Podatki. Mail z Urzędu Skarbowego? Uważaj

Trwa kampania, w ramach której na skrzynki Polaków rozsyłane są maile dotyczące rzekomej możliwości złożenia wniosku o zwrot nadpłaty podatku za ubiegły rok – ostrzega jedna z użytkowniczek platformy X (dawniej Twitter). Ich nadawcą ma być e-Urząd Skarbowy. To oszustwo. 

Jak wygląda taka wiadomość?

Na pierwszy rzut oka przypomina komunikat pochodzący od rządowej platformy e-Urząd Skarbowy. Widzimy m.in. logo, godło Polski, partnerów inicjatywy (np. UE, Fundusze Europejskie). 

W treści czytamy o „istotnych aktualizacjach dotyczących Państwa rozliczeń podatkowych za rok 2022”. Wynika z niej, że odbiorcy wiadomości przysługuje zwrot w wysokości 983,56 zł, co ma mieć związek z nadpłatą za ubiegły rok. 

W mailu znajduje się też sformułowanie, które ma nakłonić użytkowników do kliknięcia w link (interaktywny przycisk „e-Urząd Skarbowy – zaloguj się): „Aby ubiegać się o zwrot nadpłaconego podatku, kliknij poniżej i zaloguj się do e-Urzędu Skarbowego”. 

Ponadto, zamieszczono komunikat w innym, wyróżniającym kolorze: „Wasza natychmiastowa uwaga w tej sprawie jest kluczowa dla przyspieszenia procesu zwrotu”.

Kradzież danych uwierzytelniających

Kliknięcie w link prowadzi w praktyce do fałszywego panelu logowania podatki.gov.pl – tłumaczy CERT Polska, w odpowiedzi udzielonej użytkowniczce X, która zgłosiła otrzymaną wiadomość. 

Eksperci wskazują, że witryna powstała z myślą o wyłudzeniu danych uwierzytelniających do serwisu. To popularna metoda i cel cyberprzestępców, którzy próbują podszywać się pod m.in. instytucje zaufania publicznego, aby wzbudzić u odbiorców zaufanie i skłonić ich do podjęcia określonych działań (w tym przypadku wpisania danych logowania). 

Wpływ na użytkownika

Powyższy przykład pokazuje dokładnie, jak działają sprawcy. Widzimy mechanizmy z zakresu socjotechniki. Wystarczy wskazać na użyty język, np. „natychmiastowa uwaga”; „jest kluczowa”; „zwrot podatku”. To określenia, które mają wywołać u użytkowników emocje (presję czasu, chęć odzyskania pieniędzy) i nakłonić ich do kliknięcia w link.

Starannie przygotowany komunikat – z oprawą graficzną – oraz wskazanie nadawcy jako e-Urząd Skarbowy może być mylący. Dlatego tak ważne jest zachowanie czujności i zdrowego rozsądku. Przede wszystkim nie warto działać w pośpiechu i dać się ponieść emocjom. Impulsywne reakcje mogą nas drogo kosztować. 

W przypadku wątpliwości należy skontaktować się z oficjalną infolinią w celu wyjaśnienia sprawy. Warto również rozważyć opcję zastrzeżenia PESEL-u. Dzięki temu możemy uniknąć problemów, wynikających z np. kradzieży danych.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].