Krajowa Administracja Skarbowa (KAS) wydała oficjalne ostrzeżenie przed nową, zmasowaną kampanią phishingową wymierzoną w polskich podatników. Cyberprzestępcy, wykorzystując autorytet państwowej instytucji, rozsyłają fałszywe wiadomości e-mail, które do złudzenia przypominają oficjalne wezwania oraz powiadomienia z urzędów skarbowych. Celem atakujących jest nie tylko wywołanie niepokoju u odbiorcy, ale przede wszystkim wyłudzenie wrażliwych danych osobowych, które mogą posłużyć do kradzieży tożsamości lub przejęcia kontroli nad kontami bankowymi. W dobie cyfryzacji usług publicznych, czujność obywateli staje się kluczowym elementem bezpieczeństwa narodowego w cyberprzestrzeni.
W 2025 roku metody stosowane przez oszustów stają się coraz bardziej wyrafinowane. Wykorzystują oni techniki socjotechniczne, sugerując konieczność pilnego wyjaśnienia spraw podatkowych lub grożąc sankcjami za rzekome niedopełnienie obowiązków. Eksperci z zakresu cyberbezpieczeństwa podkreślają, że Krajowa Administracja Skarbowa nigdy nie prosi o podawanie haseł, kodów autoryzacyjnych ani danych do logowania w bankowości elektronicznej za pośrednictwem poczty e-mail. Każda taka próba kontaktu powinna być traktowana jako potencjalne zagrożenie i poddana natychmiastowej weryfikacji przez obywatela.
Jak działają oszuści? Mechanizm ataku podszywającego się pod KAS
Mechanizm oszustwa opiera się na tzw. phishingu, czyli podszywaniu się pod zaufaną instytucję w celu wyłudzenia informacji. Przestępcy wysyłają wiadomości e-mail, których treść sugeruje, że odbiorca otrzymał ważne powiadomienie z urzędu skarbowego lub wezwanie do zapłaty zaległości. W treści maila często znajduje się link prowadzący do fałszywej strony internetowej, która imituje oficjalny portal e-Urząd Skarbowy lub stronę Ministerstwa Finansów. Użytkownik, nieświadomy zagrożenia, wpisuje tam swoje dane, które natychmiast trafiają w ręce hakerów.
Warto zwrócić uwagę na fakt, że oszuści często stosują presję czasu. Informacje o „ostatnim terminie” czy „konieczności natychmiastowej reakcji” mają na celu wyłączenie logicznego myślenia u ofiary i zmuszenie jej do szybkiego działania bez sprawdzenia wiarygodności źródła. Specjaliści KAS wskazują, że oficjalna korespondencja o charakterze prawnym zazwyczaj odbywa się drogą pocztową (listy polecone) lub poprzez dedykowane, zabezpieczone systemy teleinformatyczne, takie jak e-Urząd Skarbowy, do których logowanie odbywa się przez Profil Zaufany lub mObywatela.
Lista podejrzanych adresów e-mail. Na te domeny musisz uważać
Krajowa Administracja Skarbowa opublikowała listę przykładowych adresów, z których wysyłane są fałszywe wiadomości. Ich analiza pozwala szybko zorientować się, że nie mają one nic wspólnego z oficjalnymi domenami rządowymi (które zazwyczaj kończą się na .gov.pl). Jeśli otrzymasz wiadomość z jednego z poniższych adresów lub podobnie brzmiących domen, pod żadnym pozorem nie otwieraj załączników ani nie klikaj w linki:
- KrajowaAdministracja@abnovo.eu
- KrajowaAdministracja@zato-bungee.de
- KrajowaAdministracja@rurmet.olsztyn.pl
- KrajowaAdministracja@umb.pl
Należy pamiętać, że powyższa lista nie jest zamknięta. Cyberprzestępcy regularnie zmieniają domeny i adresy nadawców, aby ominąć filtry antyspamowe. Kluczową zasadą bezpieczeństwa jest sprawdzenie, co znajduje się po znaku „@”. Oficjalne komunikaty z administracji skarbowej zawsze będą pochodzić z domen powiązanych z adresem mf.gov.pl lub kas.gov.pl. Każda inna końcówka, szczególnie z zagranicznymi rozszerzeniami takimi jak .eu, .de czy nietypowymi nazwami firm, jest jasnym sygnałem ostrzegawczym.
Praktyczne kroki po otrzymaniu podejrzanego maila
Jeśli w Twojej skrzynce odbiorczej pojawiła się wiadomość budząca wątpliwości, zachowaj spokój i postępuj zgodnie z wytycznymi ekspertów. Przede wszystkim nie odpowiadaj na taką wiadomość i nie przesyłaj jej dalej do innych osób, chyba że robisz to w celu zgłoszenia incydentu do odpowiednich służb. Najbezpieczniejszym rozwiązaniem jest bezpośredni kontakt z instytucją, pod którą podszywa się nadawca. Możesz to zrobić na dwa sposoby:
Po pierwsze, skontaktuj się z najbliższym Urzędem Skarbowym. Pracownicy urzędu są w stanie szybko zweryfikować w systemie, czy rzeczywiście zostało do Ciebie wysłane jakiekolwiek wezwanie lub powiadomienie. Po drugie, możesz skorzystać z oficjalnej infolinii Krajowej Administracji Skarbowej. Konsultanci udzielą niezbędnych informacji i potwierdzą, czy dana kampania mailowa jest autentyczna. Pamiętaj, aby numery telefonów znajdować wyłącznie na oficjalnych stronach rządowych (gov.pl), a nie w treści otrzymanego maila.
Dodatkowo, każdy taki przypadek warto zgłosić do CERT Polska (zespołu reagowania na incydenty bezpieczeństwa komputerowego). Można to zrobić, przesyłając podejrzaną wiadomość na numer 8080 (dotyczy SMS-ów) lub korzystając z formularza zgłoszeniowego na stronie incydent.cert.pl. Dzięki takim zgłoszeniom służby mogą szybciej blokować niebezpieczne domeny i chronić innych użytkowników przed stratami finansowymi.
Konsekwencje wyłudzenia danych i jak się przed nimi chronić
Skutki zlekceważenia ostrzeżeń KAS mogą być dotkliwe. Przejęcie danych osobowych, takich jak numer PESEL, imię i nazwisko czy dane dowodu osobistego, pozwala oszustom na zaciąganie pożyczek w instytucjach pozabankowych, otwieranie kont służących do prania brudnych pieniędzy lub dokonywanie zakupów na raty. W skrajnych przypadkach hakerzy mogą uzyskać dostęp do Twojego konta bankowego, co skutkuje natychmiastową utratą wszystkich oszczędności. W 2025 roku walka z cyberprzestępczością wymaga od nas nie tylko lepszych systemów bankowych, ale przede wszystkim edukacji i ograniczonego zaufania do komunikatów cyfrowych.
Aby zminimalizować ryzyko, warto wdrożyć kilka podstawowych zasad higieny cyfrowej. Regularnie sprawdzaj swoje raporty w Biurze Informacji Kredytowej (BIK), aby upewnić się, że nikt nie próbował wziąć kredytu na Twoje dane. Korzystaj z dwuskładnikowego uwierzytelniania (2FA) wszędzie tam, gdzie jest to możliwe – szczególnie w bankowości i na portalach administracji publicznej. Pamiętaj, że Twoje dane są najcenniejszą walutą w internecie, a Krajowa Administracja Skarbowa zawsze dba o to, by komunikacja z podatnikiem była bezpieczna i zgodna z procedurami prawnymi, które wykluczają prośby o dane wrażliwe przez e-mail.
