Fałszywe maile o zwrocie podatku pojawiają się najczęściej w okolicy okresu rozliczeń podatkowych, który od lat jest jednym z ulubionych momentów działania cyberprzestępców. To właśnie wtedy pojawia się zwiększona liczba kampanii phishingowych polegających na podszywaniu się pod Krajową Administrację Skarbową, Ministerstwo Finansów lub e-Urząd Skarbowy. Oszuści doskonale wiedzą, że wiadomość dotycząca zwrotu podatku wywołuje emocje, pośpiech i często obniża czujność odbiorców.
Masowa kampania fałszywych maili
W ostatnich tygodniach ponownie odnotowano masową kampanię fałszywych wiadomości e-mail informujących o rzekomym zwrocie nadpłaty podatku PIT. Wiadomości wyglądają profesjonalnie — zawierają logotypy administracji skarbowej, numery spraw, a nawet elementy przypominające oficjalne komunikaty urzędowe. W rzeczywistości ich celem jest wyłudzenie danych osobowych, danych logowania oraz informacji finansowych.
Schemat działania oszustów jest zazwyczaj bardzo podobny. Ofiara otrzymuje wiadomość informującą o konieczności „potwierdzenia danych” lub „uruchomienia procedury zwrotu podatku”. W treści znajduje się link lub załącznik prowadzący do fałszywej strony internetowej przypominającej serwis administracji publicznej. Po wejściu na stronę użytkownik proszony jest o podanie danych identyfikacyjnych — najczęściej imienia i nazwiska, numeru PESEL, danych bankowych, a czasem nawet numeru karty płatniczej. W efekcie zamiast otrzymać zwrot podatku, ofiara może stracić pieniądze lub paść ofiarą kradzieży tożsamości.
Eksperci ds. cyberbezpieczeństwa zwracają uwagę, że współczesne kampanie phishingowe są coraz bardziej dopracowane. Fałszywe strony internetowe potrafią niemal idealnie odwzorowywać wygląd prawdziwych portali administracji publicznej. Dodatkowym problemem jest fakt, że część złośliwych domen przez pewien czas nie jest wykrywana przez przeglądarki lub programy antywirusowe. To powoduje, że użytkownicy często błędnie zakładają, iż skoro strona się otwiera bez ostrzeżeń, musi być bezpieczna.
Fałszywe maile – podstawowe zasady bezpieczeństwa
Warto pamiętać o podstawowej zasadzie bezpieczeństwa: administracja skarbowa nie wysyła wiadomości e-mail z prośbą o podanie numeru karty płatniczej ani loginów do bankowości elektronicznej. Ministerstwo Finansów wielokrotnie ostrzegało, że wiadomości dotyczące zwrotu podatku mogą być próbą oszustwa.
Jednym z najważniejszych elementów ochrony danych osobowych pozostaje niezmiennie świadomość użytkowników. Nawet najlepsze systemy zabezpieczeń technicznych nie będą skuteczne, jeśli pracownik lub użytkownik sam przekaże dane cyberprzestępcom. W praktyce większość skutecznych ataków rozpoczyna się właśnie od kliknięcia w niebezpieczny link lub otwarcia złośliwego załącznika.
Dlatego warto przestrzegać kilku podstawowych zasad bezpieczeństwa:
- zawsze dokładnie sprawdzaj adres nadawcy wiadomości e-mail,
- nie klikaj w linki przesłane w podejrzanych wiadomościach,
- nie otwieraj załączników od nieznanych nadawców,
- nie podawaj danych osobowych ani finansowych po wejściu z linku otrzymanego e-mailem,
- korzystaj z uwierzytelniania dwuskładnikowego,
- regularnie aktualizuj system operacyjny i program antywirusowy,
- stosuj silne i unikalne hasła,
- nie używaj tych samych haseł w wielu serwisach,
- zachowaj szczególną ostrożność wobec wiadomości wywołujących presję czasu lub emocje.
Szczególnie niebezpieczne są załączniki w formacie HTML, ZIP lub dokumenty Office wymagające uruchomienia makr. Coraz częściej to właśnie one służą do instalacji złośliwego oprogramowania typu malware lub tzw. info stealerów, które potrafią przejąć zapisane hasła, dane logowania czy informacje z przeglądarki internetowej.
Celem ataków są również przedsiębiorcy
W praktyce cyberprzestępcy nie atakują wyłącznie osób prywatnych. Coraz częściej celem są również przedsiębiorcy i pracownicy firm. Jedno kliknięcie w złośliwy link może doprowadzić do przejęcia służbowej skrzynki e-mail, wycieku danych klientów lub zainfekowania całej infrastruktury organizacji. Z perspektywy RODO taki incydent może oznaczać konieczność zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO oraz poważne konsekwencje finansowe i wizerunkowe.
Dlatego ochrona danych osobowych nie może dziś ograniczać się wyłącznie do dokumentacji i formalnych procedur. Coraz większe znaczenie mają regularne szkolenia pracowników oraz budowanie świadomości zagrożeń cyberbezpieczeństwa. To właśnie czynnik ludzki pozostaje obecnie jednym z najczęściej wykorzystywanych elementów w atakach phishingowych.
Wiele organizacji nadal koncentruje się głównie na zabezpieczeniach technicznych, pomijając praktyczne przygotowanie pracowników do rozpoznawania zagrożeń. Tymczasem nawet podstawowa wiedza dotycząca phishingu, fałszywych domen czy metod socjotechniki potrafi znacząco ograniczyć ryzyko incydentu bezpieczeństwa.
Fałszywe maile nie muszą być problemem
Jako Fundacja Entropia prowadzimy szkolenia oraz działania edukacyjne z zakresu ochrony danych osobowych, bezpieczeństwa i zgodności z RODO. Podczas szkoleń przypominamy uczestnikom o podstawowych zasadach bezpieczeństwa cyfrowego, uczymy rozpoznawania prób phishingu oraz pokazujemy, jak skutecznie chronić dane osobowe i informacje firmowe przed współczesnymi zagrożeniami. W praktyce to właśnie regularna edukacja użytkowników pozostaje dziś jednym z najskuteczniejszych elementów ochrony danych i bezpieczeństwa organizacji.
Kontakt z nami możliwy jest za pośrednictwem poniższego formularza kontaktowego:
