Uważaj na pułapki w rozliczeniach PIT. Jeden nierozważny klik i problem gotowy
Trwa właśnie gorący okres rozliczeń z fiskusem, ale i czas wzmożonej aktywności cyberprzestępców, którzy podszywają się na przykład pod urzędy skarbowe. Tylko do 18 lutego tego roku przez usługę Twój e-PIT zostało wysłanych ponad milion zeznań podatkowych. Tymczasem raport „Skala i metody cyberataków na polskich internautów” pokazuje, że aż 76 proc. osób otwiera linki lub załączniki do wiadomości, tylko dlatego że wydaje im się, że pochodzą od zaufanego nadawcy.
Oszuści stosują liczne metody socjotechniczne, w tym phishing w celu wyłudzenia danych osobowych. Rozsyłają fałszywe e-maile czy SMS-y, w których podszywają się pod instytucje (na przykład urzędy skarbowe, platformy e-usług czy banki), informując o zwrocie podatku czy konieczności pilnego poprawienia deklaracji PIT. Do wiadomości tych dołączone są pliki ze złośliwym kodem, kody QR lub linki do fałszywych stron, łudząco podobnych do oficjalnych rządowych serwisów.
Techniki działań cyberprzestępców są zawsze podobne: podszycie się pod znaną instytucję, wywarcie presji czasowej, straszenie negatywnymi konsekwencjami. Świadomość internautów stale rośnie, jednak w natłoku codziennych spraw zdarza się, że odbiorcy takich złośliwych wiadomości tracą czujność – ostrzega Chester Wisniewski, dyrektor ds. technologii w Sophos.
W jego ocenie, gdy chodzi o sprawy rozliczeń z urzędami, obawy mogą dodatkowo zwiększać presję.
Polacy nie do końca potrafią rozpoznać phishing
Według ostatniego badania Sophos, 65 proc. polskich internautów uważa, że byłoby w stanie rozpoznać phishing. Ale stosunkowo wysoki jest odsetek osób, które nie są tego pewne (28 proc.). Jednocześnie ankietowani w dużej mierze zdają sobie sprawę z typowych sygnałów ostrzegawczych świadczących o tym, że mogą mieć do czynienia z próbą oszustwa.
Zapytani o to, co w otrzymanej wiadomości wzbudziłoby podejrzenia:
- 71 proc. respondentów wskazało na nieznany adres e-mail nadawcy,
- 64 proc. na presję czasu i ponaglanie do natychmiastowego działania poprzez kliknięciew link/załącznik,
- 53 proc. straszenie negatywnymi konsekwencjami.
Niestety, w praktyce internauci czasem lekceważą te znaki ostrzegawcze. Raport Sophos wskazuje, że aż 76 proc. Polaków otwiera linki lub załączniki wiadomości, gdy są przekonani o wiarygodności ich nadawcy. Co trzeci klika w nie, gdy wiadomość dotyczy ważnych spraw, na przykład rachunków.
Zagrożenie dotyczy wszystkich grup wiekowych, ze szczególnym uwzględnieniem seniorów. W 2024 roku najstarszy podatnik, który złożył deklarację w usłudze Twój e-PIT, miał 107 lat. Jak wynika z badania Sophos, osoby powyżej 55. roku życia są znacznie mniej pewne swoich umiejętności rozpoznania fałszywych wiadomości niż młodsi internauci. W grupach wiekowych 25-44 nawet 79 proc. badanych wskazywało, że potrafi zidentyfikować sygnały ostrzegawcze. W grupach powyżej 55. Roku życia była to połowa ankietowanych.
Więcej wiadomości na temat podatków można przeczytać poniżej:
Jak uchronić się przed próbą wyłudzenia
Jak wskazują eksperci Sophos, aby minimalizować ryzyko oszustwa, należy przede wszystkim dokładnie sprawdzać adres nadawcy wiadomości, zwracać uwagę na błędy w jej treści, a także unikać klikania w linki, otwierania załączników czy skanowania kodów QR, jeśli tylko coś wzbudza wątpliwości.
Jeśli nadawca wiadomości próbuje wymusić natychmiastowe działanie lub straszy konsekwencjami, to prawdopodobnie jest to próba oszustwa i należy zachować szczególną ostrożność. W razie wątpliwości warto zawsze skontaktować się bezpośrednio z urzędem czy infolinią, żeby zweryfikować, czy informacje podane w wiadomości są prawdziwe – przestrzega Chester Wisniewski.
Jego zdaniem ważne jest też korzystanie z oficjalnych platform rządowych i portali, jednak nie należy wchodzić na nie poprzez linki podane w e-mailach. Najlepiej ręcznie wpisać ich nazwę w wyszukiwarkę czy zapisać sobie zaufany adres w ulubionych zakładkach.
Regularne aktualizowanie systemu operacyjnego i oprogramowania ochronnego oraz korzystanie z silnych haseł, najlepiej w połączeniu z weryfikacją wieloskładnikową, to dodatkowe środki, które mogą pomóc w ochronie przed cyberprzestępcami – radzi Wisniewski.
I dodaje, że kluczem do bezpieczeństwa jest zachowanie zdrowego rozsądku, dokładne sprawdzanie nadawców i unikanie działania pod presją czasu. Lepiej poświęcić chwilę na dodatkową weryfikację otrzymanej wiadomości niż później mierzyć się z konsekwencjami wycieku danych osobowych czy utraty pieniędzy.
Badanie „Skala i metody cyberataków na polskich internautów” zostało zrealizowane w listopadzie 2024 roku metodą CAWI przez ośrodek Biostat na zlecenie firmy Sophos. Ankietą objęto 1000 polskich internautów. Tożsame badania, również na zlecenie Sophos, przeprowadzono w tym samym czasie w Czechach i na Węgrzech.
