Ministerstwo Cyfryzacji ostrzega. Profil Zaufany na celowniku
W czasie rozliczeń podatkowych rośnie fala oszustw. Cyberprzestępcy podszywają się pod Krajową Administrację Skarbową. Celem ataków są dane do Profilu Zaufanego, które mogą otworzyć dostęp do wielu usług publicznych i finansowych.
Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa ostrzegł przed nasileniem ataków socjotechnicznych wymierzonych w obywateli i firmy. Jak wynika z informacji opublikowanych przez Polskie Radio 24, przestępcy wykorzystują okres rozliczeń podatkowych oraz wdrożenie Krajowego Systemu e-Faktur.
Mechanizm jest prosty. Oszuści rozsyłają wiadomości, w których podszywają się pod Ministerstwo Finansów albo Krajową Administrację Skarbową. Informują o rzekomej nowej notyfikacji i dołączają link prowadzący do fałszywego formularza logowania do Profilu Zaufanego.
Phishing na KAS i Profil Zaufany
Resort Cyfryzacji zaleca szczególną ostrożność w internecie, zwłaszcza po otrzymaniu nietypowych e-maili, SMS-ów lub wiadomości w komunikatorach. Jeśli wiadomość dotyczy problemów z KSeF, rozliczenia podatkowego albo innej sprawy związanej z urzędem skarbowym, nie należy działać pod presją.
Dostęp do Profilu Zaufanego może mieć bardzo poważne skutki dla poszkodowanego. W oczach państwa taki profil ma wagę fizycznego podpisu i dowodu osobistego, dlatego przejęcie konta daje oszustom szerokie możliwości działania.
Najważniejsze ryzyka po przejęciu danych do Profilu Zaufanego to: otwarcie firmy w systemie CEIDG i wykorzystanie jej jako tzw. słupa, wyłudzanie dotacji unijnych lub krajowych na cudze nazwisko, udział w karuzelach VAT i wystawianie pustych faktur, dostęp do Internetowego Konta Pacjenta, w tym historii leczenia, e-Recept, diagnoz, pobytów w szpitalach i wyników badań, i zaciąganie zobowiązań finansowych, jeśli firma pożyczkowa weryfikuje tożsamość przez Profil Zaufany.
W praktyce może to oznaczać, że pieniądze trafią do oszusta, a dług zostanie przypisany do numeru PESEL ofiary. To dlatego eksperci podkreślają, by nie podawać żadnych danych po kliknięciu w podejrzany link.
Co zrobić po kliknięciu w fałszywy link
Jeśli ktoś otrzyma taką wiadomość, a zwłaszcza jeśli kliknął w link i wpisał dane, powinien zgłosić incydent do CSIRT NASK. W przypadku osób fizycznych zgłoszenie można wysłać przez formularz na stronie Incydent Cert oraz w usłudze "Bezpiecznie w sieci" w aplikacji mObywatel.
Aleksandra Dąbrowska, dziennikarka Wirtualnej Polski
