Dotychczas podatnicy złożyli ponad 5 mln PIT-ów przez Internet. Niestety, rosnącą popularność elektronicznych rozliczeń z fiskusem bezwzględnie wykorzystują cyberprzestępcy. Podszywają się pod urzędy skarbowe, Ministerstwo Finansów czy Krajową Administrację Skarbową pod pretekstem zwrotu nadpłaty podatku. Ich celem jest przejęcie milionów numerów PESEL. To bardzo poważny problem, ponieważ 30 proc. Polaków doświadczyło kradzieży lub próby wyłudzenia danych osobowych – wynika z badania przeprowadzonego przez serwis ChronPESEL.pl i Krajowy Rejestr Długów.
Cyberprzestępcy perfidnie wykorzystują gorączkowy okres rozliczeń PIT-ów. Stosują od lat najbardziej rozpowszechnioną metodę oszustwa, jaką jest phishing. Polega ona na podszywaniu się pod osoby lub instytucje wzbudzające publiczne zaufanie za pośrednictwem fałszywych e-maili, SMS-ów czy stron internetowych. W ten sposób próbują wyłudzić dane potrzebne np. do kradzieży pieniędzy z rachunku bankowego, czy zaciągnięcie kredytu na konto ofiary. W 2024 r. CERT Polska odnotował ponad 40 tysięcy incydentów związanych z phishingiem, co stanowiło aż 39 proc. wszystkich zarejestrowanych naruszeń.
Puste konto zamiast nadpłaty z PIT
Obecnie wiele osób niecierpliwie czeka na zwrot nadpłaty podatku. Ten fakt podstępnie wykorzystują cyberprzestępcy, licząc, że w pośpiechu stracimy czujność. W efekcie zamiast cieszyć się z otrzymania dodatkowych środków, nasze konto bankowe może zostać bezpowrotnie wyczyszczone ze wszystkich oszczędności. Zwłaszcza że oszuści są wyjątkowo wyrachowani, ponieważ wysyłają do milionów Polaków fałszywe e-maile, w których podszywają się pod urząd skarbowy i informują o nadpłacie PIT.
– Następnie proszą o potwierdzenie danych identyfikacyjnych oraz numeru rachunku bankowego do przelania środków za pośrednictwem linku umieszczonego w treści wiadomości. Jeśli w niego klikniemy i nabierzemy się na tę perfidną sztuczkę, to jak na tacy podamy oszustom komplet informacji potrzebnych do kradzieży naszej tożsamości. W ten sposób bardzo łatwo mogą uzyskać loginy do bankowości internetowej i wypłacić zgromadzone na rachunku pieniądze, czy numer PESEL potrzebny do zaciągnięcia zobowiązań finansowych na nasze konto
– mówi Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.
Ale na tym metody oszustów się nie kończą. Cyberprzestępcy podszywają się również pod Ministerstwo Finansów i Krajową Administrację Skarbową. W tym celu tworzą fałszywe strony internetowe łudząco podobne do prawdziwych witryn tych instytucji. W efekcie bardzo trudno je odróżnić na pierwszy rzut oka. To kolejny sposób, aby pod pozorem uzyskania dostępu do nadpłaty PIT wyłudzić dane osobowe.
Co trzeci PESEL na celowniku przestępców
W rezultacie zagrożenie jest bardzo poważne. 18 proc. Polaków zetknęło się z próbą wyłudzenia danych osobowych, a w 5 proc. przypadków ich kradzież zakończyła się sukcesem. Z kolei 7 proc. ankietowanych deklaruje, że doświadczyło zarówno próby wyłudzenia, jak i kradzieży tożsamości. Oznacza to, że już co trzeci numer PESEL wpadł lub prawie trafił w ręce cyberprzestępców – wynika z badania przeprowadzonego przez ChronPESEL.pl i Krajowy Rejestr Długów.
Jednak skala zagrożenia jest zapewne o wiele większa. Zaledwie 11 proc. Polaków, którzy zetknęli się z wyłudzeniem danych osobowych, zgłosiło ten incydent na policji lub do CERT Polska. W rezultacie jeszcze bardziej rozzuchwala to cyberprzestępców.
Zanim klikniesz, sprawdź czy to nie pułapka
– Aby uniknąć oszustwa, pod żadnym pozorem nie powinniśmy klikać w linki lub otwierać załączników umieszczonych w treści podejrzanych wiadomości informujących o zwrocie podatku. Urzędy skarbowe, Ministerstwo Finansów i Krajowa Administracja Skarbowa nie wysyłają do podatników e-maili z prośbą o weryfikację deklaracji PIT, czy nie zachęcają do potwierdzania rachunku do przelania środków za pomocą bankowości internetowej – mówi Bartłomiej Drozd.
Ponadto należy zwrócić szczególną uwagę czy adres strony internetowej w przeglądarce jest zgodny z oficjalną witryną urzędu skarbowego, Ministerstwa Finansów lub Krajowej Administracji Skarbowej. Jeśli nie, kategorycznie nie powinniśmy podawać żadnych danych osobowych, jak numer PESEL, rachunek bankowy, login do e-Urzędu Skarbowego lub PIN do aplikacji e-Urząd Skarbowy. W razie jakichkolwiek wątpliwości warto samodzielnie skontaktować się z urzędem lub wyjaśnić sytuację na infolinii KAS.
Badanie na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pt. „Cyberbezpieczeństwo i ochrona danych osobowych w Internecie” zostało przeprowadzone w listopadzie 2024 roku metodą CAWI na reprezentatywnej grupie 1500 dorosłych Polaków przez IMAS International.
