Uwaga na fałszywy zwrot podatku - jeden SMS może wyczyścić Twoje konto w kilka minut

W ostatnich dniach eksperci z CERT Orange Polska obserwują wzmożoną kampanię phishingową. 

Wiadomości przychodzą jako rzekomo oficjalne powiadomienia o nadpłacie podatku.

Nadawcy początkowo używali nazw takich jak „GOV” czy „MOF”, później zaczęli wysyłać SMS-y ze zwykłych numerów komórkowych. Można się spodziewać, że wraz z blokowaniem kolejnych nazw będą pojawiać się nowe, łudząco podobne.

Schemat jest prosty: wiadomość informuje o możliwości odebrania zwrotu z e-PIT i zawiera link prowadzący do fałszywej strony.

Strona, na którą trafia ofiara, jest stylizowana na serwis Ministerstwo Finansów. Część elementów graficznych to wierna kopia oryginalnej witryny. Jednak już sama treść powinna wzbudzić czujność – sformułowania w rodzaju „rząd Polski jest Ci winien pieniądze” są zbyt potoczne, by pojawić się na oficjalnej stronie administracji.

Co więcej, prawdziwa weryfikacja tożsamości w usługach państwowych odbywa się przez serwis login.gov.pl, a nie przez podawanie danych w losowym formularzu.

Kolejny etap ataku to wybór banku – rzekomo w celu potwierdzenia tożsamości przed wypłatą zwrotu. Po kliknięciu użytkownik trafia na stronę udającą panel logowania banku (np. z graficzną nakładką przypominającą Bank Millennium).

Problem w tym, że adres strony nadal pozostaje w domenie oszustów. Jeśli użytkownik wpisze login i hasło, a następnie kod SMS, przestępcy uzyskują pełny dostęp do konta. W praktyce oznacza to, że w ciągu kilku minut środki mogą zniknąć z rachunku.

Jak się chronić?

Jeśli chcesz sprawdzić swoje rozliczenie, korzystaj wyłącznie z oficjalnego serwisu e-PIT pod adresem: https://epit.podatki.gov.pl/

Zawsze upewniaj się, że adres strony kończy się na gov.pl.

Dodatkowo pamiętaj:

• Nie klikaj pochopnie w linki z SMS-ów, nawet jeśli wyglądają oficjalnie.
• Im więcej emocji w treści wiadomości (zwrot pieniędzy, pilny termin), tym większa ostrożność.
•  Sprawdzaj dokładnie adres strony przed wpisaniem loginu i hasła.
• Czytaj uważnie treść SMS-ów z kodami autoryzacyjnymi – bank jasno informuje, jaką operację potwierdzasz.
• Słuchaj komunikatów głosowych banku – często ostrzegają przed próbami wyłudzeń.

Podobne kampanie prowadzone są również przez e-mail. Niezależnie od kanału – schemat pozostaje ten sam: wywołać emocje i skłonić do szybkiego działania.