PHISHING

Phishing - Zwrot z rocznego rozliczenia podatkowego

Cyberoszuści dystrybuują wiadomości SMS informujące o rozliczeniu rocznego zeznania podatkowego. Na fałszywej stronie gov.pl należy zautoryzować się poprzez wybraną bankowość. Celem jest oczywiście wyłudzenie danych logowania do bankowości internetowej oraz kradzież środków pieniężnych.

PREBYTES Security Incident Response Team

4 min read
Phishing - Zwrot z rocznego rozliczenia podatkowego

Chociaż zeznania podatkowe większość Polaków ma jeszcze przed sobą to cyberoszuści postanowili wykorzystać ten temat do kolejnego ataku. Szczególnie w okresie przedświątecznym mało kto jeszcze myśli o rozliczeniu się z fiskusem, zwykle odkładamy to na ostatni moment. Co, jeśli należy nam się zwrot z podatku i będzie można te środki wykorzystać jeszcze przed świętami? Oszuści w stosownych wiadomościach przypominają, że roczne zeznanie podatkowe jest już gotowe do rozliczenia (chociaż w rzeczywistości nie jest to prawdą). W niniejszym artykule przedstawiamy schemat ataku phishing, w którym hakerzy wykorzystali temat rocznego rozliczenia podatkowego.

Wiadomość SMS informująca o gotowym do rozliczenia rocznym zeznaniu podatkowym

Omawiany atak phishing rozpoczyna się od kampanii SMS. Na jego potrzeby cyberoszuści przygotowali wiadomości, których treść prezentujemy poniżej.

Treść wiadomości SMS:
Twoje roczne zeznanie podatkowe jest dostepne do zaplaty: hxxps://pl-gov.online/

falszywa_wiadomosc_sms

Wiadomość zawiera informację, że roczne zeznanie podatkowe jest już gotowe i można je rozliczyć. Podany jest także adres strony, na której to rzekomo można dokonać rozliczenia z urzędem skarbowym.

Fałszywa strona gov.pl

Kliknięcie w zawarty w wiadmości SMS link powoduje przekierowanie do strony podszywającej się pod serwis Ministerstwa Finansów.

Fałszywa strona podatki.gov.pl

Trzeba przyznać, że fałszywa strona została dobrze przygotowana przez hakerów. Zawarte są na niej logotypy i treści znajdujące się na oryginalnej stronie. Jednak do tego zdążyliśmy się już przyzwyczaić. Zazwyczaj strony tworzone przez oszustów nie odbiegają wyglądem od tych oryginalnych. Dlatego przypominamy, jak ważne jest weryfikowanie adresu strony, na której się znajdujemy.

Oryginalna strona rządowa dotyczacą kwestii podatkowych to podatki.gov.pl. Strona przygotowana przez oszustów to pl-gov.online. Jest to zatem strona phishing.

Z fałszywej strony użytkownik dowiaduje się, że po zalogowaniu do e-urzędu skarbowego będzie mógł otrzymać zwrot podatku po potwierdzeniu tożsamości poprzez bank. Kliknięcie w przycisk e-Urząd Skarbowy - zaloguj się powoduje przejście do strony z wyborem bankowości.

Fałszywa strona podatki.gov.pl - logowanie

Warto zwrócić uwagę, że oryginalna strona logowania do usług publicznych w ramach serwisów gov.pl to login.gov.pl. Ponadto jest także możliwość wyboru sposobu logowania m.in. poprzez profil zaufany, e-dowód oraz bankowość w ramach narzędzia mojeID.

Fałszywa strona podatki.gov.pl - wybór bankowości

Na fałszywej stronie mamy do wyboru jedynie logowanie poprzez Moje ID z wyborem czterech bankowości.

Strony phishing polskich bankowości internetowych

Kliknięcie jeden z logotypów banku powoduje przekierowanie do fałszywej strony wybranej bankowości internetowej.

Fałszywa strona Santander - animacja ładowania

Przez moment użytkownik jest raczony komunikatem, że następuje przekierowanie i należy poczekać. Po chwili następuje przejście do docelowej strony phishing. Poniżej prezentujemy fałszywe panele logowania do bankowości internetowych.

Fałszywa strona Santander

Fałszywa strona iPKO

Celem hakerów jest oczywiście wyłudzenie danych logowania do bankowości internetowej, a w konsekwencji kradzież zgromadzonych tam środków. Użytkownik, zachęcony przez oszustów, chcąc uzyskać zwrot z podatku, przez nieuwagę może pozbawić się wszystkich środków znajdujących się na koncie bankowym.

BrowserWALL DNS

Strony internetowe, które podszywają się pod serwisy rządzowe, a oszuści za ich pomocą wyłudzają dane logowania do bankowości internetowej są przez nas skutecznie blokowane w BrowserWall DNS. Informacje na temat aktualnych zagrożeń w cyberprzestrzeni są dostępne w CTI Feed. Baza danych o cyberzagrożeniach jest aktualizowana na bieżąco.

CTI Feed

Wiadomości SMS, które zawierają podejrzane linki, a także strony, na których wyłudzane są poufne dane można zgłoszać poprzez formularz ZGŁOŚ INCYDENT.

Co zrobić, aby ustrzec się przed zagrożeniem

Wskazówki, co zrobić aby ustrzec się przed tym zagrożeniem są bardzo podobne, jak w przypadku innych ataków phishing. Poniżej prezentujemy najważniejsze z nich w celu przypomnienia.

  • Jeśli otrzymasz wiadomość, która wydaje Ci się podejrzana (rozliczenie podatkowe z danego roku gotowe jest na początku następnego roku, nie wcześniej), zignoruj ją, ponieważ może to być próba oszustwa.
  • Weryfikuj dokładnie adresy stron, na których się znajdujesz. Najbezpieczniej jest nie klikać w żadne przypadkowe linki, bez weryfikacji wiadomości, ponieważ mogą przekierowywać do stron phishing.
  • Weryfikuj dane zawarte na stronach, na które trafiłeś z przekierowania. W przypadku, gdy jakieś informacje są dla Ciebie niejasne lub nie jesteś pewny ich autentyczności, nie podawaj na nich poufnych danych. W przypadku usług publicznych, jak rozliczenia podatkowe, wszelkie informacje są ogólnie dostępne i warto je skonsultować w razie potrzeby, np. z urzędem skarbowym.

Zgłoś Incydent

Za pośrednictwem tego formularza, możesz zgłosić adres strony internetowej lub treść otrzymanej wiadomości. Przesyłając do nas zgłoszenie możesz przyczynić się do zwiększenia bezpieczeństwa w internecie. Eksperci zweryfikują Twoje zgłoszenie i pomogą w rozwiązaniu problemu.

Sign up for more like this.

Wpisz swój adres e-mail
Zapisz się