Rozliczasz PIT przez internet? Uważaj na ataki – możesz stracić całe oszczędności

Rozliczasz PIT przez internet? Uważaj na ataki – możesz stracić całe oszczędności30.01.2020 10:55
Rozliczając PIT przez internet warto uważać na fałszywe wiadomości, fot. Pixabay

Cyberprzestępcy czekają na rozpoczęcie okresu rozliczeń. PIT przez internet złoży w tym roku z pewnością jeszcze więcej Polaków niż wcześniej. Dla oszustów oznacza to coraz większą grupę osób, spośród których ktoś może dać się nabrać na fałszywy e-mail. Warto uważnie przyglądać się wiadomościom, szczególnie że wiele z nich da się dość łatwo rozpoznać – schematy ataków są bowiem powtarzalne.

Na nadchodzący okres wzmożonych ataków wycelowanych w rozliczających się Polaków zwracają uwagę badacze z CyberRescue. Główne zagrożenie to phishing, czyli namawianie do klikania w podejrzane linki lub do pobierania zainfekowanych załączników za pośrednictwem poczty e-mail.

Twój e-PIT na stronie podatki.gov.pl.
Twój e-PIT na stronie podatki.gov.pl.

Już samo kliknięcie w podejrzany link i pobranie szkodliwego załącznika może być katastrofalne w skutkach. Częściej problemem jest jednak dopiero dalsze działanie nieświadomej ofiary, czyli na przykład podanie w formularzu na stronie swoich danych lub uruchomienie makr w pobranym pliku XLSX z Excela.

Sprawdzone schematy

Jak się okazuje, atakujący wybierają najczęściej jedną z trzech sprawdzonych metod. W swoich e-mailach podszywają się pod Ministerstwo Finansów, informując o rzekomych nieprawidłowościach w rozliczeniu. Czasem sugerują konieczność uregulowania zmyślonej niedopłaty podatku (rzędu kilku złotych) lub zachęcają do złożenia rozliczenia po kliknięciu w załączony link.

Jeśli odbiorca zaufa tego typu wiadomościom, jest już tylko o krok od stracenia wszystkich oszczędności (wyniku późniejszej kradzieży z konta bankowego), a w najlepszym przypadku podzielenia się z oszustami szeregiem swoich danych osobowych.

Innym zagrożeniem są fałszywe aplikacje mobilne, które do złudzenia przypominają oficjalne programy do obsługi internetowej bankowości. Przez nieuwagę można w ten sposób podać swoje dane logowania oszustom, a o kradzieży pieniędzy przekonać się dopiero po kilku minutach.

Fałszywa aplikacja, o której mBank ostrzegał w wakacje 2018 roku, źródło: mBank.
Fałszywa aplikacja, o której mBank ostrzegał w wakacje 2018 roku, źródło: mBank.

"Nie powinniśmy ufać mailom, które zachęcają nas do pobrania programu mającego „obliczyć za nas PIT”. Szczególnie, jeżeli pochodzi on spoza zaufanych źródeł, takich jak Google Play czy Apple App Store" – tłumaczy Weronika Bartczak, specjalistka ds. bezpieczeństwa w CyberRescue. "Takie aplikacje nie tylko mogą przekazywać nasze dane przestępcom, ale też najprawdopodobniej zawierają złośliwe oprogramowanie, które może wyrządzić naszemu urządzeniu duże szkody" – dodaje.

Opisywane zagrożenia nie są tylko teoretyczne. W ubiegłym roku opisywaliśmy historię naszych czytelników, którzy w podobny sposób stracili prawie 70 tys. złotych.

Fałszywe formularze

Istotą większości opisywanych ataków jest skłonienie odbiorcy do kliknięcia w link zawarty w e-mailu czy wiadomości SMS. W efekcie ofiara jest przekierowywana do spreparowanego systemu szybkich płatności, w którym rzekomo bez problemu będzie mogła uregulować zmyśloną niedopłatę. W praktyce formularz służy jedynie do przekazywania danych atakującym.

Jeśli do tego momentu ofiara nie zorientowała się, że nie porusza się po oficjalnym systemie bankowości lub szybkich płatności, później może być już tylko trudniej. Przestępcy zwykle zachęcają do wypełnienia formularza, w którym należy podać między innymi login i hasło do bankowości. Co istotne, strona żąda podania pełnego hasła, a nie tylko kilku jego znaków, jak ma to miejsce w autentycznych systemach banków. To kolejny moment, w którym użytkownikowi powinna się "zapalić czerwona lampka".

Spreparowany serwis Dotpay, źródło: PREBYTES Security Incident Response Team.
Spreparowany serwis Dotpay, źródło: PREBYTES Security Incident Response Team.

Ponieważ na tym etapie przestępcy dysponują już danymi logowania do prawdziwego systemu bankowości ofiary, ostatni moment by temu zapobiec to potwierdzenie rzekomego przelewu kodem z SMS-a. Tu warto zwracać uwagę na treść wiadomości i nazwę wykonywanej operacji, która musi się pokrywać z tym, co wykonywane jest na komputerze.

Przestępcy na różne sposoby próbują na tym etapie uzyskać kod uwierzytelniający podczas logowania, dodać własny numer konta do zaufanych odbiorców lub zlecić przelew na konkretną kwotę. Machinalne przepisanie kodu z SMS-a do formularza przygotowanego przez atakujących przypieczętuje ich sukces.

Ostrożność przede wszystkim

Co najważniejsze, aby nie paść ofiarą opisywanych ataków, nie jest potrzebna nadzwyczajna wiedza z zakresu internetowego bezpieczeństwa. Wystarczy odrobina zdrowego rozsądku i czytanie każdej wiadomości z podejrzeniem, że nadawca niekoniecznie musi być wiarygodny.

Ostrzeżenia przed podejrzanymi witrynami wyświetla często sama przeglądarka.
Ostrzeżenia przed podejrzanymi witrynami wyświetla często sama przeglądarka.

Jeśli zobaczysz e-mail, który wzywa cię do uregulowania rzekomego długu lub wyjaśnienia jakiejś kwestii podatkowej, najlepiej na niego nie reaguj. Aby rozwiać wątpliwości i wyjaśnić ewentualne nieprawidłowości, dużo lepiej będzie samemu skontaktować się z właściwym urzędem, niż ślepo wierzyć wiadomości, którą mógł napisać sprytny cyberprzestępca.

Warto pamiętać, że oszuści robią wszystko, by upodobnić przygotowywane przez siebie strony do oficjalnych systemów płatności i bankowości. Płacąc w sieci należy więc unikać klikania w linki przenoszące do rzekomych serwisów szybkich płatności i wielokrotnie upewniać się, że odwiedzana strona jest autentyczna. Podstawą jest sprawdzenie zabezpieczeń (symbol kłódki i litera S w skrócie HTTPS) oraz poprawności adresu witryny pod kątem ewentualnych literówek.

Jeśli chcesz rozliczyć PIT przez internet, szereg przydatnych aplikacji z tym związanych znajdziesz w naszym katalogu programów.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na