Co dziesiąty ankietowany nie wie, jak rozpoznać fałszywą wiadomość, w której cyberoszust powołuje się na bank lub instytucję publiczną, by wyłudzić dane osobowe – wynika z badania. Eksperci przestrzegają przed próbami podszywania się przestępców m.in. pod Urząd Skarbowy.
Według badania przeprowadzonego w marcu 2022 r. przez serwis ChronPESEL.pl, co 10. ankietowany nie wie, jak rozpoznać fałszywą wiadomość, w której ktoś powołuje się na bank lub instytucję publiczną. Natomiast tylko co 5. Polak potrafi rozpoznać próbę oszustwa – to niewiele ponad 20 proc. Najlepiej radzą sobie z tym ludzie młodzi, w wieku 18 – 34 lata. Blisko 1/3 z nich deklaruje, że z rozpoznaniem oszusta nie miałaby problemów. W grupie ankietowanych między 55. a 64. rokiem życia zdecydowaną pewność, że rozpoznają oszustwo, ma 11,5 proc., a wśród osób starszych niż 65 lat – niespełna 9 proc.
W tym roku na rozliczenie dochodów za 2021 r. z fiskusem jest czas do 2 maja, bo 30 kwietnia przypada w sobotę. Eksperci zwracają uwagę, że wiele osób składa deklarację w ostatnim momencie, a presję czasu i związany z nią pośpiech wykorzystują przestępcy wyłudzający dane osobowe.
– Oszuści w wysyłanych e-mailach i SMS-ach podszywają się pod Urząd Skarbowy i informują o konieczności uiszczenia dopłaty lub o zwrocie podatku – zwraca uwagę Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl, partnera Krajowego Rejestru Długów Biura Informacji Gospodarczej. W tym celu, jak tłumaczy w rozmowie z PAP, wysyłają link do logowania w banku, który ma umożliwić płatność, lub proszą o podanie danych z karty bankowej, loginu i hasła. Zachęcają też do kontaktu z infolinią poprzez podany numer i obiecują szybsze załatwienie sprawy.
– Po drugiej stronie słuchawki czeka na nas podstawiony konsultant, który prosi o podanie danych osobowych w celu weryfikacji – dodaje.
Urzędy skarbowe nie kontaktują się z podatnikami w ten sposób – zaznacza ekspert.
– Nigdy nie proszą o żadne płatności za pośrednictwem wysłanych linków lub podanie danych do logowania. Każda taka wiadomość, którą otrzymamy, to najprawdopodobniej próba oszustwa. Żaden urzędnik nie będzie też przez telefon żądać naszych danych osobowych w celu weryfikacji, ani zachęcać do pobrania programów, które to zrobią – przestrzega.
Informacje o nadpłatach lub niedopłatach znajdziemy w serwisie podatki.gov.pl, natomiast zwrot będzie dokonany, w zależności od tego, co wskażemy w wypełnionej deklaracji, bezpośrednio na nasze konto, pocztą lub sami będziemy mogli go odebrać w placówce pocztowej – zauważa Drozd.
Zwraca uwagę, że cyberprzestępcy wykorzystując wojnę za naszą wschodnią granicą i związane z tym wzrosty cen energii, podszywają się też pod spółki energetyczne, informując o rzekomych dopłatach lub datach przerw w dostawie.
– Schemat działania jest podobny jak w przypadku innych oszustw. Do wiadomości dołączony jest link, za pośrednictwem którego powinniśmy dokonać płatności – mówi Drozd. Nasz przelew nigdy nie trafi jednak do spółki energetycznej, a oszustom oprócz pieniędzy zostawimy także dane do logowania w banku. Drozd przypomina, że w podobnej sytuacji warto zadzwonić najpierw na infolinię (poprzez stronę internetową, a nie podany przez oszustów numer) i zapytać o wszystko konsultanta.
Z badania wynika, że co szósty ankietowany (17 proc.) deklaruje, że mogło mu się zdarzyć przekazać dane do logowania osobom trzecim. Najczęściej przyznają się do tego osoby w wieku 18-24 lata. Nawet co trzeci z nich mógł udostępnić swoje hasło i login komuś innemu. W grupie respondentów między 25. a 44. rokiem życia ponad 20 proc. przyznaje, że mogło udostępnić obcym takie informacje, a wśród badanych 45-74 latków deklaruje tak 10-12 proc.
Drozd przestrzega też przed tzw. spoofingiem – przestępców podszywających się pod konkretne numery telefonów.
– W takim wypadku oszuści dzwonią do nas i przedstawiają się jako konsultanci banku, firm energetycznych lub urzędów skarbowych, a numer, który wyświetla nam się na telefonie, niestety to potwierdza – tłumaczy. Wskazuje, że zaniepokoić może zachowanie „konsultanta”, czyli jego nietypowe żądania.
– Przestępcy, którzy wyłudzili od nas dane, takie jak numer PESEL, adres zamieszkania lub numer i seria dowodu osobistego, mogą je wykorzystać do tego, żeby zaciągnąć na nasze nazwisko zobowiązanie finansowe w postaci pożyczki lub umowy leasingowej – dodaje Drozd.
Urząd Ochrony Danych Osobowych w komunikacie dotyczącym reagowania w przypadku kradzieży tożsamości rekomenduje także m.in. założenie konta w systemie informacji gospodarczej, celem monitorowania swojej aktywności kredytowej.
Ogólnopolskie badanie „Bezpieczeństwo danych osobowych w Polsce” zostało przeprowadzone w marcu br. przez IMAS International na zlecenie Krajowego Rejestru Długów BIG SA i serwisu ChronPESEL.pl na próbie 1010 osób.