Fałszywa weryfikacja FinanzOnline. Austriacki phishing urzędowy, który może zadziałać także w Polsce

2026-05-10

TL;DR

Austriacki przypadek phishingu podszywającego się pod BMF i FinanzOnline dobrze pokazuje, jak działa oszustwo związane z komunikacją urzędową. Wiadomość nie musi straszyć od pierwszego zdania. Wystarczy, że wygląda jak formalna weryfikacja danych, odwołuje się do administracji podatkowej i sugeruje, że odbiorca powinien szybko wejść w proces aktualizacji.

Dla polskich firm i użytkowników to nie jest egzotyczny przykład z Austrii. Ten sam schemat może zostać przeniesiony na e-Urząd Skarbowy, ZUS, mObywatel, systemy bankowe, podatki, dopłaty, świadczenia albo rozliczenia firmowe. Zmienia się nazwa instytucji. Mechanizm zostaje ten sam: urząd, obowiązek, link i presja, żeby działać bez niezależnej weryfikacji.

Fałszywy FinanzOnline jako phishing urzędowy

Watchlist Internet opisał przypadek wiadomości podszywającej się pod BMF i FinanzOnline. BMF to Bundesministerium für Finanzen, czyli austriackie Federalne Ministerstwo Finansów. FinanzOnline to austriacki system usług podatkowych online. Dla odbiorcy w Austrii taki zestaw nazw brzmi poważnie i formalnie, bo dotyczy spraw podatkowych oraz komunikacji z administracją.

Właśnie dlatego ten scenariusz jest skuteczny. Oszust nie musi wymyślać nietypowej historii. Wystarczy, że użyje znanej instytucji i tematu, który większość osób traktuje poważnie: dane podatkowe, weryfikacja konta, aktualizacja informacji albo utrzymanie dostępu do usługi publicznej.

To nie jest atak na ciekawość. To atak na poczucie obowiązku. Odbiorca ma pomyśleć: skoro chodzi o urząd i dane, lepiej zrobić to od razu.

Dlaczego urząd wzmacnia zaufanie

Phishing bankowy wykorzystuje lęk o pieniądze. Phishing urzędowy wykorzystuje lęk przed konsekwencjami formalnymi. To subtelna, ale ważna różnica. Gdy wiadomość wygląda jak komunikat z administracji podatkowej, wiele osób nie ocenia jej tak jak zwykłego maila marketingowego. Odbiorca zakłada, że może istnieć termin, obowiązek albo procedura, której nie powinien ignorować.

Przestępcy korzystają z tej niepewności. Większość użytkowników nie zna dokładnie wszystkich reguł komunikacji urzędowej. Nie wie, kiedy instytucja wysyła e-mail, kiedy wiadomość w systemie, kiedy pismo tradycyjne, a kiedy powiadomienie przez aplikację. Jeśli komunikat brzmi formalnie, zawiera nazwę znanego systemu i kieruje do formularza, część osób przechodzi dalej bez spokojnej analizy.

W Polsce ten sam mechanizm można łatwo wyobrazić sobie pod szyldem e-Urzędu Skarbowego, ZUS, mObywatela, systemu podatkowego, portalu do świadczeń albo lokalnego urzędu. Nie chodzi o kopiowanie austriackiej instytucji. Chodzi o wykorzystanie tego samego odruchu: skoro pisze urząd, lepiej nie ryzykować.

Aktualizacja danych wygląda jak normalna procedura

Najbardziej niebezpieczne w takim phishingu jest to, że prośba o aktualizację danych nie brzmi podejrzanie sama w sobie. Banki, urzędy i platformy publiczne rzeczywiście czasem proszą o uzupełnienie informacji. Użytkownik zna takie procesy z życia codziennego. Właśnie dlatego oszuści tak często używają tej przynęty.

Aktualizacja danych daje atakującemu kilka możliwości. Może prowadzić do fałszywego logowania. Może wyłudzać dane osobowe. Może prosić o numer telefonu, dane karty, potwierdzenie tożsamości albo kod autoryzacyjny. Może też być pierwszym krokiem do rozmowy telefonicznej, w której oszust będzie kontynuował scenariusz.

To samo widać w phishingu bankowym. Watchlist Internet pokazuje podobne motywy przy kampaniach podszywających się pod banki: aktualizacja danych klienta, potwierdzenie numeru telefonu, odnowienie dostępu, aplikacja bezpieczeństwa, TAN-y i dane kart. TAN, czyli transaction authentication number, to kod autoryzacyjny używany w bankowości. Nie powinien być podawany na stronie otwartej z linku ani osobie, która dzwoni po wcześniejszej wiadomości.

W praktyce użytkownik nie powinien pytać tylko, czy logo wygląda prawdziwie. Powinien zapytać: dlaczego mam zaczynać urzędowy albo bankowy proces z linku w wiadomości.

Gdy fałszywy proces przechodzi z maila do telefonu

W wielu kampaniach kliknięcie nie jest końcem ataku. To dopiero początek. Po wejściu na fałszywą stronę użytkownik może zostać poproszony o login, dane osobowe, numer telefonu albo inne informacje. Później może pojawić się kontakt telefoniczny od osoby podającej się za pracownika banku, urzędu albo wsparcia technicznego.

To bardzo ważny element. Użytkownik często traktuje telefon jako potwierdzenie, że sprawa jest prawdziwa. Skoro ktoś dzwoni i zna kontekst, to znaczy, że komunikat był prawdziwy. W rzeczywistości może być odwrotnie: telefon jest kolejnym etapem oszustwa.

