W 2024 roku Polacy złożyli 23 miliony elektronicznych deklaracji PIT. Tylko do 18 lutego tego roku przez usługę Twój e-PIT do fiskusa wpłynął już ponad milion zeznań podatkowych. Trwający okres rozliczeń to zarazem czas wzmożonej aktywności cyberprzestępców. Podszywając się np. pod urzędy skarbowe wykorzystują oni pośpiech i nieuwagę użytkowników w celu pozyskania ich poufnych danych osobowych. Jak wskazuje badanie firmy Sophos, aż 76% polskich internautów otwiera linki lub załączniki do wiadomości, gdy są przekonani, że pochodzą one od zaufanego nadawcy. Co trzeci klika w nie, gdy wiadomość dotyczy ważnych spraw, takich jak rachunki.
Oszuści stosują liczne metody socjotechniczne, w tym phishing. Między innymi rozsyłają fałszywe e-maile czy SMS-y, w których podszywają się pod instytucje (np. urzędy skarbowe, platformy e-usług czy banki), informując o zwrocie podatku czy konieczności pilnego poprawienia deklaracji PIT. Do wiadomości tych dołączone są pliki ze złośliwym kodem, alternatywnie zawierają one kody QR lub linki do fałszywych stron, łudząco podobnych do oficjalnych rządowych serwisów. Celem przestępców jest wyłudzenie danych osobowych.
– Techniki działań cyberprzestępców są zawsze podobne: podszycie się pod znaną instytucję, wywarcie presji czasowej, straszenie negatywnymi konsekwencjami. Świadomość internautów stale rośnie, jednak w natłoku codziennych spraw zdarza się, że odbiorcy takich złośliwych wiadomości tracą czujność. Gdy chodzi o sprawy rozliczeń z urzędami, obawy mogą dodatkowo zwiększać presję – ostrzega Chester Wisniewski, dyrektor ds. technologii w Sophos.
Czy Polacy potrafią rozpoznać phishing?
Według ostatniego badania Sophos, 65% polskich internautów uważa, że byłoby w stanie rozpoznać phishing. Ale stosunkowo wysoki jest odsetek osób, które nie są tego pewne (28%). Jednocześnie ankietowani w dużej mierze zdają sobie sprawę z typowych sygnałów ostrzegawczych świadczących o tym, że mogą mieć do czynienia z próbą oszustwa. Zapytani o to, co w otrzymanej wiadomości wzbudziłoby podejrzenia, 71% respondentów wskazało na nieznany adres e-mail nadawcy, 64% na presję czasu i ponaglanie do natychmiastowego działania poprzez kliknięcie w link/załącznik, a 53% – straszenie negatywnymi konsekwencjami. Niestety, w praktyce internauci czasem lekceważą te znaki ostrzegawcze. Raport Sophos wskazuje, że aż 76% Polaków otwiera linki lub załączniki wiadomości, gdy są przekonani o wiarygodności ich nadawcy. Co trzeci klika w nie, gdy wiadomość dotyczy ważnych spraw, np. rachunków.
Zagrożenie dotyczy wszystkich grup wiekowych, ze szczególnym uwzględnieniem seniorów. W 2024 roku najstarszy podatnik, który złożył deklarację w usłudze Twój e-PIT, miał 107 lat. Jak wynika z badania Sophos, osoby powyżej 55. roku życia są znacznie mniej pewne swoich umiejętności rozpoznania fałszywych wiadomości niż młodsi internauci. W grupach wiekowych 25-44 nawet 79% badanych wskazywało, że potrafi zidentyfikować sygnały ostrzegawcze. W grupach powyżej 55. r.ż. była to połowa ankietowanych.
Jak rozpoznać próby wyłudzeń?
Jak wskazują eksperci Sophos, aby minimalizować ryzyko oszustwa, należy przede wszystkim dokładnie sprawdzać adres nadawcy wiadomości, zwracać uwagę na błędy w jej treści, a także unikać klikania w linki, otwierania załączników czy skanowania kodów QR, jeśli tylko coś wzbudza wątpliwości.
– Jeśli nadawca wiadomości próbuje wymusić natychmiastowe działanie lub straszy konsekwencjami, to prawdopodobnie jest to próba oszustwa i należy zachować szczególną ostrożność. W razie wątpliwości warto zawsze skontaktować się bezpośrednio z urzędem czy infolinią, żeby zweryfikować, czy informacje podane w wiadomości są prawdziwe. Ważne jest też korzystanie z oficjalnych platform rządowych i portali, jednak nie należy wchodzić na nie poprzez linki podane w e-mailach. Najlepiej ręcznie wpisać ich nazwę w wyszukiwarkę czy zapisać sobie zaufany adres w ulubionych zakładkach. Regularne aktualizowanie systemu operacyjnego i oprogramowania ochronnego oraz korzystanie z silnych haseł, najlepiej w połączeniu z weryfikacją wieloskładnikową, to dodatkowe środki, które mogą pomóc w ochronie przed cyberprzestępcami – radzi Chester Wisniewski.
Kluczem do bezpieczeństwa jest zachowanie zdrowego rozsądku, dokładne sprawdzanie nadawców i unikanie działania pod presją czasu. Lepiej poświęcić chwilę na dodatkową weryfikację otrzymanej wiadomości niż później mierzyć się z konsekwencjami wycieku danych osobowych czy utraty pieniędzy.