Co rok, w trakcie sezonu rozliczeń podatkowych, przestępcy korzystają z wyjątkowej aktywności podatników i ich skupienia na sprawach związanych ze złożeniem PIT oraz uzyskaniem zwrotu podatku. Oszuści podszywają się m.in. za urzędy skarbowe, wykorzystując fakt, że w tym okresie podatnicy otrzymują wiele oficjalnych informacji. Dodatkowo, wśród podatników panuje często nerwowa atmosfera spowodowana strachem przed błędami w rozliczeniach, co jest umiejętnie wykorzystywane przez oszustów. Informują oni o rzekomych zobowiązaniach podatkowych, domagając się niezwłocznego uiszczenia należności lub podania danych.
Sprawcy cyberprzestępstw stosują różnorodne metody socjotechniczne. Odnoszą się do autorytetu instytucji państwowych, manipulują emocjami obywateli, budząc strach przed konsekwencjami prawnymi i wywołując presję czasu. Ma to skłonić podatników do pochopnych działań. Najbardziej popularne techniki to:
· Wysyłanie fałszywych wiadomości email. Oszuści kierują maile, które na pierwszy rzut oka wyglądają jak oficjalne komunikaty urzędów skarbowych. Informacje zawarte w treści wiadomości dotyczą np. rzekomego zwrotu podatku i prośby o podanie danych karty płatniczej, aby przelać należną sumę.
Przykład – Kampania phishingowa – marzec 2024 (widoczna na grafice)
Przykład – Kampania phishingowa – styczeń 2025
Podszywając się pod Krajową Administrację Skarbową, przestępcy wysyłali nieprawdziwe e-maile z informacją o rzekomym powiadomieniu wydanym przez urząd skarbowy. Nakłaniali adresatów do kliknięcia w link, który miał umożliwić zapoznanie się z treścią komunikatu. W rzeczywistości link prowadził na fałszywą stronę, gdzie podatnik był informowany o konieczności zaktualizowania oprogramowania.
· Wysyłanie fałszywych wiadomości SMS – mogą one zawierać prośby, m.in. o zalogowanie się na fałszywe konto lub podanie danych, aby odebrać rzekomy zwrot podatku. Kliknięcie w przesłany link prowadzi do fałszywego panelu logowania lub fałszywej bramki płatności, a wprowadzone tam dane trafiają bezpośrednio do rąk przestępców.
· Telefony od „urzędu skarbowego”, konsultantów infolinii Krajowej Informacji Skarbowej lub pracowników Krajowej Administracji Skarbowej. Oszuści dzwonią, podając się za pracowników urzędu, informują o rzekomych błędach w rozliczeniu PIT, a pod pretekstem weryfikacji proszą o potwierdzenie danych osobowych lub danych do logowania.
Chcemy przypomnieć, że pracownicy administracji skarbowej nie realizują tego typu połączeń ani nie zbierają w ten sposób informacji. Dlatego, jeśli otrzymasz nietypowe połączenie, nie podawaj dzwoniącemu swoich danych osobowych takich jak:
· numer PESEL/NIP,
· numer dowodu tożsamości,
· numeru rachunku bankowego
· login i hasło do kont, na które się logujesz np. e-Urząd Skarbowy, konto bankowe.
Sposoby zabezpieczeń przed oszustami
· Zachowaj zdrowy rozsądek i dbaj o swoje dane – urzędy skarbowe nie prosiłyby o podanie danych osobowych, numerów kont, weryfikacji danych czy dokonania płatności za pomocą SMS-ów czy e-maili.
· Bądź ostrożny podczas korzystania z linków, które otrzymujesz w wiadomościach SMS czy email. Zawsze sprawdź autentyczność adresu strony internetowej, na której logujesz się do swoich kont, np. bankowości elektronicznej, lub dokonujesz transakcji płatniczych.
· Zawsze zweryfikuj, czy otrzymana wiadomość lub przedstawiona sytuacja faktycznie jest związana z Tobą. Szukaj informacji tylko i wyłącznie w oficjalnych źródłach, takich jak strony internetowe urzędów, infolinie lub osobiste odwiedziny w placówce.
· Gdzie tylko to możliwe, korzystaj z weryfikacji dwuetapowej – dzięki temu zwiększasz bezpieczeństwo logowania. Oprócz hasła będzie wymagane dodatkowe potwierdzenie, np. za pomocą kodu SMS lub aplikacji autoryzacyjnej.
· Dbaj o bezpieczeństwo swoich urządzeń (laptop, telefon) i regularnie aktualizuj oprogramowanie – dzięki temu zabezpieczysz się przed podatnościami i lukami w systemach, które są chętnie wykorzystywane przez cyberprzestępców.
· Regularnie sprawdzaj komunikaty publikowane przez CERT Polska i CSIRT KNF na ich stronach internetowych oraz w mediach społecznościowych. Dzięki temu będziesz na bieżąco z informacjami o aktualnych kampaniach oszustów i ich metodach działania.
· Zgłaszaj niepokojące wiadomości za pośrednictwem strony incydent.cert.pl, aplikacji mObywatel lub przekazując je na numer 8080 (dotyczy wiadomości SMS) – to skuteczny sposób na ochronę siebie oraz innych użytkowników przed oszustwami. Dzięki Twojemu zgłoszeniu specjaliści z CERT Polska mogą szybciej blokować fałszywe strony, ostrzegać innych oraz ograniczać działalność cyberprzestępców. Każde zgłoszenie zwiększa bezpieczeństwo w sieci i pomaga zapobiegać kolejnym atakom.
· Załóż blokadę na swój numer PESEL, aby zapobiec wykorzystaniu Twoich danych przez oszustów. W ten sposób zabezpieczysz się nie tylko przed wyłudzeniami kredytów, ale także przed fałszywymi umowami abonamentowymi czy zakupami na raty. Dzięki tej usłudze banki i instytucje finansowe nie udzielą zobowiązań na Twoje dane bez Twojej zgody. Możesz zablokować numer PESEL za darmo przez profil zaufany, aplikację mObywatel lub w urzędzie gminy, a w razie potrzeby w każdej chwili cofnąć zastrzeżenie.
Powiedz „stop” oszustwom
Oszustwa związane ze „zwrotem podatku” czy „rozliczeniem PIT” stanowią poważne zagrożenie dla podatników, niezależnie od ich wieku. Kluczowe jest jednak zachowanie czujności, dokładne sprawdzanie każdego otrzymanego komunikatu oraz przestrzeganie podstawowych zasad bezpieczeństwa. Zanim podasz swoje dane na stronie, na którą zostaliśmy przekierowani, lub otworzysz załącznik, warto się zastanowić, czy wiadomość pochodzi z wiarygodnego źródła i czy jej treść nie budzi podejrzeń. W przypadku jakichkolwiek wątpliwości, warto skontaktować się bezpośrednio z urzędem skarbowym lub instytucją finansową, korzystając z oficjalnych kanałów komunikacji.