Ministerstwo Finansów ponownie alarmuje o nasilających się próbach oszustw internetowych, w których cyberprzestępcy podszywają się pod resort, wysyłając fałszywe wiadomości e-mail i SMS-y. Oszuści rozsyłają wiadomości dotyczące rzekomego zadłużenia, niedopłat podatkowych, a także fałszywych stron związanych z e-Sprawozdaniami Finansowymi, mając na celu wyłudzenie danych osobowych i środków finansowych od obywateli. Ministerstwo stanowczo podkreśla, że nie jest nadawcą tego typu wiadomości i apeluje o zachowanie szczególnej ostrożności.
Czym jest phishing i jak działają oszuści?
Phishing to jedna z najpopularniejszych metod ataków w cyberprzestrzeni, opierająca się na wiadomościach e-mail lub SMS. Przestępcy wykorzystują inżynierię społeczną, manipulując swoimi ofiarami, aby skłonić je do podjęcia określonych działań, takich jak ujawnienie danych logowania do kont bankowych, mediów społecznościowych czy systemów biznesowych. Cyberprzestępcy podszywają się pod różne instytucje, firmy kurierskie, urzędy administracji, operatorów telekomunikacyjnych, a nawet znajomych.
Nazwa „phishing” nawiązuje do „łowienia ryb” – przestępcy, podobnie jak wędkarze, stosują „przynętę” w postaci sfałszowanych wiadomości e-mail i SMS. Wiadomości te są starannie przygotowywane, aby wyglądały na autentyczne i nakłaniały do ujawnienia poufnych informacji, kliknięcia w link prowadzący do strony złośliwego oprogramowania lub otwarcia zainfekowanego załącznika. Oszuści często używają adresów internetowych łudząco podobnych do prawdziwych.
W 2019 roku zespół reagowania na incydenty cyberbezpieczeństwa CSIRT NASK zarejestrował 6484 incydenty, z czego 4100 stanowiły oszustwa internetowe typu „fraud”, do których zalicza się phishing.
Ministerstwo Finansów ostrzega przed konkretnymi oszustwami
Ministerstwo Finansów w swoich ostrzeżeniach z marca 2025 roku informuje o możliwych próbach oszustwa dotyczących rzekomego zadłużenia w resorcie. Podkreśla, że nie jest nadawcą takich wiadomości, a ich celem może być wyłudzenie danych lub środków finansowych. Nadpłatę lub niedopłatę podatku można sprawdzić wyłącznie w serwisie e-Urząd Skarbowy na podatki.gov.pl lub w urzędzie skarbowym.
Ponadto, resort finansów ostrzega przed oszustwami związanymi z fałszywymi linkami do stron dotyczących e-Sprawozdań Finansowych, gdzie po kliknięciu użytkownicy proszeni są o podanie adresu e-mail i hasła do poczty. Ministerstwo zaznacza, że korzystanie z aplikacji e-Sprawozdania Finansowe nie wymaga podawania danych logowania do poczty. Fałszywe strony mogą być bardzo podobne do oryginalnych, dlatego należy zwracać uwagę na detale w adresach URL.
Ministerstwo wydało również ostrzeżenie przed fałszywymi wezwaniami do zapłaty za przejazd autostradą w systemie e-TOLL, które są rozsyłane drogą mailową z linkami do płatności. System e-TOLL nigdy nie wysyła takich wiadomości e-mail, a celem jest wyłudzenie danych o rachunkach bankowych. Zaleca się ignorowanie takich wiadomości i unikanie klikania w załączone linki.
Jak rozpoznać i unikać fałszywych wiadomości?
Aby nie paść ofiarą phishingu, należy zachować szczególną ostrożność i stosować się do kilku zasad:
- Nie klikaj w linki ani nie odpowiadaj na podejrzane wiadomości e-mail lub SMS, dopóki nie upewnisz się, że nadawca jest autentyczny.
- Zwracaj szczególną uwagę na adresy stron internetowych przesyłane w podejrzanych wiadomościach. Fałszywe adresy często zawierają literówki lub inne nieprawidłowości.
- Sprawdzaj poprawność gramatyczną i interpunkcyjną wiadomości. Wiele wiadomości phishingowych zawiera błędy językowe.
- Weryfikuj, czy adres e-mail nadawcy jest wiarygodny i zgodny z organizacją, na którą się powołuje.
- Oceniaj wygląd i jakość e-maila. Czy użyte logotypy i stopki korespondują z oficjalną komunikacją danej firmy lub instytucji?.
- Bądź podejrzliwy, jeśli wiadomość jest adresowana w sposób ogólny (np. „ceniony kliencie”) zamiast imienia i nazwiska.
- Uważaj na wiadomości zawierające ukryte zagrożenie i wymagające natychmiastowego działania (np. „wyślij dane w ciągu 24 godzin”, „kliknij natychmiast”).
- Pamiętaj, że banki i urzędy nigdy nie proszą o podanie danych osobowych w wiadomościach e-mail lub SMS. Urzędy administracji publicznej nie żądają dopłat do szczepionek czy regulowania należności podatkowych za pomocą tych kanałów.
- Sprawdzaj polecenia lub pytania zawarte w wiadomościach, kontaktując się bezpośrednio z daną instytucją (np. bankiem) lub wyszukując w Internecie fragmenty treści wiadomości.
- Zwracaj uwagę na skrócone linki (tiny-URL). Jeśli nie masz pewności, dokąd prowadzą, najedź kursorem myszy na link (nie klikaj), a w dolnej części przeglądarki wyświetli się pełen adres.
- Oznaczaj podejrzane wiadomości jako spam lub „wiadomości śmieci”.
Zgłaszanie podejrzeń o phishing
W przypadku otrzymania podejrzanej wiadomości e-mail lub SMS, Ministerstwo Finansów zaleca kontakt z infolinią Krajowej Administracji Skarbowej pod numerem 22 330 03 30.
Można również zgłosić incydent do zespołu reagowania na incydenty komputerowe CERT Polska poprzez stronę internetową https://incydent.cert.pl/. Wystarczy wypełnić krótki formularz online i dołączyć podejrzaną wiadomość.
W przypadku uzasadnionego podejrzenia, że padło się ofiarą oszustwa, należy niezwłocznie zgłosić ten fakt Policji lub prokuraturze.
Nowe metody oszustw i ochrona danych osobowych
Przestępcy nieustannie modyfikują swoje metody oszustw. Oprócz phishingu, popularne stają się nowe warianty oszustw „na policjanta” czy „na książkę telefoniczną”, których celem jest wyłudzenie danych osobowych, a nie tylko pieniędzy. Pozyskane dane mogą posłużyć do zaciągnięcia pożyczek lub innych zobowiązań finansowych.
Przetwarzanie danych osobowych bez zgody jest przestępstwem zagrożonym grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 2. Osoba, której dane zostały ujawnione bezprawnie, ma prawo do złożenia zawiadomienia o możliwości popełnienia przestępstwa oraz może dochodzić odszkodowania i zadośćuczynienia za poniesioną szkodę.
Jedną z metod ochrony przed skutkami wyłudzenia danych jest zastrzeżenie numeru PESEL, co co do zasady uniemożliwia przestępcom zaciągnięcie pożyczki. Zastrzeżenie jest bezpłatne i proste.
Zachowanie ostrożności i weryfikacja podejrzanych wiadomości to kluczowe elementy ochrony przed atakami phishingowymi i innymi formami oszustw internetowych.