Infolinia: 800 302 302, 801 363 636
Kod BIC (Swift): BPKOPLPW

© 2025 PKO Bank Polski

Bezpieczeństwo

Czas rozliczeń podatkowych. Sprawdź jak uniknąć oszustwa

Rozliczenia podatkowe są dziś znacznie wygodniejsze, ponieważ możemy ich dokonać online. Ostateczny termin rozliczenia podatku dochodowego PIT jeszcze przed nami. Niestety musimy pamiętać nie tylko by rozliczyć się w terminie, ale też aby zachować ostrożność i upewnić się czy rozliczamy się z urzędem, a nie z oszustem. 2025-03-27
około min czytania

Trwający okres rozliczeń to także czas wzmożonej aktywności cyberprzestępców i można wskazać, że oszustwa bazujące na podszyciu się pod strony rządowe, strony służące do rozliczeń podatków na stałe wpisały się w naszą rzeczywistość. Techniki działań cyberprzestępców co roku są podobne: podszycie się pod instytucję, stosowanie presji czasowej, straszenie negatywnymi konsekwencjami lub kuszenie korzyścią np. oczekującym zwrotem podatku.

Jak zaczyna się oszustwo?

Mechanizm działania cyberprzestępców ma wiele podobieństw do innych tego typu kampanii. Masowo wysyłają e-maile i SMS-y, których treść często ma na celu wywołać presję czasu. W tym przypadku wiadomości mogą sugerują konieczność natychmiastowego rozliczenia się z fiskusem albo informują o kończącym się czasie wnioskowania o zwrot podatku. W treści wiadomości zazwyczaj znajduje się link, który prowadzi do strony podszywającej się pod stronę www e-PITu, pod stronę organów podatkowych lub pod stronę płatności. Celem oszustów jest przechwycenie danych do logowania do bankowości elektronicznej.

Na poniższym wideo zobrazowano jak może wyglądać atak zaczynający się od wiadomości e-mail z linkiem:

WIDEO - Jak rozpoznać fałszywe maile i strony logowania

Oszuści wykorzystujący kontekst rozliczeń podatkowych  próbują nas skłonić do wpisania danych logowania na fałszywej stronie www, która może udawać nasz bank. Dlatego tak ważne jest weryfikowanie adresu www znajdującego się w pasku przeglądarki. PKO Bank Polski stosuje też obrazek bezpieczeństwa, czyli grafikę, którą klient wybiera podczas pierwszego logowania do serwisu iPKO. Obrazek jest dodatkowym zabezpieczeniem logowania - powinien pojawiać się za każdym razem, gdy klient podczas logowania poda swój numer klienta lub przyjazny login. Jeśli obrazek nie zostanie wyświetlony najprawdopodobniej klient jest na fałszywej stronie imitującej stronę logowania do iPKO.

W przypadku wiadomości e-mail oszuści mogą też wysyłać niebezpieczne załączniki. Jednym ze skutków kliknięcia w niebezpieczny element wiadomości może być instalacja złośliwego oprogramowania, dlatego zawsze należy sprawdzać kto jest rzeczywistym nadawcą wiadomości, czy taka wiadomość powinna trafić na naszą skrzynkę. Może być jednak też tak, że sam charakter załącznika pozwoli nam ocenić, czy może być to element podejrzany. Zweryfikujemy to sprawdzając rozszerzenie pliku, czyli nic innego jak oznaczenie typu pliku, które jest oddzielone od reszty nazwy za pomocą kropki. Wiążące dla typu pliku jest to, co znajduje się po ostatniej kropce. Warto o tym pamiętać, bo nadal częstym sposobem działania oszustów jest rozsyłanie plików o rozszerzeniach mogących spowodować niechciane konsekwencje. Szczególnie niebezpieczne są wszelkie pliki wykonywalne lub uruchamiane kliknięciem np. takie jak: .exe, js., iso, .scr, .htm, .html, .lnk. Jeżeli nie znasz danego rozszerzenia, bądź cokolwiek wzbudza Twoje podejrzenia, nie decyduj się na otwarcie pliku. Pamiętaj też o prostej zasadzie, aby zastanowić się, czy wiadomość powinna trafić na Twoją skrzynkę. Weryfikując kontekst zastanów się, jakiego rodzaju wiadomości wysyłają Ci Twoi usługodawcy czy kontrahenci i czy mają w zwyczaju zawierać w nich linki i załączniki.  

Pamiętaj o tych zasadach bezpieczeństwa:

  • Nie klikaj w załączniki i linki o niepewnym pochodzeniu – najpierw upewnij się czy wiadomość powinna do Ciebie trafić
  • W przypadku e-maili sprawdź kto jest jej rzeczywistym nadawcą weryfikując dokładnie adres e-mail, także pod kątem próby podszycia się. W przypadku wątpliwości skontaktuj się bezpośrednio z firmą czy urzędem
  • Pamiętaj, że bank nigdy nie wysyła wiadomości (mail, sms) z linkami i z prośbą o zalogowanie się lub podanie numeru karty płatniczej, kodu BLIK w związku z podejrzaną transakcją, blokadą rachunku, karty, czy potwierdzeniem jakichkolwiek innych danych
  • W przypadku podejrzanych SMS-ów możesz skorzystać z bezpłatnej opcji zgłoszenia takiej wiadomości przez opcję przekaż dalej na numer 8080, gdzie specjaliści z CERT Polska sprawdzą, czy jest to próba wyłudzenia
  • Jeśli już kliknąłeś w link pamiętaj, że to adres strony www jest wyznacznikiem jej autentyczności, a nie ładna szata graficzna. Zawsze przed wpisaniem poufnych danych na stronie sprawdzaj jej adres www. Możesz też sprawdzić do kogo strona należy, sprawdzając na kogo został wystawiony certyfikat SSL

 

Paulina Krakowska
ekspert w PKO Banku Polskim

 

Sprawdź również

Dzieci zapłacą teraz telefonem za pomocą BLIKA i aplikacji PKO Junior
Finanse

Dzieci zapłacą teraz telefonem za pomocą BLIKA i aplikacji PKO Junior

Najnowsza wersja aplikacji PKO Junior daje młodym klientom PKO Banku Polskiego możliwość płacenia telefonem za pomocą BLIKA zbliżeniowego. Kto skorzysta z rozwiązania? Dzieci, które skończyły 6 lat i mają telefon z systemem Android oraz włączoną funkcję NFC. Rodzic ustala limity i kontroluje wydatki dziecka w swoim serwisie internetowym iPKO.

2025-01-20
Coś więcej niż operacyjna obsługa klientów
Finanse

Coś więcej niż operacyjna obsługa klientów

Nie każdy bohater nosi pelerynę – czasem wystarczy czujność, wiedza i profesjonalizm. Tymi cechami wykazała się Ewa Kurek z agencji PKO Banku Polskiego na warszawskim Wilanowie, której działania pozwoliły skutecznie powstrzymać próbę wyłudzenia pieniędzy od jednego z naszych klientów.

2025-03-20