Obietnica szybkiego zwrotu podatku to jedna z najskuteczniejszych przynęt, po które mogą sięgnąć internetowi złodzieje w najbliższych tygodniach. Wraz z rozwojem technologii, cyberprzestępcy zyskują narzędzia pozwalające tworzyć coraz bardziej wiarygodne i dopracowane kampanie, w których fałszywe wiadomości niemal nie różnią się od tych oficjalnych. Podszywanie się pod e-Urząd Skarbowy czy rozsyłanie fałszywych powiadomień o nadpłacie to scenariusze, które mogą zdominować tegoroczny okres rozliczeń. Chwila nieuwagi przy odczytywaniu wiadomości może kosztować utratę oszczędności, dlatego warto wiedzieć, jak rozpoznać cyfrowe pułapki, zanim będzie za późno.

Jak rozpoznać oszustwo podatkowe?

Metody cyberprzestępców często opierają się na podobnych schematach, które znamy z innych ataków, jednak w okresie rozliczeń PIT stają się one wyjątkowo wyrafinowane. Oszuści mogą podszywać się pod urzędników skarbowych, wykorzystując oficjalne logotypy, a nawet manipulując numerami telefonów (spoofing), by na ekranie Twojego smartfona wyświetliła się nazwa zaufanej instytucji. Rozwój sztucznej inteligencji dodatkowo ułatwia im zadanie.

– Dzięki AI bariera językowa czy błędy ortograficzne, które dawniej demaskowały oszustów, niemal zniknęły. Dzisiejsze wiadomości phishingowe są pisane nienaganną polszczyzną, a ich ton idealnie naśladuje urzędowy styl, co może uśpić czujność nawet doświadczonych użytkowników sieci - mówi Beniamin Szczepankiewicz, analityk cyberzagrożeń ESET.

Na co warto zwrócić szczególną uwagę?

Choć scenariusze ataków mogą się od siebie różnić, większość z nich opiera się na próbie wywołania w nas silnych emocji – strachu przed karą lub radości z obiecanych pieniędzy. Aby nie dać się zmanipulować, warto znać mechanizmy, które powinny od razu zapalić w naszej głowie czerwoną lampkę. Oto najpopularniejsze sygnały, które mogą świadczyć o tym, że właśnie stałeś się celem ataku:

• Niespodziewany SMS lub e-mail od „Fiskusa”: Pamiętaj, że Urząd Skarbowy nie wysyła linków do formularzy rozliczeniowych w wiadomościach SMS ani nie prosi o logowanie do e-Urzędu Skarbowego poprzez link w mailu.
• Presja czasu i groźba kar: Oszuści mogą straszyć natychmiastową kontrolą lub karami finansowymi, jeśli nie „skorygujesz błędu” w ciągu kilku godzin. Oficjalna korespondencja w takich sprawach zawsze trafia do obywatela tradycyjną pocztą lub poprzez zweryfikowaną skrzynkę w portalu e-Urząd Skarbowy/mObywatel.
• Płatności przez nietypowe kanały: Jeśli otrzymasz prośbę o dopłatę niewielkiej kwoty (np. „brakuje 1,50 zł do pełnego rozliczenia”) poprzez nieznany system płatności lub kryptowaluty – to niemal na pewno próba wyłudzenia danych do Twojego banku.
• Prośba o dane logowania lub numer karty: Ministerstwo Finansów nigdy nie prosi o podanie haseł do bankowości ani numerów kart płatniczych w celu wypłaty nadpłaty podatku.

Różne oblicza oszustw podatkowych

Cyberprzestępcy nie ograniczają się do jednej metody. Ich działania mogą przybierać różne formy, wykorzystując dostępne kanały komunikacji – od wiadomości tekstowych, przez e-maile, aż po połączenia telefoniczne.

