Krajowa Administracja Skarbowa wydała ostrzeżenie dotyczące masowej akcji oszustów, polegającej na próbie wyłudzenia danych z wykorzystaniem wizerunku KAS. Wiadomości, które instytucja rozesłała do podatników i informuje w nich o powiadomieniach od urzędu skarbowego, są oszustwami. Klikając w załączone do wiadomości linki, narażamy się na kradzież danych osobowych. Wiadomość od KAS to pułapka.

Nie odpowiadaj na tę wiadomość od KAS. To oszuści

Oszuści rozesłali wiadomości e-mail do Polaków, w których podszywają się pod Krajową Administrację Skarbową (KAS). W fałszywych e-mailach znajdziemy informację dotyczącą rzekomego powiadomienia wydanego przez „urząd skarbowy”. Chcąc zapoznać się z komunikatem, należy kliknąć link. Po kliknięciu następuje przejście na fałszywą stronę internetową, która będzie wymagała aktualizacji programu do odczytu pliku (zainfekowanego szkodliwym oprogramowaniem). Jak podaje niebezpicznik.pl, w większości przypadków nie dochodzi do pobrania zainfekowanego pliku, ale zamiast tego użytkownik kierowany jest na stronę przypominającą formularz logowania i tam proszony jest o podanie hasła do swojej skrzynki e-mail. To klasyczny przykład phishingu (o czym poniżej), którego celem jest wyłudzenie danych logowania do kont pocztowych.

Zobacz także:

prezent

Urząd Skarbowy obciąży kieszenie Świętego Mikołaja? „Do pewnych prezentów musimy doliczyć stosowny podatek”
dowód

Oszuści w internecie wymyślili nowy przekręt. Uważajcie na sztuczkę z dowodem osobistym

Oszuści podszywający się pod Krajową Administrację Skarbową wysyłają fałszywe wiadomości e-mail, w których informują, że urząd skarbowy wydał powiadomienie dotyczące podatnika. Zachęcają, by kliknąć link, który pozwoli zapoznać się z powiadomieniem. Kliknięcie linku przenosi na fałszywą stronę, gdzie podatnik jest informowany o konieczności zaktualizowania oprogramowania. Przestępcy chcą w ten sposób wyłudzić dane podatnika – przekazuje KAS w oficjalnym komunikacie.

Przed podobnymi próbami wyłudzeń KAS informował Polaków niejednokrotnie we współpracy z Ministerstwem Finansów. Zalecenia dotyczące kliknięcia w link czy sugerujące, by pobrać coś w Elektronicznej Skrzynce Podawczej Krajowej Administracji Skarbowej (ESP) za pośrednictwem platformy ePUAPn to pułapki. Jak wynika z rządowego komunikatu umieszczone na stronie podatki.gov.pl, pracownicy administracji skarbowej nie wysyłają wiadomości e-mail i nie informują o przesłaniu pism w ten sposób.

Przestępcy podszywają się pod urzędników? Dałeś się nabrać? Oto co powinieneś zrobić

Niebezpiecznik.pl przekazuje, że jeśli ktoś kliknął link, ale nie pobrał żadnych plików i nie wpisywał danych logowania, może czuć się bezpieczny. Jeśli jednak ktokolwiek zainstalował fałszywe oprogramowanie do odczytania pliku, należy szybko wyłączyć urządzenie i oddać je do profesjonalnego zakładu, gdzie specjaliści ocenią, czy doszło do zainfekowania złośliwym oprogramowaniem.

Z kolei w przypadku podania danych do logowania, należy zweryfikować, czy nastąpiło logowanie do naszej skrzynki pocztowej. Niebezpiecznik.pl radzi, że jeśli pojawiły się ślady obcego logowania, należy wylogować nieznane sesje i zmienić hasło do e-maila (oraz innych serwisów, w których mieliśmy takie samo hasło). Ponadto w przypadku ujawnienia kradzieży danych należy zgłosić sprawę na policję oraz zastrzec dowód tożsamości, a także zawiadomić swój bank. Pamiętaj jednak, że problemom można zapobiec. Jak przekazuje cyberrescue.info, strona poświęcona bezpieczeństwu w sieci, należy pamiętać o kilku zasadach. 

Ważna zasada – nie klikaj linków i załączników z wiadomości, a także nie podawaj żadnych danych na nieznanych stronach! Zamiast tego samodzielnie odwiedź oficjalną stronę instytucji, żeby zweryfikować otrzymane w mailu informacje - wskazuje Karolina Kmak, starszy specjalista ds. cyberbezpieczeństwa. - Urzędy nie proszą o logowanie przez zewnętrzne linki do podejrzanych portali, zwłaszcza takich, które nie są powiązane z ich domeną - dodaje.

Po co przestępcom dane osobowe? To gorsze od kradzieży materialnej

Phishing (celowo błędny zapis słowa „fishing”, które w języku angielskim oznacza łowienie ryb) to, upraszczając, pozyskanie poufnej informacji osobistej. Jest to metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji (np. danych osobowych, logowania, karty kredytowej), zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań.

Innym sposobem działania cyberprzestępców, który ma doprowadzić do poznania poufnych danych, jest wykorzystywanie złośliwego oprogramowania, zwanego w zależności od swojej formy: robakami, końmi trojańskimi (trojanami) lub wirusami. Takiego „robaka” można ściągnąć, korzystając z zainfekowanych witryn internetowych. Bardziej zaawansowaną, a co za tym idzie niebezpieczniejszą dla użytkownika oraz trudniejszą do wykrycia, formą phishingu jest tzw. pharming. Zamiast wysyłania fałszywych wiadomości e-mail przestępcy przekierowują użytkowników wpisujących prawidłowe adresy np. swojego banku na fałszywe strony internetowe.

Policjanci przypominają, że przestępcy mogą wykorzystać zdobyte informacje np. do wyłudzenia kredytu, prowadzenia fałszywej działalności gospodarczej w celu np. wyłudzenia zwrotu podatku, wynajęcia lokalu lub pokoju w hotelu, kradzieży wypożyczonego pojazdu lub innej rzeczy, zawarcia innego rodzaju umowy z wykorzystaniem skradzionych danych osobowych - widnieje w komunikacie policji.