Otrzymujemy zgłoszenia dotyczące kampanii, w której przestępcy podszywając się pod pracowników Krajowej Administracji Skarbowej informują o przysługującym zwrocie podatku. Atak zaczyna się od e-maila, a kończy na stronie internetowej, gdzie ofiara, która uzupełni formularz, pieniądze straci, a nie odzyska.
Wiele wariantów e-maila
Poniżej podajemy przykładowe wartości dla pól nadawcy i tytułu:
Od: puesc.mf.gov.pl (mail@deal.dk)
Temat: WAŻNE: Środki czekają na Ciebie – działanie wymagane {Noreply} #644643435
Od: przelewy.puesc.gov.pl (noreply@jiotix.asia)
Temat: PILNE: Zwrot podatku – ostatni krok {Noreply} #982617231
E-maile wyglądają bardzo profesjonalnie. Ich treść ma kilka wariantów, ale generalnie każdy z nich zachęca do kliknięcia w przycisk, aby rozpocząć procedurę zwrotu podatku, wskazując że ostateczny termin to 30 kwietnia. Mamy więc presję czasu:
Potwierdzenie zwrotu nadpłaconego podatku dochodowego
Szanowna Pani / Szanowny Panie,
Na podstawie art. 72 § 1 Ordynacji podatkowej oraz po dokonaniu weryfikacji rocznego zeznania podatkowego PIT-37 za rok 2025, Krajowa Administracja Skarbowa stwierdza wystąpienie nadpłaty w podatku dochodowym od osób fizycznych. Kwota nadpłaty podlega zwrotowi na rachunek bankowy wskazany przez Podatnika, po uprzednim potwierdzeniu danych w systemie PUESC. Zgodnie z art. 77a ww. ustawy, zwrot nadpłaty zostanie zrealizowany w terminie 3 dni od dnia potwierdzenia rachunku. Poniżej przedstawiamy szczegóły obliczonej kwoty oraz niezbędne instrukcje.Wysokość zwrotu należnego
2210,25 zł słownie: dwa tysiące dwieście dziesięć złotych 25/100Podstawa prawna zwrotu:
– art. 75 § 1 oraz art. 77a ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (t.j. Dz.U. z 2025 r. poz. 932).
– rozporządzenie Ministra Finansów w sprawie zwrotu nadpłat podatkowych (Dz.U. z 2024 r. poz. 1582).Zwrot pieniędzy teraz — Link prowadzi do bezpiecznego formularza w portalu PUESC. Termin potwierdzenia upływa 30 kwietnia 2026 r. UWAGA – termin zastrzeżony. Zgodnie z procedurami KAS, brak potwierdzenia danych rachunku bankowego w terminie do 30 kwietnia 2026 r. spowoduje zawieszenie wypłaty do czasu ponownej weryfikacji. Aby otrzymać środki w najbliższym terminie wypłat, prosimy o niezwłoczne działanie.
Po kliknięciu w link, ofiara jest kierowana na strony pod różnymi domenami (wiele z nich nie jest wykrywanych jako złośliwe przez przeglądarki). Strony wyglądają wiarygodnie i wyłudzają dane osobowe: PESEL, nazwisko, adres, a następnie numer karty płatniczej.
Jak jeszcze można wykryć, że to scam?
Wykrycie, że ma się do czynienia z atakiem jest możliwe, jeśli stosuje się do następujących, dobrze znanych rad:
- Sprawdź dokładnie adres e-mail nadawcy. (tu żaden nie jest w domenie gov.pl)
- Nie podawaj numeru karty płatniczej, jeśli chcesz OTRZYMAĆ ZWROT pieniędzy. (podanie numeru karty, z niewielkimi wyjątkami, które można pominąć, służy do jej obciążenia)
Otrzymałem taką wiadomość, co robić, jak żyć?
Jeśli nie uzupełniłeś formularzy swoimi danymi osobowymi i nie podałeś numeru karty, możesz spać spokojnie.
Ze względu na skalę ataku, brak wykrywania stron jako złośliwe przez przeglądarki oraz zbliżający się termin rozliczeń podatkowych postanowiliśmy w tej kampanii wysłać ostrzeżenie użytkownikom naszej aplikacji CyberAlerty. Aplikacja CyberAlerty jest darmowa i dostępna zarówno na Andoida jak i na iPhone. Nie wymaga rejestracji a jedyne co robi, to wysyła Ci ostrzeżenia przed atakami, jeśli zauważymy nowy, istotny i masowy atak, który może spowodować kradzież Twoich danych lub pieniędzy albo zagraża Twojej prywatności. Aplikację pobierzesz z oficjalnego sklepu Google lub Apple.
Dziękujemy wszystkim Czytelnikom, którzy przesłali nam informacje o tych złośliwych wiadomościach 
To dzięki Wam możemy ostrzegać innych!
