Ukradli tożsamość pracowników ZUS. Nie odsyłaj druku Z-3

Najważniejsze informacje w skrócie:

• Nowa metoda ataku: Przestępcy wykorzystują prawdziwe imiona i nazwiska pracowników Zakładu Ubezpieczeń Społecznych, aby uwiarygodnić fałszywe wiadomości e-mail zatytułowane "Oświadczenie ZUS"
• Cel przestępców: Głównym zamiarem jest wyłudzenie wrażliwych informacji, w tym danych osobowych i numerów kont bankowych, poprzez zachęcenie ofiary do wypełnienia i odesłania załącznika Z-3
• Zasady bezpieczeństwa: Zakład Ubezpieczeń Społecznych nigdy nie przyjmuje wniosków, takich jak formularz Z-3, drogą mailową; oficjalne dokumenty muszą być przesyłane wyłącznie za pomocą Platformy Usług Elektronicznych ZUS (PUE ZUS)

Przestępcy podszywają się pod urzędników. Chcą ukraść dane, udając pracowników ZUS

Zakład Ubezpieczeń Społecznych (ZUS) bije na alarm w związku z nasileniem się wyrafinowanych działań cyberprzestępców, którzy w ostatnich dniach intensywnie próbują podszywać się pod jego personel, wykorzystując e-mail jako główny kanał ataku. Metoda ta jest szczególnie niebezpieczna, gdyż oszuści stosują prawdziwe imiona i nazwiska zatrudnionych w ZUS, co nadaje ich korespondencji pozory autentyczności.

Wielu klientów donosi o otrzymywaniu fałszywych wiadomości, które mają nagłówek "Oświadczenie ZUS". Treść tych wiadomości, choć pochodzi od oszustów, zawiera szereg prawdziwych danych identyfikujących, w tym imię i nazwisko rzeczywistego pracownika Zakładu, numer telefonu konkretnego oddziału oraz faktyczny adres placówki ZUS. Adresaci takich wiadomości są następnie proszeni o wypełnienie i niezwłoczne odesłanie załączonego do maila formularza Z-3.

Choć prośba o wypełnienie druku Z-3, który jest standardowym wnioskiem, może wydawać się rutynowa, ZUS stanowczo ostrzega, że ten załącznik nie pochodzi od Zakładu. Jego faktycznym przeznaczeniem jest wyłudzenie kluczowych informacji od adresata. Odsyłając wypełniony dokument, możemy nieświadomie udostępnić przestępcom nasze dane osobowe, a co najgorsze – numery kont bankowych.

Warto pamiętać, że każda próba podszycia się pod ZUS jest przestępstwem, które jest ścigane z urzędu, a wyłudzenie pieniędzy zagrożone jest karą pozbawienia wolności od 6 miesięcy do 8 lat.

Jak ustrzec się przed oszustwem? Kluczowe rady ZUS

Zakład Ubezpieczeń Społecznych przypomina o fundamentalnych zasadach bezpieczeństwa, których przestrzeganie jest niezbędne, aby nie paść ofiarą manipulacji. Przede wszystkim należy mieć świadomość, że ZUS ma ścisłe procedury komunikacji, których przestrzeganie jest gwarantem bezpieczeństwa naszych danych.

Bezwzględne zasady komunikacji elektronicznej ZUS:

• Formularze tylko przez PUE: Zakład nigdy nie prosi o przesyłanie wniosków, formularzy czy jakichkolwiek dokumentów drogą mailową. Wnioski, na przykład formularz Z-3, przyjmowane są wyłącznie elektronicznie za pośrednictwem Platformy Usług Elektronicznych ZUS (PUE ZUS).
• Brak żądania danych: ZUS nie kontaktuje się z klientami za pośrednictwem e-maila, wiadomości SMS lub komunikatorów internetowych z prośbą o podanie danych osobowych.
• Brak podejrzanych załączników i linków: Nie należy klikać w podejrzane linki – bez względu na to, czy zostały wysłane mailem, SMS-em czy komunikatorem. Absolutnie nie powinno się także pobierać załączników z niezweryfikowanych źródeł.

Rzecznicy ZUS podkreślają, że w kontaktach z potencjalnymi oszustami pośpiech jest wyjątkowo złym doradcą, a przestępcy często wywierają presję czasu, licząc na to, że klient, zanim zadzwoni do Zakładu, wykona prośbę.

Co robić w przypadku wątpliwości?

Jeśli mamy jakiekolwiek podejrzenia co do autentyczności otrzymanej korespondencji, należy natychmiast zweryfikować jej prawdziwość. ZUS radzi, aby:

• Kontaktować się z CKK: Zadzwonić do Centrum Kontaktu Klientów ZUS pod numer 22 560 16 00 (infolinia działa od poniedziałku do piątku w godzinach 7:00–18:00).
• Odwiedzić placówkę: Skontaktować się osobiście z najbliższą jednostką ZUS.

