Rozliczasz PIT? Uważaj na oszustów. Oto ich metody

Podatnicy już mogą rozliczać PIT za ubiegły rok. Wypełnione zeznania podatkowe powinni złożyć do końca kwietnia. Warto pamiętać o tym, że czas rozliczeń PIT to pełnia sezonu dla internetowych złodziei, którzy mają na celowniku nasze pieniądze. Aby się do nich dobrać, wymyślają coraz bardziej perfidne metody oszustw.

Jak rozpoznać cyfrowe pułapki?

Wraz z rozwojem technologii cyberprzestępcy zyskują narzędzia pozwalające tworzyć coraz bardziej wiarygodne i dopracowane kampanie, w których fałszywe wiadomości niemal nie różnią się od tych oficjalnych. Wystarczy chwila nieuwagi lub nieostrożności przy odczytywaniu wiadomości – i podatnik może stracić oszczędności lub zwrot podatku. Dlatego warto wiedzieć, jak rozpoznawać cyfrowe pułapki.

Cyberprzestępcy często działają według utartych schematów, jednak w okresie rozliczeń PIT ich metody stają się bardziej wyrafinowane. I tak np. mogą podszywać się pod urzędników skarbowych, korzystając z oficjalnych logotypów lub manipulować numerami telefonów (tę metodę określa się jako spoofing), aby na ekranie telefonu użytkownika wyświetliła się nazwa instytucji, z której usług korzysta. Pomaga im w tym również sztuczna inteligencja.

– Dzięki AI bariera językowa czy błędy ortograficzne, które dawniej demaskowały oszustów, niemal zniknęły. Dzisiejsze wiadomości phishingowe są pisane nienaganną polszczyzną, a ich ton idealnie naśladuje urzędowy styl, co może uśpić czujność nawet doświadczonych użytkowników sieci - mówi Beniamin Szczepankiewicz, analityk cyberzagrożeń z ESET.

Sposoby działania przestępców

Wiele działań oszustów opiera się na próbie wywołania w odbiorcy silnych emocji, a więc np. strachu przed karą lub radości z obiecanych pieniędzy. Aby być odpornym na takie manipulacje, warto znać sposoby i działania, które od powinny zapalić w naszej głowie czerwoną lampkę. Oto najpopularniejsze sygnały, które mogą świadczyć o tym, że właśnie stałeś się celem ataku:

• Niespodziewany SMS lub e-mail od fiskusa: pamiętaj, że urząd skarbowy nie wysyła linków do formularzy rozliczeniowych w wiadomościach SMS ani nie prosi o logowanie do e-Urzędu Skarbowego poprzez link w mailu.
• Presja czasu i groźba kar: oszuści mogą straszyć natychmiastową kontrolą lub karami finansowymi, jeśli nie „skorygujesz błędu” w ciągu kilku godzin. Oficjalna korespondencja w takich sprawach zawsze trafia do obywatela tradycyjną pocztą lub poprzez zweryfikowaną skrzynkę w portalu e-Urząd Skarbowy/mObywatel.
• Płatności przez nietypowe kanały: jeśli otrzymasz prośbę o dopłatę niewielkiej kwoty (np. „brakuje 1,50 zł do pełnego rozliczenia”) poprzez nieznany system płatności lub kryptowaluty – to niemal na pewno próba wyłudzenia danych do twojego banku.
• Prośba o dane logowania lub numer karty: Ministerstwo Finansów nigdy nie prosi o podanie haseł do bankowości ani numerów kart płatniczych w celu wypłaty nadpłaty podatku.

Kontakt i atak z wielu stron 

Oszuści działają na wiele sposobów. Korzystają z wszelkich dostępnych kanałów komunikacji – od wiadomości tekstowych, przez e-maile, aż po połączenia telefoniczne.

