Co musisz wiedzieć
- Maile o rzekomej nadpłacie podatku z prośbą o podanie numeru konta to niemal zawsze phishing, a nie wiadomości od urzędów.
- KAS i Ministerstwo Finansów nie wypłacają zwrotów przez linki w e-mailach - dane trafiają do oszustów poprzez fałszywe strony podszywające się pod serwisy rządowe.
- Fałszywe wiadomości można rozpoznać po podejrzanym nadawcy, presji czasu i żądaniu wrażliwych danych, a jedyną bezpieczną drogą jest logowanie przez oficjalne portale i zgłaszanie incydentów.
Zwrot nadpłaty?
Pytania dotyczące powyższego tematu pojawiają się coraz częściej. Niestety, w większości przypadków odpowiedź jest prosta - jest to próba oszustwa. Krajowa Administracja Skarbowa i Ministerstwo Finansów wielokrotnie ostrzegały o rosnącej liczbie fałszywych wiadomości e-mail, w których przestępcy podszywają się pod instytucje państwowe. Celem tych maili jest wyłudzenie poufnych danych podatnika, przede wszystkim numeru konta bankowego, czasem także dodatkowych informacji osobistych lub danych logowania, które następnie mogą zostać wykorzystane do kradzieży tożsamości lub środków finansowych.
Wiadomości te mogą wyglądać bardzo wiarygodnie. Często zawierają logo urzędu, napisane są formalnym językiem, a czasem podają dokładną kwotę rzekomej nadpłaty. W treści często znajduje się link prowadzący rzekomo do "e-Urzędu Skarbowego" lub "portalu podatkowego" albo do pobrania załącznika, który ma pozwolić na weryfikację danych. Po kliknięciu w link użytkownik trafia jednak na fałszywą stronę internetową, starannie podszywającą się pod prawdziwy serwis urzędowy. Wprowadzenie tam swoich danych powoduje, że trafiają one bezpośrednio w ręce przestępców. W rzeczywistości Ministerstwo Finansów i KAS nigdy nie wysyłają e-maili z prośbą o podanie numeru konta w celu wypłaty nadpłaty podatku. Każdy zwrot podatku realizowany jest na konto wskazane w deklaracji podatkowej lub poprzez zaufany profil ePUAP, a nie przez link w mailu.
Phishing
Tego rodzaju oszustwa są przykładem phishingu, czyli metody, w której cyberprzestępcy podszywają się pod wiarygodne instytucje, aby skłonić odbiorcę do ujawnienia danych osobowych lub finansowych. Ma on charakter "łowienia" danych, w którym przestępcy stosują socjotechniczne sztuczki, na przykład tworzą poczucie pilności lub zagrożenia, aby zmusić odbiorcę do działania bez zastanowienia. Jego skutkiem może być kradzież środków z konta bankowego, przejęcie tożsamości lub zainstalowanie szkodliwego oprogramowania na komputerze czy smartfonie.
Rozpoznać fałszywy mail można, zwracając uwagę na kilka charakterystycznych elementów. Przede wszystkim warto sprawdzić adres nadawcy, jeśli nie pochodzi z oficjalnej domeny resortowej, na przykład gov.pl, to jest sygnał ostrzegawczy. Wiadomość prosząca o podanie danych wrażliwych, których urzędy nigdy nie wymagają, również powinna wzbudzić nasze podejrzenia. Linki prowadzące do stron, które nie są oficjalnymi serwisami podatkowymi, oraz treści wywołujące presję typu "musisz kliknąć natychmiast" - także świadczą o próbie oszustwa. Aby skutecznie chronić siebie i swoje dane, nie należy klikać w linki ani otwierać załączników w podejrzanych mailach, nie należy też podawać żadnych danych osobowych ani bankowych, zawsze samodzielnie logować się na e-Urząd Skarbowy przez oficjalną stronę podatki.gov.pl, a w razie wątpliwości skontaktować się bezpośrednio z infolinią KAS.
Podejrzane wiadomości warto zgłaszać odpowiednim służbom, na przykład do CERT Polska, co pomaga blokować kampanie phishingowe i chronić innych użytkowników.
[Śródtytuły i sekcja "Co musisz wiedzieć" pochodzą od redakcji]