W polskich warunkach podobny scenariusz może dotyczyć banku, ZUS, podatku, dopłaty, zwrotu, mandatu albo sprawy administracyjnej. Najpierw przychodzi wiadomość. Potem formularz. Potem telefon. Następnie prośba o kod, potwierdzenie w aplikacji, dane karty albo wykonanie przelewu.

Dlatego w szkoleniach nie wystarczy mówić: nie klikaj. Trzeba uczyć całego procesu: nie zaczynaj z linku, nie oddzwaniaj na numer z wiadomości, nie podawaj kodów, nie potwierdzaj operacji i przerwij kontakt, jeśli ktoś prowadzi cię krok po kroku przez działanie finansowe lub urzędowe.

Ficbank i fałszywe zaufanie do instytucji finansowej

Ostrzeżenie FMA przed Ficbank. FMA, czyli Finanzmarktaufsicht, to austriacki organ nadzoru rynku finansowego. Ten przypadek nie jest klasycznym phishingiem z linkiem do fałszywego logowania. To ostrzeżenie przed podmiotem, który według FMA nie ma uprawnienia do prowadzenia w Austrii działalności bankowej wymagającej licencji.

Warto jednak wspomnieć o nim obok phishingu, bo pokazuje drugi wariant tego samego problemu: zaufanie do czegoś, co wygląda jak instytucja finansowa. Użytkownik widzi nazwę brzmiącą jak bank, stronę internetową, adres, kontakt i pozór profesjonalnej obsługi. To może wystarczyć, żeby obniżyć czujność.

Phishing, fałszywe inwestycje i nieuprawnione podmioty finansowe często spotykają się w jednym miejscu: w decyzji użytkownika, który wierzy, że ma do czynienia z legalną instytucją. Dla firm to ważna lekcja, bo podobny mechanizm działa przy fałszywych dostawcach, platformach inwestycyjnych, pośrednikach płatności, brokerach i usługach finansowych.

Jak ten scenariusz może wyglądać w Polsce

Wystarczyłby komunikat o aktualizacji danych w e-Urzędzie Skarbowym, weryfikacji konta ZUS, potwierdzeniu profilu w mObywatelu, korekcie podatku, zwrocie nadpłaty, świadczeniu albo zaległej opłacie. Dla przedsiębiorcy podobna wiadomość mogłaby dotyczyć podatku VAT, składek, konta firmowego, mikrorachunku, dotacji albo obowiązkowego formularza.

Schemat pozostaje ten sam. Najpierw znana instytucja. Potem formalny język. Następnie link do działania. Na końcu prośba o dane, logowanie, telefon, kod albo płatność.

Właśnie dlatego taki przypadek z Austrii ma sens dla polskiego programu awareness. Nie uczymy pracownika nazw austriackich instytucji. Uczymy go rozpoznawać moment, w którym urząd albo bank zostaje użyty jako narzędzie presji.

Co powinien zrobić użytkownik

Jeżeli wiadomość dotyczy urzędu, podatków, banku, numeru telefonu, aktualizacji danych albo dostępu do usługi publicznej, nie należy zaczynać od linku. Najbezpieczniej wyjść z wiadomości i wejść do usługi samodzielnie: przez znany adres, aplikację albo oficjalny kanał kontaktu.

Nie należy podawać danych karty, TAN-ów, kodów SMS, haseł ani danych logowania na stronie otwartej z wiadomości. Nie należy też traktować telefonu po kliknięciu jako potwierdzenia autentyczności. Jeśli ktoś dzwoni i prosi o kody albo potwierdzenia w aplikacji, to jest sygnał alarmowy.

W firmie podejrzaną wiadomość warto zgłosić do IT albo zespołu bezpieczeństwa. Jedna kampania może być wysłana do wielu osób. Szybkie zgłoszenie pozwala ostrzec innych, usunąć wiadomości z poczty i zablokować domeny lub linki.

Co powinny ćwiczyć firmy

W takich scenariuszach najważniejsze nie jest zapamiętanie nazwy FinanzOnline, Erste Bank czy Bank99. W Polsce te nazwy zostaną zastąpione innymi. Ważne są wzorce.

Pracownik powinien rozpoznawać komunikat o aktualizacji danych, konieczności potwierdzenia numeru telefonu, aplikacji bezpieczeństwa, kodzie autoryzacyjnym, podatku, zwrocie, karcie albo ograniczeniu konta. Powinien wiedzieć, że w takich sytuacjach nie idzie się ścieżką z wiadomości. Trzeba przejść do niezależnej weryfikacji.

Dobrze zaprojektowane testy phishingowe dla firm powinny mierzyć nie tylko kliknięcie. Ważne jest, czy użytkownik zatrzymał proces, czy nie podał danych, czy nie przekazał kodu, czy zgłosił wiadomość i czy potrafił przejść do oficjalnego kanału.

Wniosek

Fałszywa weryfikacja FinanzOnline pokazuje, że phishing urzędowy nie musi być krzykliwy. Może wyglądać jak zwykła administracja: aktualizacja danych, formularz, termin i znana instytucja.

Właśnie dlatego jest groźny. Użytkownik ma wrażenie, że wykonuje obowiązek, a nie że bierze udział w oszustwie. Dobra obrona zaczyna się od prostego nawyku: bankowych i urzędowych procesów nie realizujemy z linku w wiadomości. Wychodzimy z maila, wchodzimy do usługi samodzielnie i dopiero wtedy sprawdzamy, czy sprawa naprawdę istnieje.