Pojawiła się nowa kampania phishingowa, w której cyberprzestępcy podszywają się pod Krajową Administrację Skarbową i platformę PUESC, obiecując szybki zwrot podatku. Fałszywe maile wyglądają profesjonalnie, wykorzystują presję czasu i prowadzą na strony wyłudzające dane osobowe oraz numery kart płatniczych. [niebezpiecznik](https://niebezpiecznik.pl/post/uwaga-na-e-maile-o-zwrocie-podatku/)
Do skrzynek mailowych Polaków trafiają wiadomości, w których nadawca podszywa się pod pracowników Krajowej Administracji Skarbowej, a w treści pojawia się odwołanie do systemu PUESC i rzekomego zwrotu nadpłaconego podatku PIT za rok 2025. Atak zaczyna się od e-maila z linkiem do „procedury zwrotu”, a kończy na podstawionej stronie internetowej, która służy do wyłudzania danych i pieniędzy.
W treści wiadomości przestępcy powołują się na konkretne artykuły Ordynacji podatkowej, wskazują kwotę rzekomego zwrotu (np. 2210,25 zł) oraz obiecują realizację przelewu w ciągu kilku dni po „potwierdzeniu danych w systemie PUESC”. Całość wygląda jak oficjalne pismo urzędowe, co ma wzbudzać zaufanie i skłonić odbiorcę do kliknięcia w przycisk prowadzący do formularza.
Jak wyglądają fałszywe maile o zwrocie podatku?
W kampanii wykorzystano wiele wariantów tej samej wiadomości, zmieniając m.in. pola „Od” i „Temat”, tak aby utrudnić filtrowanie i zwiększyć wiarygodność. Jako nadawcy mogą pojawiać się np.:
– „puesc.mf.gov.pl (mail@deal.dk)” z tematem „WAŻNE: Środki czekają na Ciebie – działanie wymagane {Noreply} #644643435”;
– „przelewy.puesc.gov.pl (noreply@jiotix.asia)” z tematem „PILNE: Zwrot podatku – ostatni krok {Noreply} #982617231”.
Treść maila zawiera:
– powitanie „Szanowna Pani / Szanowny Panie” oraz powołanie się na zweryfikowane zeznanie PIT-37 za 2025 rok;
– informację o nadpłacie podatku dochodowego od osób fizycznych wraz z dokładną kwotą;
– podstawę prawną zwrotu (konkretne artykuły Ordynacji podatkowej i rozporządzenia Ministra Finansów);
– duży przycisk lub link typu „Zwrot pieniędzy teraz”, rzekomo prowadzący do bezpiecznego formularza w portalu PUESC.
Kluczowym elementem jest presja czasu – oszuści wskazują, że termin potwierdzenia rachunku bankowego upływa 30 kwietnia 2026 r., a brak działania spowoduje „zawieszenie wypłaty” do czasu ponownej weryfikacji. Ma to wymusić na ofierze szybką reakcję i ograniczyć moment na zastanowienie się, czy wiadomość jest autentyczna.
Dokąd prowadzi link z fałszywego maila?
Po kliknięciu w przycisk „Zwrot pieniędzy teraz” użytkownik trafia na stronę działającą w jednej z wielu przygotowanych domen, z których część nie jest jeszcze oznaczana jako złośliwa przez przeglądarki. Podstawione serwisy wizualnie przypominają oficjalne strony administracji skarbowej i PUESC, co utrudnia zorientowanie się, że to oszustwo.
Formularze na tych stronach proszą o podanie szeregu danych:
– imienia i nazwiska,
– numeru PESEL,
– adresu zamieszkania,
– a następnie numeru karty płatniczej.
Po wprowadzeniu takich informacji przestępcy zyskują możliwość zarówno kradzieży pieniędzy z konta, jak i dalszego wykorzystania przejętych danych osobowych, np. do zaciągania zobowiązań lub kolejnych ataków.
