyszukać prawdziwy adres strony danej instytucji i zweryfikować, czy link z wiadomości faktycznie tam prowadzi. Nie klikać odruchowo.
- Po trzecie – w razie jakichkolwiek wątpliwości skontaktować się bezpośrednio z instytucją, która rzekomo wysłała wiadomość. Lepiej stracić pięć minut na telefon niż dane do Profilu Zaufanego.
Rady oczywiste? Być może. Ale statystyki phishingu od lat pokazują, że oczywiste zasady łamie się najczęściej wtedy, gdy jesteśmy w pośpiechu albo pod presją – a sezon podatkowy to jedno i drugie.
Kliknąłeś w link i podałeś dane? Działaj szybko
Dla tych, którzy podejrzewają, że mogli paść ofiarą oszustwa, komunikat wskazuje konkretną ścieżkę działania. Incydent należy zgłosić do zespołu CSIRT NASK – to jednostka odpowiedzialna za reagowanie na incydenty bezpieczeństwa komputerowego dotyczące osób fizycznych. Zgłoszenie można złożyć przez formularz na stronie CSIRT lub przez usługę "Bezpiecznie w sieci" w aplikacji mObywatel. Podejrzane SMS-y z linkami można przesyłać na bezpłatny numer 8080.
Jeśli istnieje podejrzenie, że doszło do przestępstwa – kradzieży danych, przejęcia konta czy wyłudzenia pieniędzy – sprawę trzeba zgłosić na Policji lub w Prokuraturze. Im szybciej, tym większa szansa na zablokowanie ewentualnych transakcji.
Jak się chronić? Podstawy cyberbezpieczeństwa w sezonie rozliczeń CIT i PIT za 2025 rok
Pełnomocnik Rządu przypomina w komunikacie o zestawie zasad, które warto stosować nie tylko w sezonie podatkowym. Część z nich to czynności jednorazowe, które mogą oszczędzić poważnych problemów.
Przede wszystkim – zastrzeżenie numeru PESEL w aplikacji mObywatel. To podstawowa bariera przed zaciągnięciem kredytu czy pożyczki na skradzione dane. Warto też regularnie sprawdzać, czy nasze dane nie wyciekły – służy do tego rządowy portal BezpieczneDane.gov.pl. Dalej – dwuskładnikowe uwierzytelnianie wszędzie, gdzie to możliwe, silne i unikalne hasła, aktualizowanie oprogramowania, instalowanie aplikacji wyłącznie ze sprawdzonych źródeł. Do tego niskie limity płatności na kartach i w BLIK-u – nawet jeśli ktoś przejmie dostęp do konta, nie wyprowadzi dużych kwot jednym przelewem.
To nie są porady nowe. Ale w okresie, gdy cyberprzestępcy celowo nasilają ataki pod sezon rozliczeniowy, warto je sobie odświeżyć – zanim zrobi to za nas mail z "pilną notyfikacją z urzędu skarbowego".
Źródło: Ministerstwo Cyfryzacji
