Najważniejsze Informacje w skrócie:

• Zwrot podatku to oszustwo: Cyberprzestępcy masowo rozsyłają wiadomości (SMS lub e-mail), podszywając się pod e-Urząd Skarbowy lub Krajową Administrację Skarbową, aby wyłudzić dane karty płatniczej i dane kontaktowe.
• Mechanizm kradzieży: Fałszywy link prowadzi do witryny imitującej portal podatkowy, która następnie prosi o wybór banku i podanie wrażliwych danych, co prowadzi do natychmiastowej utraty środków z konta.
• Zasada zdrowego rozsądku: Urzędy skarbowe nigdy nie wysyłają wiadomości SMS ani e-maili z linkami do logowania się na konto bankowe w celu odebrania zwrotu podatku; wszelkie rozliczenia odbywają się na konto wskazane w zeznaniu PIT.

CERT Polska ostrzega przed nasilonymi kampaniami phishingowymi, których najnowsza odsłona koncentruje się na wyłudzaniu pieniędzy pod pretekstem zwrotu podatku. Przestępcy wykorzystują socjotechnikę, aby skłonić Polaków do niezwłocznego podjęcia działań, podszywając się pod zaufane instytucje publiczne.

Oszustwo to realizowane jest poprzez masową wysyłkę wiadomości – zarówno w formie e-maila (phishing), jak i SMS-a (smishing). Nadawca wiadomości celowo podszywa się pod oficjalne organy, takie jak e-Urząd Skarbowy, Krajowa Administracja Skarbowa (KAS), czy Ministerstwo Finansów, a ich adresy e-mail lub nazwy nadawców SMS często są łudząco podobne do prawdziwych.

W treści wiadomości znajduje się z pozoru dobra informacja o rzekomym „zwrocie pieniędzy” lub „stwierdzonej nadpłacie”. Czasami oszuści, dla urozmaicenia scenariusza, próbują wywołać panikę, strasząc niewielką „niedopłatą”, co ma wymusić szybką reakcję.

Kluczowym elementem ataku jest złośliwy link umieszczony w wiadomości. Po kliknięciu link ten przekierowuje ofiarę na fałszywą stronę internetową, która wizualnie kopiuje oficjalne portale (np. portal podatki.gov.pl, e-Urząd Skarbowy lub bramkę płatności).

🆘 Co robić, jeśli JUŻ kliknąłeś i podałeś dane?

Działałeś w pośpiechu? Liczy się każda sekunda – działaj natychmiast!

📞 Natychmiast zadzwoń do banku

Zastrzeż kartę (jeśli podałeś jej dane) lub zablokuj dostęp do bankowości online (jeśli podałeś login/hasło). Infolinia banku działa 24/7.

🔑 Zmień hasła

Jeśli podałeś hasło do banku, a używasz go też w innych miejscach (co jest błędem!), natychmiast je zmień.

👮 Zgłoś sprawę

Zgłoś oszustwo na policję oraz do CERT Polska (incydent.cert.pl).

🦠 Przeskanuj urządzenie

Użyj programu antywirusowego, aby sprawdzić, czy kliknięcie w link nie zainstalowało złośliwego oprogramowania (trojana).

💳 Ustaw alerty BIK

Jeśli podałeś dane osobowe (PESEL), rozważ włączenie alertów w Biurze Informacji Kredytowej, by dostać SMS, gdy ktoś spróbuje wziąć na ciebie pożyczkę.

Mechanizm kradzieży jest dwuetapowy: witryna najpierw pozwala na wybór banku, a następnie prosi ofiarę o podanie danych karty płatniczej oraz danych kontaktowych. W przypadku podszywania się pod stronę logowania, wyłudzane są login i hasło do bankowości internetowej, a czasem nawet dane osobowe, takie jak PESEL czy nazwisko panieńskie matki.

Dane te trafiają bezpośrednio do cyberprzestępców, a ich podanie grozi natychmiastową utratą pieniędzy z konta.

