Komunikat PKO BP. Dotyczy wszystkich przed rozliczeniem PIT

W praktyce oszustwa związane z rozliczeniem PIT nie różnią się wiele od innych kampanii phishingowych - zwraca uwagę PKO BP. Atak najczęściej zaczyna się od zmasowanej wysyłki fałszywych SMS-ów lub e-maili i zachęt do odwiedzenia wskazanej strony w krótkim czasie, by "odebrać zwrot podatku" lub "zaktualizować dane". Wątków może być oczywiście więcej - kluczem jest skuszenie odbiorcy do szybkiego działania pod pretekstem ewentualnego wstrzymania zwrotu, gdy tego nie zrobi.

Jeśli ofiara kliknie link, trafi na fałszywą stronę internetową. Dlatego też istotne jest dokładne sprawdzanie adresów URL odwiedzanych witryn - oszuści rzadko poświęcają czas na rejestrację domeny, która na pierwszy rzut oka wygląda na autentyczną. Dzięki tej niedbałości, fałszywą stronę w większości wypadków można poznać już po adresie, który nie ma najmniejszego związku z autentycznym. Na fałszywej stronie trafimy na spreparowany formularz do wyłudzenia danych karty lub logowania do banku.

PKO BP przypomina, że oszustwa związane z podatkami mogą także przyjmować nieco inne formy. W wiadomościach e-mail można też bowiem trafić na spreparowane załączniki w nieznanych formatach. Ich pobranie i próba otwarcia prowadzi najczęściej do zainfekowania komputera złośliwym oprogramowaniem. Wówczas atakujący mogą poznać nasze loginy i hasła choćby na podstawie logowania przycisków z klawiatury czy "podglądania" ekranu komputera w czasie rzeczywistym.

Dalsza część artykułu pod materiałem wideo

Trzeba pamiętać, by weryfikować nadawców wiadomości e-mail, a wszystkie SMS-y, które budzą podejrzenia, przesyłać do analizy bezpieczeństwa zespołowi CERT Polska pod numerem 8080. Co do zasady - niezależnie od wątku wiadomości - nie należy machinalnie wypełniać wszystkich prezentowanych formularzy, podawać loginów, haseł, numerów kart płatniczych czy kodów Blik tylko dlatego, że ktoś o to prosi. Warto przeanalizować, czy dana strona jest autentyczna, choćby sprawdzając jej adres.