Podatki. Oszuści podszywają się pod Krajową Administraję Skarbową. „Możesz stracić pieniądze z konta"

Zespół CERT Polska opublikował w mediach społecznościowych wpis, w którym ostrzega przed nowym wariantem kampanii phishingowej z użyciem maila. – Tym razem oszuści informują o automatycznym zwrocie podatku i podszywają się pod KAS. Link w wiadomości może posłużyć do kradzieży pieniędzy z konta! – czytamy we wpisie na Twitterze.

Jednocześnie dodali, żeby podejrzane maile zgłaszać na incydent.cert.pl. Do wpisu dołączono zrzuty ekranu z fałszywej strony, na której wykorzystano logotyp Krajowej Administracji Skarbowej.

Zespół CERT Polska działa w strukturach NASK – Państwowego Instytutu Badawczego, prowadzącego działalność naukową, krajowy rejestr domen .pl i dostarczającego zaawansowane usługi teleinformatyczne. CERT Polska to pierwszy powstały w Polsce zespół reagowania na incydenty.

Z kolei jak informują przedstawiciele ESET firmy zajmującej się bezpieczeństwem cyfrowym, w minionym roku cyberprzestępcy umiejętnie wykorzystywali obawy użytkowników związane z niestabilnością i rosnącymi kosztami na rynku energii, planując zarówno szeroko zakrojone, jak i mniejsze ataki, wpisujące się w tę tematykę.

– Pojawiła się m.in. duża kampania phishingowa, w której bombardowano użytkowników SMS-ami, podszywając się pod popularne spółki energetyczne. Komunikaty dotyczyły rzekomych zaległości w płatnościach, mających skutkować odłączeniem od sieci – ostrzega Beniamin Szczepankiewicz, starszy specjalista ds. cyberbezpieczeństwa ESET.

Jak wyjaśnia, linki w nich zawarte kierowały na fałszywe strony z płatnościami, wyłudzające dane logowania do bankowości elektronicznej. – Kolejnym, popularnym w 2022 roku oszustwem, związanym tematycznie z kosztami energii elektrycznej, były także telefoniczne próby kontaktu w imieniu rzekomych nowych dostawców energii. Cyberprzestępcy przedstawiali odbiorcom fałszywe, wyglądające na niezwykle korzystne oferty nowych taryf – dodaje.

W praktyce tego typu działania to najczęściej próby wyłudzenia danych osobowych, często także haseł do kont bankowych. Specjaliści cyberbezpieczeństwa zwracają także uwagę na relatywnie nową kategorię zagrożeń, w ramach której cyberprzestępcy próbują „zaoszczędzić” energię elektryczną kosztem użytkowników. To cryptojacking, z którym mamy do czynienia, gdy hakerzy wykorzystują, bez wiedzy użytkowników ich sprzęt, a także energię elektryczną do kopania kryptowalut.

Osoby poszukujące nowej pracy powinny zachować szczególną czujność i uważnie selekcjonować oferty zatrudnienia m.in. na grupach w mediach społecznościowych czy w serwisie LinkedIn, aby nie stać się celem cyberprzestępców.

– Grupy i komunikatory to dla cyberprzestępców furtka do przeprowadzania akcji niewymagających z ich perspektywy zbyt wiele zachodu. Nie muszą nawet fabrykować adresów mailowych w fałszywych domenach, przypominających firmowe. Mechanizm takiego ataku opiera się na umiejętności poprowadzenia rozmowy tak, by szybko wzbudzić zaufanie i uśpić czujność użytkowników – ostrzega Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET.

Jak wynika z raportu o dokumentach infoDOK, w IV kwartale ubiegłego roku, przestępcy wykorzystujący cudzą tożsamość, próbowali wyłudzić w bankach i firmach pożyczkowych ponad 40 mln zł. Stwierdzono 2,3 tys. takich prób. Jednocześnie rośnie liczba utraconych dokumentów, jakie zastrzegają w bankach ci, którzy je zgubili lub którym je ukradziono.

– Bardzo się cieszymy z takich dobrych wyników nie tylko w IV kwartale, ale i w całym 2022 r. Odnotowaliśmy najniższą w historii całoroczną kwotę prób wyłudzeń – 194,1 mln zł (to niemal 25 proc. mniej niż poprzednie minimum z 2020 r.). Jednocześnie – po okresie pandemii – rośnie liczba zastrzeżeń w Systemie DOKUMENTY ZASTRZEŻONE. Nie może to jednak uśpić naszej czujności, gdyż nadal liczba prób wyłudzeń utrzymuje się na stosunkowo wysokim poziomie – komentuje cytowany w komunikacie Krzysztof Pietraszkiewicz, prezes Związku Banków Polskich.