Krajowa Administracja Skarbowa (KAS) opublikowała pilny komunikat, w którym alarmuje o nowej, wyjątkowo niebezpiecznej kampanii phishingowej skierowanej bezpośrednio do polskich podatników. Przestępcy podszywają się pod organy państwowe, takie jak KAS czy Ministerstwo Finansów, w celu wyłudzenia poufnych danych, w tym danych do logowania do bankowości elektronicznej oraz numerów PESEL. Eksperci ds. cyberbezpieczeństwa oceniają tę akcję jako jedną z najbardziej zaawansowanych i masowych w ostatnim czasie.
Jak działają oszuści?
Metoda ataku opiera się na klasycznym, lecz wciąż skutecznym, schemacie phishingu. Obywatele otrzymują wiadomości e-mail lub SMS-y, które na pierwszy rzut oka wyglądają na oficjalne komunikaty z instytucji państwowych. Wiadomości te zawierają informacje o rzekomym zwrocie podatku, konieczności dopłaty lub weryfikacji danych w związku z programami socjalnymi. Kluczowym elementem jest link przekierowujący do fałszywej strony internetowej, łudząco podobnej do oficjalnego portalu podatkowego lub bankowego.
„Apelujemy o najwyższą czujność. Prawdziwa KAS nigdy nie prosi za pośrednictwem e-maili lub SMS-ów o podanie haseł, numerów kart kredytowych czy pełnych danych wrażliwych” – podkreśla rzecznik KAS w oficjalnym oświadczeniu.
Co grozi użytkownikom?
Po wprowadzeniu danych logowania na sfałszowanej stronie, przestępcy zyskują natychmiastowy dostęp do kont bankowych ofiar. W ciągu kilku minut mogą dokonać przelewów, zaciągnąć pożyczek online lub wykorzystać dane personalne do innych nadużyć, takich jak wyłudzenie kredytu. Straty finansowe mogą być ogromne, a proces odzyskiwania pieniędzy i naprawy szkód wizerunkowych – niezwykle długotrwały i skomplikowany.
Jak się chronić? Praktyczne porady od ekspertów
Specjaliści z CERT Polska oraz zespołów ds. bezpieczeństwa banków wskazują na kilka podstawowych zasad, które mogą uchronić przed atakiem:
- Sprawdzaj nadawcę wiadomości: Oficjalne maile od instytucji państwowych zawsze pochodzą z domeny gov.pl. Każdy inny adres (np. @kaspodatki.pl, @ministerstwo-finansow.com) powinien wzbudzić natychmiastowe podejrzenia.
- Nie klikaj w podejrzane linki: Zamiast klikać w link otrzymany w mailu lub SMS-ie, ręcznie wpisz adres oficjalnej strony w przeglądarce (np. www.podatki.gov.pl).
- Zwracaj uwagę na błędy językowe i grafikę: Fałszywe strony często zawierają drobne błędy ortograficzne, nieostre loga lub ogólnie mniej profesjonalną szatę graficzną.
- Włącz uwierzytelnianie dwuskładnikowe (2FA): To najskuteczniejsza dodatkowa bariera ochronna dla Twojego konta bankowego i poczty elektronicznej.
- Zgłaszaj incydenty: Jeśli otrzymałeś podejrzaną wiadomość, zgłoś ją do właściwej instytucji (KAS, Policja, bank) oraz do zespołu CERT Polska.
Reakcja instytucji i perspektywy
KAS, we współpracy z Policją i sektorem bankowym, podjęła już działania mające na celu zablokowanie jak największej liczby fałszywych stron i numerów telefonów wykorzystywanych przez oszustów. Trwa również kampania informacyjna w mediach tradycyjnych i społecznościowych. Eksperci przewidują, że wraz z sezonem rozliczeniowym PIT oraz przed kolejnymi wypłatami świadczeń socjalnych, fala podobnych ataków może jeszcze przybrać na sile. Cyberprzestępcy stale modyfikują swoje metody, dlatego kluczowa jest ciągła edukacja społeczeństwa w zakresie cyberhigieny.
Ostatecznie, w dobie cyfryzacji usług publicznych, czujność każdego użytkownika internetu staje się pierwsza linią obrony nie tylko jego własnych finansów, ale także bezpieczeństwa całego systemu finansowego państwa. Ignorowanie ostrzeżeń służb może prowadzić do dotkliwych konsekwencji, których uniknięcie leży w gestii przestrzegania kilku prostych, lecz niezwykle ważnych zasad.
Foto: images.iberion.media