• Wiadomości pod szyldem administracji publicznej: użytkownicy mogą otrzymywać e-maile lub SMS-y, które podszywają się pod oficjalne organy, takie jak Ministerstwo Finansów czy Krajowa Administracja Skarbowa. Częstym motywem jest informacja o rzekomej nadpłacie, konieczności weryfikacji danych lub pilnej dopłacie do rozliczenia.
• Fałszywe załączniki i złośliwe oprogramowanie: niektóre kampanie phishingowe opierają się na przesyłaniu dokumentów, które mają udawać np. potwierdzenie wysłania deklaracji (UPO) czy formularz korekty. W rzeczywistości otwarcie takiego pliku może prowadzić do instalacji złośliwego oprogramowania na urządzeniu.
• Próby kontaktu telefonicznego (vishing): może dojść również do prób wyłudzenia danych przez telefon. Osoba podająca się za urzędnika lub doradcę podatkowego może próbować uzyskać wrażliwe informacje pod pretekstem „wyjaśnienia błędów” w deklaracji.

– Niezależnie od wybranej metody, cel oszustów pozostaje podobny: skłonienie nas do podania danych logowania do bankowości elektronicznej, numerów kart płatniczych lub przekazania pełnych danych osobowych. Te ostatnie mogą posłużyć przestępcom np. do kradzieży tożsamości – dodaje Beniamin Szczepankiewicz.

Uwaga na „rekordowy zwrot podatku”

Internauci powinni zachować ostrożność także podczas przeglądania social mediów. Tam coraz częściej można spotkać rzekome „ukryte triki” na rekordowo wysoki zwrot podatku. Tacy "doradcy" obiecując wsparcie w uzyskaniu nienależnych odliczeń, często chcą wyłudzić opłaty za przygotowanie fikcyjnej dokumentacji lub zdobyć nasze pełne dane osobowe.

Z uważnością należy podchodzić również do nieznanych pośredników, którzy sugerują wpisanie ich numeru konta w deklaracji zamiast rachunku należącego do podatnika. Warto mieć świadomość, że powierzenie wrażliwych informacji finansowych przypadkowej osobie z sieci niesie za sobą olbrzymie ryzyko kradzieży tożsamości. 

Sprawdź, komu przekazujesz 1,5% podatku

W gorącym czasie składania zeznań podatkowych oszuści polują również na okazje, by przejąć środki, które zamierzamy jako podatnicy chcemy przekazać na cele charytatywne. Jak działają oszuści? Niektórzy tworzą fałszywe strony internetowe, inni rozsyłają linki do zainfekowanych programów, które wyglądają niemal identycznie jak znane i cieszące się popularnością narzędzia do rozliczania PIT. Różnymi sposobami chcą nakłonić podatnika, by ten skorzystał z fałszywej, podstawionej aplikacji, w której numer KRS jest kontrolowany przez oszustów.

Jeśli chcesz być pewien, że twoje 1,5% podatku trafi do prawdziwej, a nie wykreowanej przez oszustów organizacji pożytku publicznego, korzystaj z oficjalnego portalu e-Urząd Skarbowy lub oprogramowania pobranego bezpośrednio z zaufanych stron sprawdzonych organizacji.

Co zrobić, gdy podejrzewasz oszustwo?

Jeśli otrzymasz podejrzaną wiadomość, w pierwszej kolejności zachowaj spokój i natychmiast przerwij kontakt. Pamiętaj o tym, aby nie klikać w podane linki. Absolutnie nie podawaj żadnych kodów autoryzacyjnych, jeśli jesteś o to proszony przez telefon. 

– Cyberprzestępcy bazują na wywoływaniu emocji, dlatego najlepszą obroną jest chłodna ocena sytuacji i weryfikacja każdego komunikatu u źródła. Pamiętajmy, że instytucje państwowe nie proszą o dane logowania ani numery kart płatniczych w wiadomościach e-mail czy SMS – podkreśla Beniamin Szczepankiewicz.