Jak rozpoznać, że to fałszywy zwrot podatku?
Mimo dopracowanej treści i warstwy wizualnej, ten typ oszustwa można stosunkowo łatwo rozpoznać, jeśli korzysta się z podstawowych zasad cyberbezpieczeństwa.
Na co zwrócić uwagę:
– **Adres nadawcy** – w opisywanej kampanii żaden użyty adres e-mail nie był w domenie „gov.pl”, mimo że wiadomość rzekomo pochodzi od KAS lub PUESC; zamiast tego wykorzystywane są zewnętrzne domeny, często egzotyczne lub przypadkowe.
– **Żądanie numeru karty płatniczej** – przy zwrocie pieniędzy urząd skarbowy nie wymaga podawania danych karty, bo numer karty służy co do zasady do obciążenia rachunku, a nie do wykonania zwrotu.
– **Presja czasu i emocji** – komunikaty „WAŻNE”, „PILNE” i grożenie zawieszeniem wypłaty w razie braku reakcji to klasyczne techniki phishingowe.
– **Link do formularza** – przed kliknięciem warto najechać kursorem na przycisk i sprawdzić, czy adres URL rzeczywiście prowadzi do domeny administracji publicznej, a nie do nieznanej strony.
Jeżeli którykolwiek z tych elementów budzi wątpliwości, mail należy uznać za podejrzany i nie wchodzić w zawarte w nim linki.
### Co zrobić, jeśli dostałeś taki mail?
Jeżeli otrzymałeś wiadomość o zwrocie podatku z odwołaniem do PUESC lub KAS, w pierwszej kolejności nie klikaj żadnych przycisków ani linków w treści maila. Zamiast tego:
– sprawdź dokładnie adres nadawcy oraz domenę, z której wysłano wiadomość;
– zaloguj się do swojego konta w serwisach administracji publicznej (np. przez oficjalną stronę, a nie z linku w wiadomości), aby zweryfikować, czy faktycznie masz informację o zwrocie podatku;
– jeżeli mail wygląda na próbę phishingu, zgłoś go odpowiednim instytucjom (np. CERT Polska) oraz usuń z poczty.
Jeśli nie wprowadzałeś żadnych danych do formularzy i nie podałeś numeru karty płatniczej, możesz być względnie spokojny – w takiej sytuacji przestępcy nie uzyskali od ciebie informacji pozwalających na bezpośrednie obciążenie konta. Jeżeli jednak wpisałeś dane karty lub PESEL, niezwłocznie skontaktuj się z bankiem i rozważ zastrzeżenie karty, a także monitorowanie historii kredytowej.
Jak zwiększyć swoje bezpieczeństwo przed phishingiem podatkowym?
Ponieważ ataki „na zwrot podatku” co roku nasilają się w okresie rozliczeń, warto wdrożyć kilka prostych praktyk, które znacząco zmniejszą ryzyko stania się ofiarą.
Przydatne zasady:
– zawsze weryfikuj domenę w adresie nadawcy, szczególnie gdy chodzi o pieniądze i urzędy; [niebezpiecznik]- nie podawaj numeru karty płatniczej ani danych logowania do bankowości z poziomu linków otrzymanych w wiadomościach mailowych i SMS;
– pamiętaj, że administracja skarbowa i banki nie proszą mailowo o pełne dane kart płatniczych do wykonania zwrotu;
– korzystaj z aktualnego oprogramowania i filtrów antyphishingowych w przeglądarce oraz programie pocztowym.
Dodatkowo istnieją aplikacje ostrzegające o nowych kampaniach oszustów, które powiadamiają użytkowników o masowych i groźnych atakach. Jednym z takich rozwiązań jest darmowa aplikacja mobilna wysyłająca cyberalerty o świeżo wykrytych kampaniach wyłudzających dane lub pieniądze, dostępna na Androida i iOS bez potrzeby rejestracji.
