Phishing na zwrot podatku i dane karty

TL;DR

CERT Polska opisał kampanie phishingowe wykorzystujące wizerunek Krajowej Administracji Skarbowej. Wiadomości informują o rzekomym zwrocie podatku, nadpłacie albo konieczności odebrania środków. Link prowadzi do strony podobnej do serwisu podatki.gov.pl, ale jej celem jest wyłudzenie danych, w tym danych karty płatniczej.

To nie jest zwykły fałszywy e-mail z linkiem. Mechanizm wykorzystuje moment, w którym użytkownik spodziewa się kontaktu z administracją publiczną, rozlicza podatki albo czeka na zwrot środków. Przestępcy nie muszą tworzyć skomplikowanej historii. Wystarczy obietnica pieniędzy i formularz wyglądający jak urzędowy proces.

Dla firm to ważny scenariusz security awareness. Pracownik, który na prywatnym urządzeniu wpisuje dane karty albo dane logowania na fałszywej stronie, może później podobnie zareagować na fałszywy portal HR, system benefitowy, wniosek o zwrot kosztów, dopłatę służbową albo komunikat z systemu finansowego.

Dlaczego zwrot podatku działa jako przynęta

Zwrot podatku jest skuteczną przynętą, bo łączy trzy elementy: pieniądze, urząd i poczucie formalności. Wiadomość nie musi brzmieć agresywnie. Może sugerować, że użytkownik ma do odebrania nadpłatę albo powinien dokończyć proces, aby środki zostały przekazane.

W takich kampaniach użytkownik często nie szuka oznak oszustwa. Szuka potwierdzenia, że pieniądze rzeczywiście mu się należą. To zmienia sposób myślenia. Zamiast pytać: czy ta wiadomość jest prawdziwa, zaczyna pytać: jak szybko odebrać środki.

Oszuści wykorzystują też znajomość polskiego kontekstu. Krajowa Administracja Skarbowa, podatki.gov.pl, rozliczenie roczne, nadpłata, urząd skarbowy i mObywatel to elementy, które wielu użytkowników kojarzy z realnymi procesami. Dzięki temu fałszywa strona może wyglądać wiarygodnie nawet wtedy, gdy jej adres nie należy do oficjalnej domeny.

Właśnie dlatego taki temat nie powinien być omawiany wyłącznie jako alert o fałszywej stronie. To przykład phishingu, który działa przez podszycie pod instytucję, ale finalnie prowadzi do decyzji finansowej: wpisania danych karty.

Jak wygląda mechanizm ataku

Najczęściej użytkownik dostaje wiadomość e-mail lub SMS z informacją o rzekomym zwrocie podatku. Treść sugeruje, że trzeba kliknąć link i wypełnić formularz. Strona, na którą trafia ofiara, może przypominać oficjalny portal podatkowy, używać podobnego układu, nazw usług i języka administracyjnego.

Kluczowy moment pojawia się wtedy, gdy formularz prosi o dane karty płatniczej. Dla wielu osób to nadal może wyglądać jak etap techniczny potrzebny do wypłaty środków. W rzeczywistości to przejście od phishingu informacyjnego do ryzyka finansowego.

Przestępcy mogą używać presji czasu, komunikatów o ograniczonej ważności formularza albo sugestii, że brak reakcji spowoduje utratę zwrotu. Nie muszą grozić karą. Wystarczy stworzyć wrażenie, że opóźnienie działa na niekorzyść odbiorcy.

W środowisku firmowym podobny schemat może dotyczyć rozliczeń delegacji, świadczeń pracowniczych, benefitów, dopłat, potrąceń, zwrotów kosztów albo korekt faktur. Główna logika pozostaje ta sama: ofiara ma uwierzyć, że formularz jest częścią normalnego procesu finansowego.

Dane karty powinny zatrzymać proces

Dane karty płatniczej są jednym z najważniejszych sygnałów alarmowych w takim scenariuszu. Użytkownik powinien przerwać proces w chwili, gdy strona z linku w wiadomości prosi o numer karty, datę ważności, kod CVV/CVC, kod SMS albo potwierdzenie w aplikacji bankowej.

Zwrot podatku nie powinien wymagać wpisywania pełnych danych karty na stronie otwartej z linku w wiadomości. Jeśli pojawia się taki formularz, nie należy traktować go jako kolejnego kroku administracyjnego. To moment, w którym trzeba samodzielnie wejść na oficjalną stronę, bez używania linku z wiadomości.

Dobra praktyka jest prosta: sprawy podatkowe załatwiamy przez adres wpisany ręcznie, zakładkę zapisaną wcześniej albo oficjalną aplikację i usługę. Nie przez link przesłany w wiadomości, która obiecuje zwrot środków.

Warto też rozdzielić dwa pojęcia. Adres strony może wyglądać podobnie do oficjalnego, ale podobieństwo nie jest potwierdzeniem autentyczności. Oszuści często używają domen z dodatkowymi słowami, myślnikami, literówkami albo ścieżkami sugerującymi rządowy portal.

