To ostatnie dni na złożenie deklaracji PIT za ubiegły rok. Cyberprzestępcy tylko czekają na nasz pośpiech i brak uwagi. Dla nich to czas żniw.
Zbliża się ostateczny termin rozliczania z fiskusem z dochodów za 2021 r. Zwykle robimy to do 30 kwietnia, jednak w tym roku ten dzień przypada w sobotę, dlatego mamy czas do 2 maja. Wiele osób tradycyjnie odkłada termin złożenia deklaracji PIT na ostatni chwilę. Tymczasem przestępcy wyłudzający dane osobowe nie próżnują. Wykorzystują presję czasu i związany z nią pośpiech.
– Niektórzy oszuści w wysyłanych mejlach i SMS-ach podszywają się pod urząd skarbowy i informują o konieczności uiszczenia dopłaty lub o zwrocie podatku. W tym celu wysyłają link do logowania w banku, który ma umożliwić płatność lub proszą o podanie danych z karty bankowej, loginu i hasła. Zachęcają także do kontaktu z infolinią poprzez podany numer i obiecują szybsze załatwienie sprawy. Po drugiej stronie słuchawki czeka na nas podstawiony konsultant, który prosi o podanie danych osobowych w celu weryfikacji – tłumaczy sposób działania oszustów Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.
Mogłoby się wydawać, że po wielu prowadzonych w ubiegłych latach kampaniach informacyjnych i licznych ostrzeżeniach nikogo nie da się już nabrać na takie sztuczki. Jednak, jak wynika z badania zrealizowanego w marcu 2022 r. przez serwis ChronPESEL.pl, co 10. ankietowany nie potrafi rozpoznać fałszywej wiadomości, w której ktoś powołuje się na bank lub instytucję publiczną. A jaki odsetek wie, jak odróżnić oszustwo od prawdziwej informacji? Tylko niewiele ponad 20 proc. badanych. Pod tym względem najlepiej radzą sobie młodzi ludzie (między 18 a 34 rokiem życia). Co trzeci ankietowany z tej grupy deklaruje, że nie miałaby najmniejszych problemów z rozpoznaniem oszusta.
Seniorzy nie mają już takiej pewności. Tylko 11 proc. osób z grupy wiekowej 55-64 deklaruje, że rozpoznałoby oszustwo w otrzymanej wiadomości. W grupie powyżej 65 lat jest to już tylko niespełna 9 proc. Trudno zatem dziwić się temu, że grupą docelową przestępców najczęściej są osoby starsze.
– Oszuści wykorzystują naszą niewiedzę. Pamiętajmy, że urzędy skarbowe nie kontaktują się z podatnikami w ten sposób. Nigdy nie proszą o żadne płatności za pośrednictwem wysłanych linków lub podanie danych do logowania. Każda taka wiadomość, którą otrzymamy, to najprawdopodobniej próba oszustwa. Żaden urzędnik nie będzie też przez telefon żądać naszych danych osobowych w celu weryfikacji ani zachęcać do pobrania programów, które to zrobią. Informacje o nadpłatach lub niedopłatach znajdziemy w serwisie podatki.gov.pl, natomiast zwrot będzie dokonany – w zależności od tego, co wskażemy w wypełnionej deklaracji – bezpośrednio na nasze konto, pocztą lub sami będziemy mogli go odebrać w placówce pocztowej. Nikt nie będzie nas prosił o logowanie w banku lub, co gorsza, o podawanie tych danych – podkreśla Bartłomiej Drozd.
Nie tylko na skarbówkę
Cyberprzestępcy stale poszerzają repertuar swoich działań. Podszywają się nie tylko za urzędników skarbowych, ale też np. za osoby ze spółek energetycznych, informując o rzekomych dopłatach lub datach przerw w dostawie. Sposób działania w zasadzie jest podobny jak w przypadku innych oszustw. W wiadomości znajduje się link, na który rzekomo powinniśmy dokonać płatności. Jeśli w niego klikniemy, oszustom oprócz pieniędzy zostawimy także dane do logowania w banku. Nasz przelew oczywiście nigdy nie trafi do spółki energetycznej.