Niewyczerpany katalog oszustw: Od SMS-ów po wizyty domowe

Podszywanie się pod pracowników ZUS za pomocą fałszywych e-maili i próba wyłudzenia Z-3 to jedynie jeden z wielu scenariuszy. W ostatnim czasie oszuści są wyjątkowo aktywni, poszukując przede wszystkim numerów PESEL, danych logowania (na przykład do bankowości internetowej) oraz numerów kont bankowych. Działania przestępców przybierają różne formy, często wykorzystując kanały takie jak SMS-y, komunikatory internetowe (np. Messenger, WhatsApp) lub bezpośredni kontakt telefoniczny.

Najczęściej zgłaszane rodzaje ataków na klientów ZUS:

• Fałszywe wiadomości e-mail/SMS dotyczące PUE: Klienci otrzymywali wiadomości o rzekomej zmianie kanału odzyskiwania dostępu do profilu na PUE lub eZUS. Takie maile, które mogły nawet zawierać domenę „zus.pl” w adresie nadawcy, załączały niebezpieczny „plik logowania”, często z rozszerzeniem .xll. ZUS przypomina, że kontakt elektroniczny jest możliwy tylko, jeśli klient ma profil PUE i wyraził na to zgodę. ZUS nigdy nie wysyła linków do logowania ani do weryfikacji danych drogą SMS-ową czy mailową.
• Oszustwa telefoniczne (zmiana numeru): Oszuści dzwonią do klientów, podszywając się pod konsultantów Zakładu, prosząc o potwierdzenie, że klient dokonał zmiany swojego numeru telefonu na koncie PUE lub nawet w banku. To jest kolejna próba wyłudzenia danych – konsultanci infolinii ZUS nigdy nie kontaktują się w sprawie zmiany numerów telefonicznych powiązanych z kontem PUE/eZUS lub bankiem klienta.
• Fałszywe projekty inwestycyjne i zwiększenie emerytury: Przestępcy wysyłają wiadomości od osób podających się za „pracowników Działu Świadczeń czy Emerytur”, zachęcając do udziału w „projekcie” mającym na celu zwiększenie emerytury lub uzyskanie dodatkowego zarobku. W skrajnych przypadkach klienci, którzy dali się nabrać, byli proszeni o dokonanie przelewu na konto bankowe wskazane w fałszywej umowie. Fałszywe profile w mediach społecznościowych: W internecie pojawiają się spreparowane profile Zakładu oraz fałszywe reklamy obiecujące łatwy zysk, na przykład gwarantujące osiągnięcie emerytury już w wieku 50 lat po zainwestowaniu zaledwie 500 złotych. ZUS podkreśla, że nie wysyła umów ani nie zachęca do inwestowania pieniędzy ani podawania danych kart kredytowych.
• Oszuści w domu: Odnotowano również przypadki, w których oszustki podawały się za pracownice ZUS i osobiście odwiedzały klientów w ich domach, proponując pomoc w wypełnianiu wniosków (np. w sprawach przejścia na emeryturę czy bonu turystycznego). Należy bezwzględnie pamiętać, że wizyty pracowników poza siedzibą ZUS są ściśle ograniczone i dotyczą wyłącznie kontroli zwolnień lekarskich lub kontroli u przedsiębiorców. Co najważniejsze, każda kontrola jest zawsze wcześniej zapowiedziana i prowadzona przez inspektorów posiadających upoważnienie.

Przestępcy stale rozszerzają swój katalog działań, stosując coraz bardziej wyrafinowane technicznie i psychologicznie metody. W obliczu rosnącej liczby ataków, jedyną skuteczną obroną jest zasada ograniczonego zaufania i każdorazowa weryfikacja podejrzanych kontaktów z ZUS za pośrednictwem oficjalnych kanałów komunikacji. Działanie to można porównać do filtrowania wody pitnej: nawet jeśli wydaje się klarowna, bez odpowiedniej weryfikacji może zawierać ukryte, szkodliwe elementy, które zagrożą naszym finansom.

Czytaj także: 

• Oszustwa "na wnuczka" ciągle plagą. Pokaż seniorom obronę "Z-Z-Z", bo tracą po 40 000 zł
• Zwrot pieniędzy z urzędu skarbowego? Masz rację, to oszustwo
• Dzwoni "pracownik banku"? Powiedz to jedno zdanie, a zdemaskujesz oszusta

Źródło: ZUS/Michał Tomaszkiewicz