To nie jest pierwszy raz, kiedy cyberprzestępcy udają urzędników, przypomina CyberRescue. Podszywanie się pod Urząd Skarbowy czy Krajową Administrację Skarbową działa, bo mało kto ma ochotę ignorować wiadomość od fiskusa. Psychologia jest tu prosta – urząd państwowy kojarzy się z obowiązkiem, konsekwencjami i formalnym językiem. A to wystarczy, by ofiara odruchowo potraktowała mail jako coś, czym trzeba zająć się natychmiast.
Jak wygląda atak?
Schemat jest wyrafinowany tylko z pozoru. Wiadomość zatytułowana „Powiadomienie z e-Urzędu” wygląda profesjonalnie – odpowiedni język, urzędowa grafika, numer referencyjny. Nadawca jednak już na pierwszy rzut oka powinien wzbudzić podejrzenia – adres e-mail pochodzi z przypadkowej domeny, nie ma nic wspólnego z .gov.pl. Dodatkowo, choć w treści mowa jest o e-Urzędzie Skarbowym, to podpis sugeruje, że autorem jest Krajowa Administracja Skarbowa. W prawdziwej korespondencji urzędy nie mieszają nazw w taki sposób.
Do wiadomości dołączony jest plik – nie z wirusem w klasycznym znaczeniu, lecz z fałszywą stroną logowania. Po jego otwarciu widzimy formularz, który ma przypominać panel logowania do poczty elektronicznej. Wystarczy, że wpiszemy login i hasło, a przestępcy przejmą dostęp do skrzynki.
Sprawdź polecane oferty
RRSO 21,36%
Dlaczego to tak groźne?
Ktoś może pomyśleć – „No dobrze, stracę maila, założę nowego”. Tyle że skrzynka pocztowa to klucz do całego ekosystemu naszych kont. Media społecznościowe, bankowość internetowa, sklepy online, fora, usługi chmurowe – w większości z nich reset hasła odbywa się właśnie przez e-mail. A przestępcy, którzy przejęli pocztę, mogą w ciągu kilku minut uzyskać dostęp do reszty naszych usług.
Co więcej, w korespondencji często znajdują się wrażliwe dane – numery PESEL, skany dowodów, prywatne rozmowy czy faktury. To informacje, które można wykorzystać do kolejnych oszustw – od kradzieży tożsamości, po zaciąganie pożyczek na nasze dane.
Jak się bronić?
Podstawowa zasada – nie klikać w załączniki i linki z niesprawdzonych źródeł. Jeśli masz wątpliwości, wejdź na stronę e-Urzędu Skarbowego samodzielnie, wpisując adres w przeglądarce, zamiast klikać w link z wiadomości.
Zwracaj uwagę na adres nadawcy – urzędy korzystają z domen .gov.pl. Brak takiego adresu to sygnał alarmowy. Pamiętaj też, że żadna instytucja państwowa nie będzie prosiła Cię o dane karty, kod BLIK czy hasło do banku przez e-mail.
Jeśli już kliknąłeś i podałeś dane – działaj natychmiast. Zmień hasło do poczty, włącz weryfikację dwuetapową i przejrzyj inne konta powiązane z tym adresem. W razie ujawnienia dokumentów tożsamości – zastrzeż je w rejestrze dokumentów zastrzeżonych.
Dlaczego to działa?
Tego typu kampanie phishingowe bazują na strachu i pośpiechu. Urząd Skarbowy to idealny wabik – większość ludzi woli „załatwić sprawę od razu”, niż ryzykować konsekwencje. Gdy dodamy do tego profesjonalnie wyglądającą wiadomość, spora część odbiorców nawet nie zastanawia się, czy jest prawdziwa.
Podobne schematy widzieliśmy wcześniej w podszywaniu się pod banki, firmy kurierskie czy platformy streamingowe. Ale wiadomość „od urzędu” ma szczególny ciężar – stąd jej skuteczność.
Coraz sprytniejsi oszuści
Cyberprzestępcy stale udoskonalają swoje metody. Dziś nie wysyłają już niechlujnych wiadomości pełnych literówek. Zatrudniają ludzi, którzy potrafią stworzyć realistyczne szablony e-maili, a nawet generować treści w różnych językach. Dlatego nie wystarczy już proste „uważaj na błędy ortograficzne”. Trzeba być czujnym i krytycznie podchodzić do każdej niespodziewanej wiadomości.
Na koniec warto zapamiętać jedno – urzędowy e-mail z groźnie brzmiącym tytułem nie zawsze znaczy, że państwo się do nas dobija. Częściej to przestępcy, którzy liczą, że sami otworzymy im drzwi.