Co może nas uchronić przed utratą pieniędzy i danych? Ostrożność, wiedza i zimna krew. Trzeba pamiętać, że – tak jak w przypadku urzędów skarbowych – spółki energetyczne również nigdy nie komunikują się w ten sposób ze swoimi klientami. Jeśli dostaniemy takiego mejla, zawsze warto zadzwonić najpierw na infolinię (oczywiście na numer widoczny na stronie internetowej, a nie ten podany przez oszustów) i zapytać o wszystko konsultanta.
Takie oszustwa to realne zagrożenie, o czym świadczą wyniki badania przeprowadzonego przez serwis ChronPESEL.pl. „Mogło mi się zdarzyć przekazanie danych do logowania osobom trzecim” – stwierdził co szósty ankietowany (17 proc.). Najczęściej deklarują tak osoby młode w wieku od 18 do 24 lat. Swoje hasło i login mogła udostępnić komuś innemu nawet co trzecia z nich. W grupie 25-44 lata jest niewiele lepiej – aż 20 proc. osób z tej grupy przyznaje, że mogło udostępnić obcym takie informacje. Ostrożność w tej kwestii jest domeną najstarszej z badanych grup. Do ewentualnego przekazania danych do logowania osobom trzecim przyznaje się 10-12 proc. badanych w wieku od 45 do 74 lat.
Do wyłudzenia danych i pieniędzy przestępcy wykorzystują także konflikt zbrojny w Ukrainie. Wysyłają mejle phishingowe, które próbowały skierować nieświadomych odbiorców np. na fałszywe kampanie zbierające fundusze dla uchodźców. Tworzą emocjonalne wpisy, fałszywe apele o solidarność z narodem Ukrainy lub wezwania do finansowej pomocy uchodźcom.
– Tego typu oszustwa to kolejny przykład działania cyberprzestępców, którzy są w stanie wykorzystać bieżące wydarzenia do własnych celów. Korzystając z dezinformacji wywołanej sytuacją w Ukrainie znacznie łatwiej jest im przeprowadzać ataki na darczyńców, którzy chcą pomóc potrzebującym. Możemy spodziewać się, że tego rodzaju oszustw będzie jeszcze więcej – ostrzega Kamil Sadkowski, starszy specjalista do spraw cyberbezpieczeństwa w firmie Eset.
Kolejna metoda: spoofing
Trzeba uważać na przestępców podszywających się pod konkretne numery telefonów. Wiele osób nie ma świadomości, że dzisiejsza technologia umożliwia tego typu działania. Oszust dzwoni i przedstawia się jako konsultant banku, firmy energetycznej lub urzędu skarbowego. Numer, który wyświetla się na telefonie, niestety to potwierdza. Podczas rozmowy oszuści proszą o podanie danych osobowych, tłumacząc to wymyśloną sytuacją, np. rzekomą próbą zlecenia przelewu lub koniecznością zrealizowania dodatkowej opłaty.
Niestety, przez to, że dzwoni do nas autentyczny numer telefonu, tego typu oszustwo jest trudne do weryfikacji. Jednak zdarza się, że może nas zaniepokoić zachowanie „konsultanta” lub jego nietypowe żądania i pytania o dane.
– Pamiętajmy, żeby nie podawać danych wrażliwych przez telefon, a wszystkie takie przypadki weryfikować, dzwoniąc osobiście na infolinię instytucji. Także po fakcie, jeśli już podaliśmy te informacje. W takim przypadku ważne jest bowiem, żeby jak najszybciej zareagować – tłumaczy Bartłomiej Drozd.
W przypadku podejrzanego telefonu lub innej próby wyłudzenia danych, które dotyczą Ministerstwa Finansów, Urzędów Skarbowych lub Krajowej Administracji Skarbowej, należy zgłosić incydent na adres: [email protected].
Urząd Ochrony Danych Osobowych w komunikacie dotyczącym reagowania w przypadku kradzieży tożsamości rekomenduje także m.in. założenie konta w systemie informacji gospodarczej, dzięki któremu można monitorować swoją aktywność kredytową.