Ataki phishingowe podszywające się pod urząd skarbowy są zazwyczaj zjawiskiem sezonowym. Ich największe nasilenie przypada na okres rocznych rozliczeń podatkowych PIT (od lutego do końca kwietnia), a także w czasie, kiedy podatnicy faktycznie oczekują na przelewy ze zwrotem nadpłaconego podatku. Przestępcy świadomie wykorzystują ten moment, wiedząc, że odbiorcy są wyczuleni na komunikaty od skarbówki.

Ataki te opierają się głównie na socjotechnice, czyli manipulowaniu emocjami. Oszuści stosują presję czasu, informując np., że pieniądze należy odebrać natychmiast lub że „Twój zwrot wygaśnie w ciągu 24 godzin”. Obietnica łatwych pieniędzy lub groźba utraty korzyści finansowych znacząco osłabia czujność potencjalnej ofiary.

🚨 Konsekwencje podania danych na fałszywej stronie

Są niemal natychmiastowe i bardzo poważne. Oto co ryzykujesz.

💸 Kradzież pieniędzy z konta

To główny cel. Przestępcy przechwytują dane logowania lub karty i proszą o kod SMS, by zatwierdzić przelew wychodzący, udając autoryzację zwrotu.

👤 Kradzież tożsamości i wyłudzenia

Jeśli podasz PESEL lub numer dowodu, dane te mogą zostać użyte do zaciągania pożyczek (np. „chwilówek”) na twoje nazwisko.

🏛️ Przejęcie dostępu do usług publicznych

Podszywając się pod Profil Zaufany (przez bank), oszuści mogą uzyskać dostęp do e-PUAP czy IKP (Internetowe Konto Pacjenta).

🦠 Zainfekowanie urządzenia

Rzadsze, ale możliwe. Kliknięcie w link lub pobranie „wymaganego załącznika” może skutkować zainstalowaniem złośliwego oprogramowania (np. trojana) na twoim urządzeniu.

Jak się chronić? Gdzie zgłaszać oszustwa?

Aby skutecznie bronić się przed tego typu wyłudzeniami, należy znać podstawowe zasady komunikacji instytucji publicznych i zawsze zachowywać krytyczną czujność.

🛡️ Jak zweryfikować wiadomość i nie dać się oszukać?

Aby uniknąć oszustwa, zawsze stosuj te cztery zasady.

📧 Sprawdzaj nadawcę

Zwracaj uwagę na adres e-mail. Fałszywe wiadomości często zawierają nietypowe nazwy lub znaki, które tylko udają prawdziwą instytucję.

🔗 Weryfikuj adres URL

Zawsze dokładnie sprawdzaj adres internetowy strony, na którą przenosi link, zwłaszcza jeśli masz podać dane logowania lub płatności.

⌨️ Loguj się ręcznie

Do serwisu e-Urząd Skarbowy loguj się wyłącznie poprzez ręczne wpisanie oficjalnego adresu (podatki.gov.pl) bezpośrednio w przeglądarce.

📞 Masz wątpliwości? Zadzwoń!

W przypadku jakichkolwiek wątpliwości skontaktuj się bezpośrednio z Urzędem Skarbowym i zweryfikuj treść podejrzanej wiadomości z pracownikami.

Przede wszystkim należy pamiętać o kluczowej zasadzie: urzędy skarbowe ani Ministerstwo Finansów nigdy nie wysyłają wiadomości SMS ani e-maili z linkami do logowania się na konto bankowe w celu otrzymania zwrotu podatku. Wszelkie rozliczenia są dokonywane automatycznie na numer konta podany w zeznaniu PIT lub poprzez serwis e-Urząd Skarbowy.

Podejrzane wiadomości, które próbują wyłudzić dane, należy niezwłocznie zgłaszać. Można to zrobić za pomocą formularza dostępnego na stronie http://incydent.cert.pl. Zgłaszając oszustwo, chronisz nie tylko siebie, ale także inne osoby przed utratą środków finansowych.

Czytaj także: 

• Oszustwa "na wnuczka" ciągle plagą. Pokaż seniorom obronę "Z-Z-Z", bo tracą po 40 000 zł
• ZUS bierze się za kontrole wakacji składkowych. "Mamy obowiązek"
• 100 dni do KSeF. Zegar tyka coraz głośniej

Źródło: NASK/Michał Tomaszkiewicz