Jak potwierdza Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy, wizerunek Urzędu Skarbowego jest coraz częściej wykorzystywany do kampanii phishingowych, czyli cyberataków polegających na wyłudzeniu poufnych informacji. Działania takie nasilają się zwłaszcza w okresie zbliżającego się terminu rozliczenia rocznych zeznań podatkowych. W raporcie z realizowanego dla BIK badania „Cyberbezpieczeństwo Polaków” czytamy, że aż 15 proc. ankietowanych zetknęło się w poprzednim roku z próbami wyłudzeń na PIT, kontaktem w sprawie nadpłaty lub niedopłaty podatku. Według respondentów, w ostatnim czasie najbardziej nasiliło się zagrożenie wyłudzeniami metodą podszywania się pod instytucję publiczną (68 proc) oraz zagrożenie phishingiem (68 proc.). Od jesieni do wiosny odsetek ankietowanych obawiających się phishingu wzrósł z 60 do 68 proc., a prób wyłudzenia z wykorzystaniem tej metody doświadczył już co trzeci respondent.
Ciemna strona technologii
Raport InfoDok przygotowany na zlecenie Związku Banków Polski wskazuje, że wartość udaremnionych prób wyłudzeń z wykorzystaniem danych osobowych utrzymuje się na poziomie 48 mln złotych kwartalnie. Oszuści z roku na rok usprawniają stosowane metody i coraz częściej łączą technologię z socjotechniką. Bez względu na taktykę, schemat pozostaje ten sam – ofiara ma uwierzyć, że ma do czynienia z prawdziwą instytucją. Przez to będzie skłonna do kliknięcia w link lub ściągnięcia proponowanej aplikacji. Przestępcy przechwytują wtedy dane osobowe, także do systemu transakcyjnego konta. Czasem tylko niektóre dane wystarczą, aby zaciągnąć kredyt czy podpisać umowę abonamentową z dostawcą usług telekomunikacyjnych na cudze nazwisko.
– Przestępcom nie zależy, aby proceder szybko wyszedł na jaw, więc mogą podać wymyślony adres do korespondencji. Nie dowiemy się prędko, że padliśmy ofiarą oszustwa, bowiem harmonogram spłaty rat czy wezwania do zapłaty nie trafi na nasz adres. W najgorszym scenariuszu o tym, że jesteśmy dłużnikami, dowiemy się od komornika, który zajmie nam pensję lub przyjdzie do domu zabezpieczyć wartościowe przedmioty – tłumaczy Andrzej Karpiński, dyrektor Departamentu Bezpieczeństwa Grupy BIK.
Według informacji Krajowej Administracji Skarbowej, w ciągu zaledwie trzech pierwszych dni od uruchomienia możliwości składania e-PIT podatnicy złożyli milion deklaracji. Forma elektroniczna jest niewątpliwie najwygodniejszym sposobem rozliczenia PIT, a jednocześnie pozwala na szybsze uzyskanie zwrotu podatku. Na tym właśnie żerują przestępcy. Przez fałszywy komunikat próbują nakłonić do kliknięcia w link lub przekazania danych. Takie próby często się udają, zwłaszcza gdy ich adresat działa odruchowo. Wabikiem może być też informacja, że przy niezwłocznym podaniu danych szybko uzyskamy pieniądze z nadpłaty podatku.
Zachowaj spokój
Co robić w przypadku otrzymania podejrzanej wiadomości? Specjaliści od cyberbezpieczeństwa radzą: trzymaj emocje na wodzy.
– Typowe przypadki wyłudzeń to przede wszystkim manipulacja socjotechniczna w rozmowie telefonicznej, w której oszust podszywa się pod pracowników banku, firmy telekomunikacyjnej, policji, znanej instytucji finansowej czy firmy, wywołująca u rozmówcy poczucie zagrożenia, strach. W takiej sytuacji jesteśmy skłonni do podania wrażliwych danych osobom, które oferują nam pomoc – tłumaczy Andrzej Karpiński.
Eksperci przestrzegają przez klikaniem w link załączony do wiadomości oraz podawaniem danych osobowych mejlowo lub telefonicznie. Niestety, technologia umożliwia oszustom podszywanie się pod numery telefonów i infolinie urzędów czy instytucji finansowych. Dlatego żeby mieć pewność, czy faktycznie kontaktuje się z nami urząd, najbezpieczniej jest nie kontynuować rozmowy, nie korzystać z opcji „oddzwoń” w telefonie ani nie odpowiadać na SMS-y z linkami. Co zatem warto zrobić? Należy samemu wykonać połączenie na numer podany na oficjalnej stronie internetowej. W przypadku kontaktu mejlowego trzeba sprawdzić nadawcę - nie tylko nazwę, którą się wyświetla, ale przede wszystkim adres. Żaden urząd ani instytucja nie wysyła informacji z darmowej skrzynki popularnych dostawców usług mejlowych, a rządowe adresy kończą się na „gov.pl”. Sposobem na sprawdzenie, czy nasze dane nie zostały wykorzystane, jest także weryfikacja Raportu BIK lub włączenie Alertów BIK.
Weź udział w konferencji “Umowy IT - aspekty prawne i praktyczne” >>