Phishing na e-Urząd Skarbowy: rzekomy zwrot podatku — jak działa, jak się chronić

  • Home
  • Szczegóły artykułu
28 października 2025

Co się wydarzyło — krótkie podsumowanie faktów

W ostatnich dniach CERT Polska i instytucje rządowe ostrzegły przed falą phishingowych wiadomości e-mail i SMS, w których przestępcy podszywali się pod e-Urząd Skarbowy / KAS. Wiadomości miały informować o możliwości odebrania zwrotu podatku i zachęcać do kliknięcia w link lub załącznik prowadzący do fałszywej strony. Celem było wyłudzenie danych osobowych, numerów kont bankowych lub loginów do bankowości internetowej. Oficjalne komunikaty podkreślają, że KAS i MF nie proszą o podanie danych przez e-mail i apelują o rozwagę. dobreprogramy+1

Dziennikarze i serwisy branżowe opisują kampanię jako klasyczny phishing „na zwrot podatku” — często pojawiają się też krótkie SMS-y, które dopełniają ataku i przyspieszają reakcję ofiary. Fałszywe strony bardzo przypominają oryginalne portale, co utrudnia szybką identyfikację. Bankier.pl+1

Jak działa ten rodzaj phishingu — krok po kroku

  1. Wiadomość inicjująca — e-mail lub SMS wyglądający jak oficjalne powiadomienie: „Masz do odebrania zwrot podatku” z przyciskiem/linkiem. Nadawca często używa nazw podobnych do oficjalnych (np. e-Urzad, Skarb0wy itp.). Podatki
  2. Przekierowanie na fałszywą stronę — link prowadzi do witryny udającej panel urzędowy. Tam ofiara może zostać poproszona o: PESEL, NIP, numer telefonu, dane karty, login do banku czy nawet o instalację pliku (złośliwego). PREBYTES Security Incident Response Team+1
  3. Wyłudzenie / kradzież — podane dane są wykorzystywane do przejęcia kont lub do wykonania płatności (np. przelewy, dodanie karty do portfela cyfrowego, logowanie się na konta bankowe).
  4. Escalation (SMS + telefon) — niektórzy przestępcy wysyłają dodatkowy SMS z kodem lub dzwonią, podszywając się pod infolinię, by przekonać ofiarę do potwierdzenia transakcji. NASK

Jak rozpoznać fałszywy e-mail / SMS — lista kontrolna

  • Sprawdź nadawcę: oficjalne adresy państwowe kończą się na .gov.pl lub w oficjalnych domenach KAS. Fałszywe adresy bywają podobne, ale zawierają drobne różnice. Gov.pl
  • Nie klikaj linków bez sprawdzenia: najpierw wpisz w przeglądarkę oficjalny adres (np. podatki.gov.pl) i sprawdź komunikaty.
  • Urząd nie poprosi o PIN, pełne dane karty czy hasła: nigdy nie podawaj pełnego numeru karty z kodem CVV ani loginów do bankowości przez formularz z linku w mailu. Podatki
  • Sprawdź treść wiadomości: język nieformalne, błąd ortograficzny, wyraźne wezwanie do natychmiastowego działania (ang. urgency) to czerwone flagi.
  • Zwróć uwagę na wygląd strony: brak bezpiecznego połączenia (https) lub dziwne certyfikaty to sygnał ostrzegawczy.
  • Nie pobieraj załączników od nieznajomych. Fałszywe PDFy lub archiwa mogą zawierać malware. PREBYTES Security Incident Response Team

Jak się chronić (praktyczne porady)

  • Używaj dwuskładnikowego uwierzytelnienia (2FA) wszędzie tam, gdzie to możliwe — szczególnie w bankowości i usługach e-mail.
  • Aktualizuj system i przeglądarkę — wiele ataków wykorzystuje znane luki.
  • Nie podawaj danych przez linki w SMS/e-mailach — wpisz adres urzędu ręcznie lub użyj zaufanej aplikacji.
  • Ogranicz dane udostępniane publicznie (PESEL, data urodzenia) na portalach społecznościowych — cyberprzestępcy używają ich do weryfikacji tożsamości.
  • Ustaw alerty transakcyjne w banku — natychmiast dowiesz się o dziwnym przelewie lub dodaniu nowej karty.
  • Edukacja rodziny — starsi użytkownicy i dzieci są częstą ofiarą — porozmawiaj, pokaż przykłady fałszywych maili.
  • Sprawdzaj komunikaty CERT i stron rządowych — tam publikowane są aktualne kampanie i IoCs (Indicators of Compromise). dobreprogramy+1

Co robić, jeśli padniesz ofiarą phishingu?

  1. Zablokuj dostęp — natychmiast zmień hasła i, jeśli możliwe, zablokuj konto bankowe lub kartę. Skontaktuj się z bankiem i zgłoś podejrzane transakcje.
  2. Zgłoś incydent — powiadom CERT Polska, Urząd Skarbowy (jeśli dotyczy), policję (zawiadomienie o przestępstwie). Upewnij się, że masz potwierdzenie zgłoszenia. dobreprogramy
  3. Zachowaj dowody — nie usuwaj maili/SMS-ów, zrób zrzuty ekranu, zapisz podejrzane adresy URL i numery telefonów.
  4. Zgłoś się do banku o chargeback lub procedurę reklamacyjną — większość banków ma ścieżkę odzyskania środków w przypadku udokumentowanego oszustwa. Bankier.pl
  5. Sprawdź tożsamość — monitoruj wyciągi, zgłoś się do BIK, jeśli obawiasz się o nadużycie danych osobowych.
  6. Skorzystaj z pomocy specjalistycznej — firmy zajmujące się odzyskiwaniem tożsamości (ID protection) lub prawnik wyspecjalizowany w sprawach cyberprzestępczości mogą pomóc, jeśli strata jest znaczna.

Dodatkowe ciekawostki

  • Ataki „na zwrot podatku” są szczególnie skuteczne w okresie rozliczeń (PIT), ponieważ wiele osób rzeczywiście spodziewa się zwrotów — przestępcy wykorzystują timing. PREBYTES Security Incident Response Team
  • Fałszywe strony potrafią automatycznie wstawiać do formularza kwoty „do zwrotu” (np. 1 594,25 PLN) by wyglądać wiarygodniej — to manipulacja psychologiczna. PREBYTES Security Incident Response Team
  • NASK, CERT i instytucje państwowe regularnie publikują wzorce i przykłady oszustw — warto szybko reagować i rozsyłać te informacje wśród współpracowników/rodziny. NASK+1

Źródła i odwołania (wybrane)

  • CERT Polska — ostrzeżenie przed e-mailem o zwrocie pieniędzy. dobreprogramy
  • Ministerstwo Finansów / podatki.gov.pl — komunikaty o fałszywych mailach informujących o nadpłacie/PIT. Podatki+1
  • Artykuły branżowe i media (Bankier.pl, Firewall.pl, SIRT) — opis kampanii i technik wykorzystywanych przez przestępców. Bankier.pl+2FirewallBlog – BLOG IT+2
  • NASK — poradnik o fałszywych SMS i mechanikach oszustw na PIT. NASK

Wyświetleń: 5
Poprzedni Następny

Skomentuj

Dodając komentarz, wyrażasz zgodę na przetwarzanie danych osobowych (nazwa, e-mail, treść komentarza) w celu publikacji komentarza. Szczegóły znajdziesz w naszej Polityce prywatności.