• Wiadomości pod szyldem administracji publicznej: Użytkownicy mogą otrzymywać e-maile lub SMS-y, które podszywają się pod oficjalne organy, takie jak Ministerstwo Finansów czy Krajowa Administracja Skarbowa. Częstym motywem jest informacja o rzekomej nadpłacie, konieczności weryfikacji danych lub pilnej dopłacie do rozliczenia.
• Fałszywe załączniki i złośliwe oprogramowanie: Niektóre kampanie phishingowe opierają się na przesyłaniu dokumentów, które mają udawać np. potwierdzenie wysłania deklaracji (UPO) czy formularz korekty. W rzeczywistości otwarcie takiego pliku może prowadzić do instalacji złośliwego oprogramowania na urządzeniu.
• Próby kontaktu telefonicznego (vishing): Może dojść również do prób wyłudzenia danych przez telefon. Osoba podająca się za urzędnika lub doradcę podatkowego może próbować uzyskać wrażliwe informacje pod pretekstem „wyjaśnienia błędów” w deklaracji.

– Niezależnie od wybranej metody, cel oszustów pozostaje podobny: skłonienie nas do podania danych logowania do bankowości elektronicznej, numerów kart płatniczych lub przekazania pełnych danych osobowych. Te ostatnie mogą posłużyć przestępcom np. do kradzieży tożsamości – dodaje Beniamin Szczepankiewicz.

Pułapka na „cudowne sposoby” i nieuczciwych doradców

Ostrzeżenia warto zachować także podczas przeglądania mediów społecznościowych, gdzie coraz częściej pojawiają się rzekome „ukryte triki” na rekordowo wysoki zwrot podatku. Autorzy takich treści, obiecując pomoc w uzyskaniu nienależnych odliczeń, starają się jedynie wyłudzić opłaty za przygotowanie fikcyjnej dokumentacji lub – co gorsza – wejść w posiadanie naszych pełnych danych osobowych. Podobną czujność należy zachować wobec nieznanych pośredników, którzy sugerują wpisanie ich numeru konta w deklaracji zamiast rachunku należącego do podatnika. Pamiętajmy, że powierzenie wrażliwych informacji finansowych przypadkowej osobie z internetu to ogromne ryzyko kradzieży tożsamości, którego nie zrekompensuje żadna obietnica łatwego zysku.

Uważaj, na swoje 1,5%

Okres rozliczeń to także okazja dla oszustów, by spróbować przejąć środki, które jako podatnicy chcemy przekazać na cele charytatywne. Przestępcy mogą tworzyć fałszywe strony internetowe lub rozsyłać linki do zainfekowanych programów, które do złudzenia przypominają popularne narzędzia do rozliczania PIT. Ich celem jest nakłonienie nas do skorzystania z podstawionej aplikacji, w której automatycznie wpisano numer KRS kontrolowany przez oszustów. Aby mieć pewność, że Twoje 1,5% podatku trafi do wybranej organizacji pożytku publicznego, zawsze korzystaj z oficjalnego portalu e-Urząd Skarbowy lub oprogramowania pobranego bezpośrednio z zaufanych stron sprawdzonych organizacji.

Jak skutecznie dbać o bezpieczeństwo danych?

W przypadku otrzymania podejrzanej wiadomości, najważniejszą zasadą jest zachowanie spokoju i natychmiastowe przerwanie kontaktu. Nie należy klikać w linki ani podawać żadnych kodów autoryzacyjnych w odpowiedzi na niespodziewany telefon. Kluczowym zabezpieczeniem pozostaje korzystanie wyłącznie z oficjalnych portali rządowych.

– Cyberprzestępcy bazują na wywoływaniu emocji, dlatego najlepszą obroną jest chłodna ocena sytuacji i weryfikacja każdego komunikatu u źródła. Pamiętajmy, że instytucje państwowe nie proszą o dane logowania ani numery kart płatniczych w wiadomościach e-mail czy SMS – podsumowuje Beniamin Szczepankiewicz.