Co to oznacza dla firm

Na pierwszy rzut oka phishing podatkowy jest problemem konsumenckim. Dotyczy obywatela, urzędu i prywatnej karty. W praktyce ten sam mechanizm ma znaczenie dla organizacji, bo pracownicy przenoszą nawyki między życiem prywatnym i zawodowym.

Jeżeli użytkownik akceptuje link do fałszywego zwrotu podatku, może podobnie zareagować na wiadomość o zwrocie kosztów służbowych, korekcie wynagrodzenia, nowym formularzu HR albo potwierdzeniu przelewu od kontrahenta. Mechanizm decyzyjny jest ten sam: szybka korzyść, formularz, dane finansowe i presja wykonania czynności.

Działy finansowe, HR i administracja powinny mieć jasne zasady komunikacji o pieniądzach. Pracownik musi wiedzieć, gdzie sprawdza się informacje o wynagrodzeniu, benefitach, zwrotach i potrąceniach. Jeżeli firma wysyła linki do formularzy finansowych bez spójnej polityki, uczy użytkowników zachowania, które później wykorzystują oszuści.

W programie awareness warto ćwiczyć scenariusze, w których wiadomość nie grozi karą, tylko obiecuje zwrot. Wiele osób jest przygotowanych na fałszywe blokady konta, ale gorzej rozpoznaje fałszywe korzyści.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik kliknął link, ale nie wpisał danych, powinien zamknąć stronę i zgłosić wiadomość. W firmie zgłoszenie trafia do IT, Security lub SOC. Prywatnie można przekazać wiadomość do CERT Polska przez incydent.cert.pl albo usługę Bezpiecznie w sieci w aplikacji mObywatel.

Jeżeli użytkownik podał dane karty, trzeba natychmiast skontaktować się z bankiem. W zależności od sytuacji może być konieczne zastrzeżenie karty, blokada transakcji internetowych, sprawdzenie historii operacji i zmiana limitów. Nie należy czekać, aż pojawi się pierwsze obciążenie.

Jeżeli użytkownik podał kod SMS, zatwierdził transakcję w aplikacji bankowej albo przekazał dodatkowe dane identyfikacyjne, sprawa wymaga pilnej reakcji banku. Warto zachować wiadomość, adres strony, zrzuty ekranu i czas zdarzenia, bo te informacje mogą pomóc w analizie.

Jeżeli incydent dotyczy urządzenia służbowego, nie powinien być traktowany wyłącznie jako prywatny błąd. Zespół bezpieczeństwa powinien sprawdzić, czy użytkownik nie użył służbowego adresu e-mail, czy link nie trafił do większej grupy pracowników i czy podobna domena nie pojawia się w logach proxy, DNS lub poczty.

Co powinny sprawdzić IT, Security i SOC

Pierwszym zadaniem jest blokada domen i adresów URL powiązanych z kampanią. Jeżeli wiadomość dotarła do jednej osoby, mogła trafić też do innych pracowników. Warto przeszukać pocztę po temacie, nadawcy, adresie linku i charakterystycznych fragmentach treści.

Drugim zadaniem jest analiza kliknięć. Logi poczty, proxy, DNS i EDR mogą pokazać, kto otworzył link i z jakiego urządzenia. To pomaga rozdzielić osoby, które tylko dostały wiadomość, od tych, które weszły na stronę lub wypełniły formularz.

Trzecim zadaniem jest komunikat wewnętrzny. Powinien być krótki i praktyczny: nie korzystamy z linku, nie wpisujemy danych karty, sprawy podatkowe sprawdzamy wyłącznie oficjalnym kanałem, a podejrzane wiadomości zgłaszamy.

W testach phishingowych dla firm taki scenariusz warto mierzyć w kilku punktach: otwarcie wiadomości, kliknięcie linku, rozpoczęcie formularza, zatrzymanie się przy danych karty i zgłoszenie wiadomości. Sam współczynnik kliknięć nie pokazuje całej odporności.

Jak mówić o tym użytkownikom

Najgorsza instrukcja brzmi: nie daj się nabrać. Użytkownik potrzebuje prostego punktu zatrzymania. W tym scenariuszu jest nim prośba o dane karty w sprawie zwrotu podatku.

Dobry komunikat dla pracowników powinien brzmieć konkretnie: jeśli link z wiadomości prowadzi do formularza zwrotu środków i prosi o dane karty, przerwij proces. Wejdź na oficjalny serwis samodzielnie albo skontaktuj się z właściwym urzędem innym kanałem.

Taka zasada jest łatwa do zapamiętania i działa także poza podatkami. Przy każdym rzekomym zwrocie pieniędzy, dopłacie, korekcie albo nadpłacie trzeba oddzielić obietnicę korzyści od bezpiecznej ścieżki weryfikacji.

Najbezpieczniejszy proces to ten, w którym użytkownik nie musi oceniać ładnej strony po wyglądzie. Ma znany adres, oficjalny kanał i jasną zasadę: dane karty wpisuję tylko wtedy, gdy samodzielnie rozpocząłem proces w zaufanym miejscu, a nie po kliknięciu w wiadomość o zwrocie.