Sezon rozliczeń podatkowych to żniwa dla cyberprzestępców. Fałszywe wiadomości o nadpłacie, podszywanie się pod e-Urząd Skarbowy i „cudowne sposoby” na wyższy zwrot mogą kosztować utratę pieniędzy i danych. Sprawdzamy, jak rozpoznać najczęstsze schematy oszustw i skutecznie się przed nimi chronić.
Obietnica szybkiego zwrotu podatku to jedna z najczęściej wykorzystywanych przynęt w okresie rozliczeń PIT. Cyberprzestępcy, korzystając z narzędzi AI, tworzą dziś wiadomości niemal nie do odróżnienia od oficjalnych komunikatów. Zniknęły błędy językowe, a styl korespondencji wiernie imituje urzędowy ton.
Najpopularniejsze scenariusze to fałszywe SMS-y i e-maile o nadpłacie podatku, konieczności pilnej korekty deklaracji lub dopłacie niewielkiej kwoty. Często towarzyszy im presja czasu i groźba konsekwencji finansowych. W rzeczywistości celem jest wyłudzenie danych logowania do bankowości, numerów kart płatniczych lub danych osobowych.
Poniżej najpopularniejsze sygnały, które mogą świadczyć o tym, że właśnie stałeś się celem ataku:
- Niespodziewany SMS lub e-mail od „Fiskusa”: Pamiętaj, że Urząd Skarbowy nie wysyła linków do formularzy rozliczeniowych w wiadomościach SMS ani nie prosi o logowanie do e-Urzędu Skarbowego poprzez link w mailu.
- Presja czasu i groźba kar: Oszuści mogą straszyć natychmiastową kontrolą lub karami finansowymi, jeśli nie „skorygujesz błędu” w ciągu kilku godzin. Oficjalna korespondencja w takich sprawach zawsze trafia do obywatela tradycyjną pocztą lub poprzez zweryfikowaną skrzynkę w portalu e-Urząd Skarbowy/mObywatel.
- Płatności przez nietypowe kanały: Jeśli otrzymasz prośbę o dopłatę niewielkiej kwoty (np. „brakuje 1,50 zł do pełnego rozliczenia”) poprzez nieznany system płatności lub kryptowaluty – to niemal na pewno próba wyłudzenia danych do Twojego banku.
- Prośba o dane logowania lub numer karty: Ministerstwo Finansów nigdy nie prosi o podanie haseł do bankowości ani numerów kart płatniczych w celu wypłaty nadpłaty podatku.
Phishing, vishing i fałszywe KRS – jak działają podatkowi oszuści
Oszustwa przybierają różne formy – od phishingowych wiadomości, przez zainfekowane załączniki udające dokumenty podatkowe, po telefony (tzw. vishing), w których rozmówca podszywa się pod urzędnika. Coraz częściej pojawiają się też reklamy „ukrytych trików” na wysoki zwrot podatku czy oferty nieznanych pośredników, którzy proponują wpisanie ich numeru konta w deklaracji.
„Niezależnie od wybranej metody, cel oszustów pozostaje podobny: skłonienie nas do podania danych logowania do bankowości elektronicznej, numerów kart płatniczych lub przekazania pełnych danych osobowych. Te ostatnie mogą posłużyć przestępcom np. do kradzieży tożsamości” – mówi Beniamin Szczepankiewicz, analityk cyberzagrożeń ESET.
Zagrożone jest także 1,5% podatku. Przestępcy tworzą fałszywe strony i aplikacje do rozliczeń, w których podstawiają numer KRS kontrolowany przez siebie. Aby uniknąć takiego scenariusza, należy korzystać wyłącznie z oficjalnych portali rządowych lub sprawdzonego oprogramowania.
Podstawowa zasada bezpieczeństwa pozostaje niezmienna: zachować spokój, nie klikać w podejrzane linki i każdą informację weryfikować u źródła. „Pamiętajmy, że instytucje państwowe nie proszą o dane logowania ani numery kart płatniczych w wiadomościach e-mail czy SMS” – podsumowuje Beniamin Szczepankiewicz.
