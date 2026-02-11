Początek roku to tradycyjnie okres rozliczeń podatkowych – zeznania można składać do końca kwietnia, a korzystający z automatycznego wypełnienia PIT będą mogli sprawdzić swoje dane w serwisie e-PIT już 15 lutego. To właśnie ten moment postanowili wykorzystać cyberprzestępcy.

W ostatnich dniach CERT Orange Polska odnotowuje wzmożony napływ ruchu SMS podszywającego się pod źródła rządowe. W nich pojawiają się komunikaty o zwrotach kwot rzędu 600 zł – trudno wobec takiej kwoty przejść obojętnie.

Początkowo jako nadawca wiadomości pojawiały się oficjalnie brzmiące nadpisy GOV i MOF, jednak po ich zablokowaniu oszuści przerzucili się na zwykłe numery telefonów. Eksperci przewidują, że w miarę wprowadzania kolejnych blokad przestępcy będą próbowali wykorzystywać nazwy mniej lub bardziej przypominające te rządowe.

Rząd Polski jest Ci winien pieniądze?

Domena bezpieczny-zwrot-podatku[.]com, do której prowadzą linki z phishingowych SMS-ów, została zarejestrowana dopiero we wtorek 10 lutego – zaledwie dzień przed rozpoczęciem kampanii. Po kliknięciu w link użytkownik trafia na witrynę utrzymaną w stylistyce polskich stron rządowych, której część stanowi wierną kopię serwisu Ministerstwa Finansów.

CERT Orange Polska zwraca uwagę także na treść strony. Oszuści użyli sformułowania „rząd Polski jest Ci winien pieniądze” – zbyt potocznego i nieformalnego, by mogło pojawić się na oficjalnej witrynie Ministerstwa Finansów.

W kolejnym kroku fałszywa strona prezentuje okno z prośbą o wybór banku pod pozorem potwierdzenia tożsamości niezbędnego do zwrotu rzekomej nadwyżki z e-PIT. Po wybraniu instytucji finansowej użytkownik zostaje przekierowany na fałszywą stronę udającą panel logowania do bankowości elektronicznej.

Ta socjotechniczna sztuczka może oszukać nawet ostrożnych internautów. Wielu użytkowników wie, że jedną z oficjalnych metod dostępu do serwisów rządowych jest rzeczywiście logowanie przez systemy e-bankowości. Dlatego tak istotne jest sprawdzenie adresu w pasku przeglądarki – w przypadku strony oszustów graficzna nakładka podszywa się pod konkretny bank (np. Bank Millennium), podczas gdy użytkownik cały czas pozostaje w domenie bezpieczny-zwrot-podatku[.]com.

Po nieostrożnym wpisaniu loginu i hasła na fałszywej stronie ofiara zobaczy prośbę o podanie kodu SMS, opisaną w sposób niewzbudzający podejrzeń. Wprowadzenie tego kodu oznacza oddanie przestępcom niemal pełnej kontroli nad kontem bankowym.

CERT Orange Polska ostrzega, że tego typu kampanie są zwykle obsługiwane przez oszustów w czasie rzeczywistym – ofiara może mieć wyczyszczone konto już po kilku minutach od podania swoich danych uwierzytelniających.

Jak się chronić przed oszustwami?

Eksperci CERT Orange Polska apelują o nieufność wobec SMS-ów o treści związanej z podatkami. Osoby chcące sprawdzić swoje zeznanie podatkowe powinny od 15 lutego korzystać wyłącznie z oficjalnego serwisu dostępnego pod adresem epit.podatki.gov.pl. Wszelkie interakcje z platformami rządowymi należy podejmować wyłącznie na stronach, których adres kończy się na gov.pl.

Podstawowe zasady bezpieczeństwa: