Spis treści

Czym jest phishing i dlaczego ZUS, KAS i e-Urząd Skarbowy są tak atrakcyjnym celem?

Phishing to metoda oszustwa internetowego, której nazwa pochodzi od angielskiego słowa fishing (wędkowanie), co doskonale oddaje jej charakter. Cyberprzestępca, niczym wędkarz, „zarzuca przynętę” w postaci fałszywej wiadomości e-mail, SMS-a lub telefonu, licząc na to, że ofiara „chwyci haczyk” i dobrowolnie przekaże mu cenne informacje. Phishing nie jest atakiem hakerskim w klasycznym rozumieniu – nie polega na łamaniu zabezpieczeń systemów informatycznych. To forma inżynierii społecznej, czyli technika manipulacji psychologicznej, która wykorzystuje ludzkie emocje, nawyki i zaufanie, aby skłonić osobę do wykonania określonych działań wbrew jej interesom. Zamiast forsować cyfrowe zamki, oszust po prostu prosi ofiarę o klucze, a ona, wprowadzona w błąd, sama mu je podaje.

Instytucje takie jak Zakład Ubezpieczeń Społecznych (ZUS), Krajowa Administracja Skarbowa (KAS) czy platforma e-Urząd Skarbowy są dla cyberprzestępców celem idealnym z kilku kluczowych powodów. Przede wszystkim bazują oni na ogromnym zaufaniu, jakim darzymy te urzędy . Komunikat od ZUS czy urzędu skarbowego jest traktowany z powagą i rzadko ignorowany. Oszuści wykorzystują ten autorytet, aby uwiarygodnić swoje fałszywe wiadomości. Dodatkowo, interakcje z tymi instytucjami często wiążą się z silnymi emocjami: strachem przed niedopłatą podatku, nadzieją na zwrot nadpłaty, pośpiechem związanym z terminem składania wniosków czy obawą przed kontrolą. Emocje te osłabiają naszą czujność i skłaniają do impulsywnego działania – kliknięcia w link czy pobrania załącznika bez głębszej analizy. Szeroki zasięg tych instytucji, obejmujący praktycznie każdego dorosłego obywatela, gwarantuje przestępcom ogromną pulę potencjalnych ofiar.

Głównym celem phishingu podszywającego się pod ZUS, KAS czy e-Urząd Skarbowy jest wyłudzenie danych osobowych i środków finansowych 1. Kradzież informacji jest często pierwszym krokiem do osiągnięcia celu finansowego. Przestępcy polują na konkretne dane, które mogą następnie wykorzystać na różne sposoby, co może prowadzić do przejęcia kontroli nad kontami i kradzieży tożsamości 2.

Typ DanychPrzykładyDo czego oszust może je wykorzystać?
Dane osobowePESEL, NIP, seria i numer dowodu osobistego, adres zamieszkaniaZaciągnięcie pożyczki na nazwisko ofiary („kradzież tożsamości”), rejestracja fałszywych firm.
Dane logowaniaLogin i hasło do PUE ZUS, e-Urzędu Skarbowego, Profilu ZaufanegoPrzejęcie kontroli nad kontem 2, zmiana danych (np. numeru konta do zwrotu podatku), wyłudzenie świadczeń.
Dane finansoweNumer karty kredytowej wraz z kodem CVV, dane do logowania do bankowości elektronicznejBezpośrednia kradzież pieniędzy z konta bankowego lub obciążenie karty płatniczej.

Ataki te przybierają różne formy, nie ograniczając się jedynie do poczty elektronicznej. Coraz częściej spotykamy się z smishingiem, czyli phishingiem za pomocą wiadomości SMS (np. z informacją o konieczności dopłaty do składki zdrowotnej i linkiem do fałszywej bramki płatności). Inną groźną odmianą jest vishing (voice phishing), gdzie oszust dzwoni do ofiary, podszywając się pod urzędnika, i próbuje wyłudzić dane podczas rozmowy telefonicznej. Każda z tych metod bazuje na tym samym schemacie: podszyciu się pod zaufaną instytucję i wywołaniu presji, aby ofiara działała szybko i bezrefleksyjnie.

Najczęstsze scenariusze ataków phishingowych na ZUS: Analiza przypadków

Cyberprzestępcy podszywający się pod Zakład Ubezpieczeń Społecznych stosują wachlarz wyrafinowanych metod, aby uśpić naszą czujność i wyłudzić dane lub pieniądze. Ataki te przybierają formę e-maili, SMS-ów, a nawet rozmów telefonicznych, a każdy scenariusz jest starannie zaprojektowany, by wyglądać na autentyczną komunikację z urzędem . Zrozumienie tych schematów to pierwszy i najważniejszy krok do skutecznej obrony. Poniżej analizujemy najczęściej spotykane scenariusze ataków, z którymi możesz się spotkać.

Scenariusz 1: E-mail z prośbą o „aktualizację dokumentu” i złośliwym załącznikiem

Jednym z najpopularniejszych wektorów ataku jest fałszywy e-mail, który do złudzenia przypomina oficjalną korespondencję z ZUS 3. Wiadomość informuje o rzekomej konieczności pilnego zaktualizowania ważnego dokumentu, np. w związku ze zmianą przepisów lub weryfikacją danych 4. Treść e-maila jest napisana w sposób ponaglający, aby wywołać u odbiorcy poczucie pilności i skłonić go do nieprzemyślanego działania. W wiadomości znajduje się link lub załącznik, opisany jako „formularz aktualizacyjny” lub „wymagany dokument”. W rzeczywistości jest to pułapka. Kliknięcie linku lub otwarcie pliku (często w formacie .zip, .docm lub .exe) prowadzi do zainstalowania na komputerze złośliwego oprogramowania 5. Taki program może kraść hasła do bankowości, szyfrować dane dla okupu (ransomware) lub przejąć kontrolę nad urządzeniem .

Scenariusz 2: Obietnica „zwrotu nadpłaty” lub informacja o „zmianie rachunku”

Innym powszechnym pretekstem jest kusząca obietnica finansowa. Oszuści wysyłają wiadomości e-mail lub SMS z informacją o rzekomym zwrocie nadpłaconych składek lub podatku 6. Aby otrzymać pieniądze, ofiara jest proszona o kliknięcie linku i zalogowanie się na fałszywej stronie, która imituje system bankowości elektronicznej lub portal PUE ZUS. Celem jest przechwycenie loginu i hasła. Równie niebezpieczny jest wariant z informacją o rzekomej zmianie numeru rachunku bankowego, na który ZUS przelewa świadczenia, takie jak emerytura czy zasiłek . Wiadomość może zawierać prośbę o „potwierdzenie” danych poprzez zalogowanie się na podstawionej stronie. W ten sposób przestępcy mogą przekierować Twoje świadczenia na własne konto.

Scenariusz 3: SMS-y (smishing) i rozmowy telefoniczne (vishing)

Przestępcy nie ograniczają się do poczty elektronicznej. Coraz częściej wykorzystują wiadomości SMS (smishing) oraz rozmowy telefoniczne (vishing), aby budować bezpośrednią relację z ofiarą i manipulować nią w czasie rzeczywistym.

  • Fałszywe SMS-y: Krótkie wiadomości tekstowe często informują o niewielkiej niedopłacie, konieczności dopłaty do składki zdrowotnej lub grożą blokadą konta PUE ZUS 7. Zawierają link do fałszywej strony płatności, gdzie ofiara ma wpłacić symboliczną kwotę, w rzeczywistości przekazując oszustom dane swojej karty lub dane logowania do banku .
  • Oszustwa telefoniczne: W tym scenariuszu dzwoni osoba podająca się za pracownika ZUS 8. Preteksty są różne: od weryfikacji danych osobowych, przez informowanie o rzekomym błędzie w systemie, aż po oferowanie dodatkowych, fałszywych programów emerytalnych . Szczególnie narażone są osoby starsze, które oszuści próbują przekonać do przelania pieniędzy na „bezpieczne konto techniczne”, aby uchronić je przed rzekomą kradzieżą .

Scenariusz 4: Atak na Profil Zaufany jako bramę do danych

Profil Zaufany to klucz do wielu usług publicznych, w tym do Platformy Usług Elektronicznych ZUS. Z tego powodu stał się on cennym celem dla cyberprzestępców 9. Atak najczęściej zaczyna się od e-maila lub SMS-a z linkiem prowadzącym do fałszywej strony logowania do Profilu Zaufanego. Wygląda ona identycznie jak prawdziwa, ale jej jedynym celem jest przechwycenie Twojego loginu i hasła. Uzyskując dostęp do Profilu Zaufanego, oszust może nie tylko zalogować się na Twoje konto w ZUS, ale również w e-Urzędzie Skarbowym, IKP (Internetowym Koncie Pacjenta) czy nawet złożyć w Twoim imieniu wniosek o kredyt, co prowadzi do kradzieży tożsamości .

Poniższa tabela podsumowuje najczęstsze metody działania oszustów:

Kanał atakuTypowy pretekstCel oszusta
E-mail„Aktualizacja dokumentu” lub „Ważna informacja”Instalacja złośliwego oprogramowania w celu kradzieży danych 5.
E-mail„Zwrot nadpłaty składek” lub „Odbierz świadczenie” 6Wyłudzenie danych logowania do bankowości elektronicznej.
E-mail„Zmiana numeru rachunku do świadczeń”Przekierowanie świadczeń (np. emerytury) na konto przestępcy.
SMS„Niedopłata na koncie” lub „Twoje konto PUE zostanie zablokowane” 7Wyłudzenie pieniędzy przez fałszywe bramki płatności lub kradzież danych .
Telefon„Weryfikacja danych” lub „Problem z kontem” 8Wyłudzenie wrażliwych danych osobowych (PESEL, numer dowodu).
Telefon„Nowy, gwarantowany program emerytalny”Nakłonienie do zainwestowania pieniędzy w fałszywy fundusz.

Jak rozpoznać fałszywy e-mail od ZUS, KAS lub e-Urzędu Skarbowego? Kluczowe sygnały ostrzegawcze

Oszuści doskonale opanowali sztukę kamuflażu, a ich wiadomości na pierwszy rzut oka mogą wyglądać łudząco podobnie do oficjalnych pism. Fałszywe e-maile od ZUS wyglądają jak oficjalna korespondencja 3, wykorzystując logotypy, stopki i charakterystyczny układ graficzny. Kluczem do bezpieczeństwa jest jednak umiejętność dostrzegania drobnych, ale kluczowych szczegółów, które zdradzają próbę oszustwa. Analiza wiadomości pod kątem kilku stałych elementów pozwala niemal ze stuprocentową pewnością zdemaskować phishing. Warto wyrobić w sobie nawyk traktowania każdej nieoczekiwanej wiadomości od urzędu jako potencjalnie podejrzanej i przeprowadzenia krótkiej, kilkuetapowej weryfikacji, zanim podejmiemy jakiekolwiek działanie.

Krok 1: Sprawdź adres e-mail nadawcy

To absolutna podstawa i najczęstsze miejsce, gdzie oszuści popełniają błędy. Oficjalne instytucje publiczne w Polsce używają wyłącznie adresów w rządowej domenie .gov.pl lub własnych, zarejestrowanych domenach. Adres e-mail składa się z dwóch części rozdzielonych znakiem @: nazwy użytkownika i domeny. Zawsze analizuj część po znaku @. Przestępcy próbują podszywać się pod urzędy, rejestrując domeny, które wyglądają podobnie, ale zawierają literówki, dodatkowe słowa lub mają inną końcówkę (np. .com, .net, .org).

Tabela porównawcza domen:

Typ AdresuPrzykład Poprawny (domena)Przykłady Fałszywe (domeny)
ZUS...**@zus.pl**...**@zus-gov.com**, ...**@puezus.pl.net**, ...**@zus.info**
KAS / e-Urząd Skarbowy...**@mf.gov.pl**, ...**@kas.gov.pl**...**@e-urzadskarbowy.org**, ...**@gov.pl.co**, ...**@podatki-gov.eu**

Ważne: Nie ufaj nazwie wyświetlanej nadawcy (np. „Zakład Ubezpieczeń Społecznych”), ponieważ można ją dowolnie ustawić. Zawsze kliknij lub najedź na nią, aby zobaczyć pełny, prawdziwy adres e-mail.

Krok 2: Przeanalizuj treść i ton wiadomości

Oficjalna korespondencja urzędowa ma specyficzny, formalny styl. Oszuści często go nieudolnie podrabiają, co prowadzi do charakterystycznych błędów. Zwróć uwagę na następujące sygnały alarmowe:

  • Presja czasu i groźby: Wiadomości phishingowe niemal zawsze próbują wywołać panikę. Zwroty takie jak „Twoje konto zostanie zablokowane w ciągu 24 godzin”, „Natychmiastowa weryfikacja jest wymagana” czy „Wykryto nieuregulowaną niedopłatę, zapłać teraz, aby uniknąć kary” to klasyczne techniki socjotechniczne. Prawdziwe urzędy komunikują się w sposób rzeczowy i dają ustawowe terminy na załatwienie spraw.
  • Błędy językowe i stylistyczne: Szukaj literówek, błędów gramatycznych, braku polskich znaków diakrytycznych (np. zamiast, prosze) lub nienaturalnie brzmiących zdań. Często są one wynikiem automatycznego tłumaczenia z innego języka.
  • Brak personalizacji: Instytucje, posiadając Twoje dane, zwrócą się do Ciebie imieniem i nazwiskiem (np. „Szanowna Pani Anno Kowalska”). Oszuści najczęściej stosują ogólne zwroty, takie jak „Szanowny Kliencie”, „Drogi Użytkowniku” lub po prostu „Dzień dobry”. Brak personalizacji to bardzo silny sygnał ostrzegawczy.
  • Nietypowe prośby: ZUS, KAS czy e-Urząd Skarbowy nigdy nie poproszą Cię w mailu o podanie hasła do konta, numeru PESEL, danych karty kredytowej czy przesłanie skanu dowodu osobistego. Każda taka prośba jest próbą wyłudzenia danych.

Krok 3: Zweryfikuj linki i załączniki

To w linkach i załącznikach kryje się największe zagrożenie – prowadzą do fałszywych stron logowania lub zawierają złośliwe oprogramowanie.

  • Weryfikacja linków bez klikania: Zanim klikniesz jakikolwiek link, najedź na niego kursorem myszy. W lewym dolnym rogu okna przeglądarki lub programu pocztowego wyświetli się pełny adres URL, do którego faktycznie prowadzi odnośnik. Sprawdź, czy domena w tym adresie jest poprawna (zgodnie z tabelą powyżej). Oszuści często stosują trik, gdzie tekst linku wygląda prawidłowo (np. pue.zus.pl),

Pułapki w SMS-ach i rozmowach telefonicznych: Jak oszuści wykorzystują zaufanie?

Ataki phishingowe nie ograniczają się wyłącznie do poczty elektronicznej. Cyberprzestępcy coraz chętniej sięgają po bardziej bezpośrednie i osobiste kanały komunikacji, takie jak wiadomości SMS oraz rozmowy telefoniczne, aby uśpić naszą czujność. Metody te, znane jako smishing (phishing za pomocą SMS) oraz vishing (phishing głosowy, od voice phishing), bazują na wywieraniu presji czasu i wykorzystywaniu autorytetu instytucji państwowych . Wiadomość tekstowa na telefonie czy bezpośrednia rozmowa z „urzędnikiem” mogą wydawać się bardziej wiarygodne niż e-mail, co czyni je niezwykle niebezpiecznym narzędziem w rękach oszustów.

Smishing: Fałszywy SMS od urzędu

Smishing to metoda polegająca na wysyłaniu krótkich wiadomości tekstowych, które mają na celu nakłonienie ofiary do podjęcia natychmiastowego działania – najczęściej kliknięcia w zawarty w nich link 7. Oszuści podszywający się pod ZUS, KAS czy e-Urząd Skarbowy tworzą komunikaty, które wzbudzają silne emocje: strach przed konsekwencjami lub chęć szybkiego zysku. Treść takich SMS-ów jest zwykle zwięzła i alarmująca. Celem jest wyłudzenie danych logowania do bankowości, PUE ZUS, Profilu Zaufanego lub zainfekowanie smartfona złośliwym oprogramowaniem .

Przykłady fałszywych wiadomości SMS:

  • Scenariusz na „niedopłatę”:

    ZUS: Stwierdzono niedoplate na Twoim koncie w wysokosci 3,45 PLN. Prosimy o natychmiastowe uregulowanie, aby uniknac odsetek. Link do platnosci: [fałszywy-adres-strony]

    • Cel: Niewielka, wiarygodna kwota ma uśpić czujność. Link prowadzi do fałszywej bramki płatności, która przechwytuje dane logowania do banku.

  • Scenariusz na „nadpłatę podatku”:

    e-Urzad Skarbowy: Informujemy o nadplacie podatku w kwocie 782,30 PLN. Aby zlecic zwrot srodkow, uzupelnij formularz: [fałszywy-adres-strony]

    • Cel: Obietnica zysku skłania do szybkiego działania bez weryfikacji. Strona docelowa wyłudza dane osobowe i dane logowania.

  • Scenariusz na „blokadę świadczenia”:

    ZUS: Twoje swiadczenie zostalo wstrzymane z powodu niekompletnych danych. Zaktualizuj informacje, aby wznowic wyplaty: [fałszywy-adres-strony]

    • Cel: Groźba utraty pieniędzy (np. emerytury, zasiłku) wywołuje panikę i skłania do natychmiastowego kliknięcia.

Vishing: Oszust dzwoni jako urzędnik

Vishing jest jeszcze bardziej podstępną formą ataku, ponieważ angażuje bezpośrednią interakcję z człowiekiem. Oszust dzwoni do ofiary, podając się za pracownika ZUS, urzędnika skarbowego lub konsultanta z ministerstwa 8. Rozmowa jest prowadzona w profesjonalny sposób – przestępca używa oficjalnego języka, zwraca się do ofiary po imieniu i nazwisku (dane często pozyskuje z wcześniejszych wycieków) i buduje atmosferę zaufania 10. Celem rozmowy jest wyłudzenie poufnych informacji (PESEL, numer dowodu, dane logowania) lub nakłonienie do wykonania konkretnych działań, np. zainstalowania aplikacji do zdalnego pulpitu (rzekomo w celu „wsparcia technicznego”) lub wykonania „przelewu weryfikacyjnego” na wskazane konto.

Szczególnie narażone na ten typ ataku są osoby starsze, które często darzą instytucje państwowe większym zaufaniem i są mniej świadome cyfrowych zagrożeń. Oszuści potrafią być niezwykle cierpliwi i przekonujący. Znane są przypadki, w których przestępca najpierw dzwonił, podając się za pracownika ZUS i informując o rzekomym problemie z waloryzacją emerytury, a następnie, po zdobyciu zaufania, wysyłał SMS z numerem konta do wpłaty „opłaty manipulacyjnej” .

Kluczowe sygnały ostrzegawcze w SMS-ach i rozmowach

Niezależnie od formy kontaktu, mechanizmy manipulacji są podobne. Zwróć uwagę na poniższe czerwone flagi, które powinny natychmiast wzbudzić Twoją czujność.

Sygnał OstrzegawczyJak Działa Oszust? (Smishing i Vishing)
Presja czasu i ponagleniaUżywa zwrotów „natychmiast”, „w ciągu 24h”, „ostateczne wezwanie”, abyś działał pod wpływem emocji, bez zastanowienia.
Prośba o podanie danychProsi o PESEL, numer dowodu, login, hasło lub dane karty płatniczej w celu „weryfikacji tożsamości”. Prawdziwy urzędnik nigdy o to nie poprosi.
Sensacyjna informacjaKomunikuje niespodziewaną wygraną, zwrot podatku, groźbę blokady konta lub wszczęcia egzekucji komorniczej.
Link w wiadomości SMSNakłania do kliknięcia w link, często skrócony (np. bit.ly) lub łudząco podobny do prawdziwego adresu, ale z literówką.
Prośba o instalację oprogramowania„Konsultant” prosi o zainstalowanie aplikacji (np. AnyDesk, TeamViewer) w celu „pomocy technicznej” lub „zabezpieczenia konta”.
Nietypowy numer nadawcy/telefonuSMS przychodzi z numeru prywatnego lub alfanumerycznego nagłówka, który można łatwo podrobić (np. „e-URZAD”).

Pamiętaj, że ZUS, KAS i inne instytucje publiczne komunikują się z obywatelami głównie przez swoje oficjalne platformy (np. PUE ZUS, e-Urząd

Co zrobić, gdy otrzymasz podejrzaną wiadomość lub telefon? Natychmiastowe kroki

Otrzymanie wiadomości, która na pierwszy rzut oka wygląda na oficjalną korespondencję z ZUS, KAS czy e-Urzędu Skarbowego, ale budzi Twoje wątpliwości, wymaga natychmiastowej i przemyślanej reakcji. Panika i pośpiech to najwięksi sprzymierzeńcy oszustów. Kluczem jest zachowanie spokoju i metodyczne działanie. Pamiętaj, że cyberprzestępcy liczą na Twoją chwilę nieuwagi, aby skłonić Cię do podjęcia pochopnej decyzji, która może prowadzić do kradzieży danych osobowych, haseł, a nawet pieniędzy z konta bankowego 2. Dlatego pierwszą i najważniejszą zasadą jest: zatrzymaj się i pomyśl, zanim cokolwiek zrobisz.

Zanim przejdziesz do weryfikacji, musisz bezwzględnie przestrzegać kilku zasad „pierwszej pomocy”. To one stanowią Twoją pierwszą linię obrony. Pod żadnym pozorem:

  • Nie klikaj w żadne linki zawarte w podejrzanym e-mailu lub SMS-ie. Mogą one prowadzić do fałszywych stron logowania lub bezpośrednio infekować Twoje urządzenie.
  • Nie otwieraj żadnych załączników. Często pod pretekstem rzekomej faktury, wezwania czy „zaktualizowania dokumentu” 4 kryje się złośliwe oprogramowanie (malware), takie jak wirusy czy programy szpiegujące 5.
  • Nie odpowiadaj na wiadomość. Odpowiedź potwierdza oszustom, że Twój adres e-mail lub numer telefonu jest aktywny, co może skutkować nasileniem ataków.
  • Nie podawaj żadnych danych osobowych, loginów ani haseł. Prawdziwe instytucje publiczne nigdy nie proszą o takie informacje drogą mailową czy SMS-ową.
  • Nie oddzwaniaj na numer, z którego przyszła wiadomość lub połączenie. Jeśli to był vishing (phishing głosowy), oszust może czekać na Twój telefon, by kontynuować manipulację 8.

Gdy już opanujesz pierwszą reakcję i unikniesz bezpośrednich pułapek, czas na świadome działanie. Postępuj według poniższych kroków, aby bezpiecznie zweryfikować sytuację i zabezpieczyć swoje interesy.

Krok 1: Zakończ kontakt i zdobądź dystans. Jeśli rozmawiasz przez telefon z osobą podającą się za pracownika urzędu, grzecznie, ale stanowczo zakończ rozmowę. Możesz powiedzieć: „Dziękuję za informację, zweryfikuję ją we własnym zakresie i w razie potrzeby skontaktuję się z urzędem”. Jeśli otrzymałeś e-mail lub SMS, po prostu zamknij wiadomość. Nie usuwaj jej od razu – może być potrzebna jako dowód przy zgłaszaniu oszustwa.

Krok 2: Zweryfikuj informację w oficjalnym źródle. To najważniejszy etap. Nigdy nie używaj danych kontaktowych (numerów telefonu, adresów e-mail) podanych w podejrzanej wiadomości. Zamiast tego, znajdź oficjalne kanały komunikacji samodzielnie.

InstytucjaOficjalna strona internetowaOficjalna infolinia
ZUShttps://www.zus.pl22 560 16 00
KAS / e-Urząd Skarbowyhttps://www.podatki.gov.pl22 460 59 95 (Krajowa Informacja Skarbowa)
CERT Polska (NASK)https://www.cert.pl799 448 084 (zgłaszanie SMS)

Wpisz adres strony ręcznie w przeglądarce, nie kopiuj go z wiadomości. Zadzwoń na oficjalną infolinię i zapytaj konsultanta, czy instytucja faktycznie kontaktowała się w Twojej sprawie. W ten sposób szybko ustalisz, czy miałeś do czynienia z próbą oszustwa. Pamiętaj, że przestępcy często bazują na zaufaniu, jakim darzymy instytucje publiczne .

Krok 3: Co zrobić, jeśli już kliknąłeś lub podałeś dane? Jeśli niestety doszło do interakcji z fałszywą wiadomością, działaj natychmiast, aby zminimalizować szkody:

  1. Zmień hasła: Niezwłocznie zmień hasło do Profilu Zaufanego, bankowości elektronicznej, poczty e-mail i wszystkich innych serwisów, gdzie używałeś tego samego lub podobnego hasła. Przejęcie Profilu Zaufanego jest szczególnie groźne, gdyż daje dostęp do wielu usług rządowych .
  2. Przeskanuj urządzenie: Użyj zaktualizowanego programu antywirusowego, aby sprawdzić komputer lub telefon pod kątem złośliwego oprogramowania.
  3. Skontaktuj się z bankiem: Jeśli podałeś dane karty płatniczej lub dane do logowania do banku, natychmiast zadzwoń na infolinię swojego banku, aby zastrzec kartę i zablokować dostęp do konta.
  4. Zastrzeż numer PESEL: Od 1 czerwca 2024 roku możesz bezpłatnie zastrzec swój numer PESEL w aplikacji mObywatel lub w urzędzie gminy. To utrudni oszustom zaciągnięcie na Ciebie kredytu lub pożyczki.
  5. Zgłoś incydent: O tym, jak i gdzie dokładnie zgłosić próbę oszustwa, przeczytasz w następnej sekcji naszego poradnika.

Jak i gdzie zgłosić próbę phishingu na ZUS, KAS, e-Urząd Skarbowy? Oficjalne kanały

Twoja szybka reakcja i zgłoszenie próby oszustwa to nie tylko ochrona Twoich własnych danych, ale realna pomoc w walce z cyberprzestępczością. Każde zgłoszenie jest cennym sygnałem dla zespołów bezpieczeństwa, które mogą dzięki niemu zablokować fałszywą stronę lub numer telefonu, zanim kolejne osoby padną ofiarą ataku. Traktuj to jako swój cyfrowy obowiązek obywatelski – informując odpowiednie służby, stajesz się aktywnym uczestnikiem systemu wczesnego ostrzegania. Pamiętaj, że oszuści działają na masową skalę, a Twoje jedno zgłoszenie może ochronić setki, a nawet tysiące innych użytkowników internetu.

Głównym i najważniejszym adresem, pod który należy zgłaszać wszelkie incydenty związane z cyberbezpieczeństwem w Polsce, jest CERT Polska. To skrót od Computer Emergency Response Team, czyli Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, działający w ramach państwowego instytutu badawczego NASK. To właśnie analitycy CERT Polska zajmują się analizą zagrożeń, blokowaniem złośliwych domen i ostrzeganiem społeczeństwa przed nowymi falami oszustw, w tym tymi podszywającymi się pod ZUS . Zgłoszenie incydentu do CERT Polska jest proste i można to zrobić na kilka sposobów, w zależności od rodzaju zagrożenia.

Najskuteczniejszą metodą zgłaszania prób phishingu jest skorzystanie z dedykowanych kanałów CERT Polska, które zostały stworzone specjalnie do tego celu. Proces jest prosty i dostosowany do formy ataku, z jaką miałeś do czynienia. Poniższa tabela przedstawia konkretne kroki, jakie należy podjąć w zależności od sytuacji. Kluczowe jest, aby przekazać jak najwięcej szczegółów technicznych – w przypadku e-maili są to tzw. nagłówki, które zawierają informacje o serwerach, z których wiadomość została wysłana, a w przypadku stron WWW – ich pełny adres.

Rodzaj zagrożeniaGłówny kanał zgłoszeniaCo należy zrobić?
Podejrzany SMSNumer 8080 (CERT Polska)Przekaż (forward) całą wiadomość SMS na ten numer. Usługa jest bezpłatna u wszystkich polskich operatorów. To najszybszy sposób na zgłoszenie złośliwego linku rozsyłanego tą drogą.
Fałszywy e-mailFormularz na incydent.cert.plPrześlij pełną treść e-maila, najlepiej jako załącznik w formacie .eml lub .msg. Dzięki temu analitycy otrzymają kompletne nagłówki wiadomości, kluczowe do namierzenia źródła ataku.
Fałszywa strona WWWFormularz na incydent.cert.plWklej pełny adres URL fałszywej strony w odpowiednie pole formularza. Nie wchodź w żadne interakcje ze stroną, po prostu skopiuj jej adres.
Podejrzany telefon (vishing)Formularz na incydent.cert.pl oraz PolicjaZapisz numer dzwoniącego, datę i godzinę rozmowy. Opisz dokładnie przebieg rozmowy w formularzu CERT. Jeśli doszło do straty finansowej lub próby wyłudzenia danych wrażliwych, niezwłocznie zgłoś sprawę na najbliższym komisariacie Policji.

Oprócz zgłoszenia sprawy do CERT Polska, dobrą praktyką jest również poinformowanie samej instytucji, pod którą podszywają się oszuści. Zarówno Zakład Ubezpieczeń Społecznych, jak i Krajowa Administracja Skarbowa prowadzą działania informacyjne i chcą wiedzieć o kampaniach phishingowych wykorzystujących ich wizerunek. ZUS regularnie ostrzega ubezpieczonych przed fałszywymi wiadomościami e-mail i zachęca do zgłaszania takich przypadków . Informacje o próbach oszustw można przekazywać za pośrednictwem oficjalnych infolinii lub formularzy kontaktowych dostępnych na stronach zus.pl oraz podatki.gov.pl. Takie zgłoszenie pozwala instytucji na szybkie wydanie oficjalnego komunikatu i ostrzeżenie innych obywateli, co znacząco ogranicza zasięg ataku.

Skutki phishingu: Co grozi ofiarom i jak minimalizować ryzyko?

Padnięcie ofiarą phishingu to nie tylko chwilowy stres czy niedogodność. To otwarcie drzwi do serii poważnych zagrożeń, które mogą mieć długofalowe i dotkliwe konsekwencje. Skutki udanego ataku wykraczają daleko poza utratę hasła do jednego serwisu, tworząc efekt domina, który może zdestabilizować nasze finanse i cyfrową tożsamość. Celem oszustów jest bowiem zarówno bezpośrednie wyłudzenie środków finansowych 1, jak i pozyskanie danych, które posłużą do dalszych, bardziej zaawansowanych działań przestępczych. Zrozumienie pełnego spektrum zagrożeń jest pierwszym krokiem do skutecznej ochrony.

Najpoważniejsze konsekwencje udanego ataku phishingowego można podzielić na kilka kategorii, z których każda stanowi realne zagrożenie:

  • Bezpośrednia kradzież pieniędzy: To najbardziej oczywisty skutek. Oszuści, podszywając się pod ZUS czy Urząd Skarbowy, mogą skłonić ofiarę do przelania pieniędzy na fałszywe konto pod pretekstem niedopłaty składek, podatku czy konieczności uiszczenia opłaty za rzekomy dokument. Mogą również wyłudzić dane logowania do bankowości elektronicznej i samodzielnie wyczyścić konto.
  • Kradzież danych osobowych i przejęcie kont: Udany atak często prowadzi do kradzieży danych logowania do PUE ZUS, e-Urzędu Skarbowego czy Profilu Zaufanego 2. Daje to przestępcom dostęp do niezwykle wrażliwych informacji: numeru PESEL, NIP, adresu, informacji o dochodach, składkach czy stanie zdrowia. Te dane mogą zostać sprzedane na czarnym rynku lub wykorzystane do kolejnych oszustw.
  • Kradzież tożsamości: To najgroźniejszy scenariusz. Posiadając komplet naszych danych, przestępca może próbować się pod nas podszyć. Może w naszym imieniu zaciągać pożyczki i kredyty (tzw. „chwilówki”), kupować drogie towary na raty, a nawet zakładać firmy wykorzystywane do prania brudnych pieniędzy. Udowodnienie, że to nie my staliśmy za tymi działaniami, jest procesem długim, kosztownym i niezwykle stresującym.

Chociaż zagrożenia są poważne, możemy znacząco zminimalizować ryzyko, stosując się do fundamentalnych zasad cyfrowego bezpieczeństwa. Nie są to skomplikowane technicznie operacje, a raczej zbiór dobrych nawyków, które powinny stać się naszą drugą naturą. Kluczem jest proaktywna postawa i budowanie wielowarstwowej obrony, która utrudni zadanie cyberprzestępcom, nawet jeśli jeden z mechanizmów zawiedzie.

Zasada OchronyNa czym polega?Praktyczny przykład
Silne i unikalne hasłaStosowanie długich haseł (min. 12-14 znaków) z kombinacją małych i wielkich liter, cyfr i znaków specjalnych. Co najważniejsze, każde konto musi mieć inne hasło.Zamiast hasła Ania123! użyj Moje$ilneHa$loDoZUS!2024. Aby zarządzać unikalnymi hasłami do dziesiątek serwisów, skorzystaj z menedżera haseł (np. Bitwarden, 1Password).
Uwierzytelnianie dwuskładnikowe (2FA)Dodatkowa warstwa zabezpieczeń obok hasła. Po wpisaniu hasła system prosi o podanie jednorazowego kodu z aplikacji na telefonie, SMS-a lub potwierdzenie logowania w aplikacji mobilnej.Włącz 2FA dla swojego Profilu Zaufanego i konta bankowego. Nawet jeśli ktoś ukradnie Twoje hasło, nie zaloguje się bez fizycznego dostępu do Twojego telefonu.
Regularne aktualizacjeUtrzymywanie systemu operacyjnego (Windows, macOS), przeglądarki internetowej i programu antywirusowego w najnowszej wersji. Aktualizacje często zawierają poprawki krytycznych luk bezpieczeństwa.Włącz automatyczne aktualizacje w ustawieniach systemu i przeglądarki. Dzięki temu zabezpieczenia będą instalowane na bieżąco, bez Twojej ingerencji.
Zasada ograniczonego zaufaniaTraktowanie każdej nieoczekiwanej wiadomości e-mail, SMS czy telefonu z dozą sceptycyzmu. Nigdy nie klikaj w linki i nie otwieraj załączników bez weryfikacji.Otrzymałeś e-mail o niedopłacie w ZUS? Nie klikaj w link. Zamiast tego ręcznie wpisz w przeglądarce adres zus.pl, zaloguj się na swoje konto PUE i tam sprawdź stan rozliczeń.

Ostatecznie najsilniejszym ogniwem w łańcuchu bezpieczeństwa jesteś Ty. Żadne narzędzie technologiczne nie zastąpi zdrowego rozsądku, czujności i ciągłej edukacji. Regularne odświeżanie wiedzy na temat nowych metod oszustów i świadome stosowanie powyższych zasad to najlepsza inwestycja w ochronę Twoich danych i finansów w cyfrowym świecie.

Profil Zaufany a bezpieczeństwo danych: Jak chronić swoje cyfrowe ‘ja’?

Profil Zaufany to znacznie więcej niż tylko login i hasło do serwisów administracji publicznej. To Twój cyfrowy podpis, narzędzie uwierzytelniające, które potwierdza Twoją tożsamość w internecie. Umożliwia załatwienie setek spraw urzędowych bez wychodzenia z domu – od złożenia wniosku o świadczenie w ZUS, przez rozliczenie podatków w e-Urzędzie Skarbowym, po dostęp do danych medycznych w Internetowym Koncie Pacjenta (IKP). Właśnie ta wszechstronność sprawia, że Profil Zaufany stał się jednym z najcenniejszych celów dla cyberprzestępców. Jest on cyfrową bramą do Twoich najbardziej wrażliwych danych rządowych, w tym tych gromadzonych przez ZUS 9. Przejęcie go jest dla oszusta jak zdobycie klucza uniwersalnego do Twojego życia cyfrowego i finansowego.

Skutki przejęcia kontroli nad Profilem Zaufanym mogą być katastrofalne. Atakujący, który zdobędzie Twoje dane logowania, uzyskuje dostęp do wszystkich usług, z którymi jest on zintegrowany. Phishing ukierunkowany na Profil Zaufany może prowadzić do całkowitego przejęcia kontroli nad danymi w ZUS i innych kluczowych usługach rządowych . W praktyce oznacza to, że oszust może w Twoim imieniu: złożyć wniosek o zmianę numeru konta bankowego, na które wpływają świadczenia z ZUS, pobrać Twoje dane z systemu podatkowego w celu kradzieży tożsamości, a nawet założyć na Ciebie działalność gospodarczą w CEIDG, by wykorzystać ją do dalszych oszustw lub wyłudzenia kredytów. To nie jest już tylko ryzyko utraty pieniędzy, ale groźba kompletnego chaosu w Twoich sprawach urzędowych i finansowych.

Ochrona Profilu Zaufanego wymaga świadomego działania i wdrożenia kilku kluczowych zasad bezpieczeństwa. Podstawą jest unikalne i silne hasło. Zapomnij o prostych kombinacjach i danych osobowych. Dobre hasło powinno mieć co najmniej 14 znaków i być skomplikowaną mieszanką wielkich i małych liter, cyfr oraz symboli specjalnych (np. !@#$%^&*). Ponieważ zapamiętanie takiego ciągu znaków jest trudne, najlepszym rozwiązaniem jest korzystanie z menedżera haseł. To program, który bezpiecznie generuje i przechowuje unikalne hasła do każdego serwisu, a Ty musisz pamiętać tylko jedno, główne hasło do samej aplikacji. Nigdy nie używaj tego samego hasła do Profilu Zaufanego i innych, mniej istotnych kont, jak portale społecznościowe czy sklepy internetowe.

Najważniejszym elementem zabezpieczającym Twój Profil Zaufany jest jednak weryfikacja dwuetapowa (nazywana też uwierzytelnianiem dwuskładnikowym lub 2FA). To dodatkowa warstwa ochrony, która sprawia, że nawet jeśli ktoś ukradnie Twoje hasło, nie będzie w stanie zalogować się na Twoje konto. Podczas logowania, oprócz hasła, system poprosi o podanie jednorazowego kodu, który otrzymasz SMS-em na swój telefon lub który wygenerujesz w aplikacji mobilnej mObywatel. Włączenie tej funkcji jest absolutnie kluczowe. To tak, jakbyś do drzwi swojego cyfrowego domu, oprócz zamka na klucz (hasło), dołożył solidny rygiel (kod 2FA), do którego dostęp masz tylko Ty.

Regularne monitorowanie aktywności na koncie to kolejny dobry nawyk, który pozwala szybko wykryć nieprawidłowości. System Profilu Zaufanego rejestruje historię Twojej aktywności, w tym daty i godziny logowań oraz operacje, które były autoryzowane. Warto co jakiś czas tam zaglądać, aby upewnić się, że wszystkie działania były wykonane przez Ciebie.

Jak sprawdzić historię aktywności w Profilu Zaufanym krok po kroku:

  1. Zaloguj się na stronie pz.gov.pl.
  2. W prawym górnym rogu rozwiń menu pod swoim imieniem i nazwiskiem.
  3. Wybierz opcję „Mój profil zaufany”.
  4. W menu po lewej stronie znajdź i kliknij sekcję „Historia działań”.
  5. Dokładnie przejrzyj listę operacji. Zwróć szczególną uwagę na logowania lub podpisywane dokumenty, których nie rozpoznajesz. Każde podejrzane działanie powinno być natychmiastowym sygnałem do zmiany hasła i zgłoszenia incydentu.

FAQ: Najczęściej zadawane pytania dotyczące phishingu na instytucje publiczne

W tej sekcji zebraliśmy odpowiedzi na najczęściej pojawiające się pytania i wątpliwości związane z próbami oszustw na ZUS, KAS i e-Urząd Skarbowy. To esencja wiedzy, która pomoże Ci szybko ocenić sytuację i podjąć właściwe kroki.

Czy ZUS lub Urząd Skarbowy wysyła e-maile z linkami lub załącznikami?

Instytucje publiczne, takie jak ZUS czy KAS, z zasady unikają wysyłania w wiadomościach e-mail bezpośrednich linków prowadzących do stron logowania czy załączników wymagających natychmiastowego otwarcia. Zamiast tego, w oficjalnej korespondencji najczęściej znajdziesz informację, że nowy dokument lub wiadomość czeka na Ciebie po zalogowaniu się na Twoje konto w oficjalnym serwisie (np. PUE ZUS, e-Urząd Skarbowy). Oszuści często wykorzystują pretekst konieczności „zaktualizowania dokumentu” 4, aby w fałszywym e-mailu przemycić złośliwe oprogramowanie 5.

Jeśli podałeś swoje dane logowania na stronie phishingowej, musisz działać natychmiast. Po pierwsze, zmień hasło do serwisu, do którego dane wyciekły (np. Profilu Zaufanego), a także we wszystkich innych miejscach, gdzie używałeś tego samego hasła. Po drugie, jeśli podałeś dane karty płatniczej, niezwłocznie skontaktuj się z bankiem w celu jej zablokowania. Kradzież danych logowania do Profilu Zaufanego jest szczególnie groźna, ponieważ może prowadzić do przejęcia kontroli nad Twoimi danymi w wielu systemach rządowych .

Czy pracownik ZUS może zadzwonić i prosić o podanie hasła do PUE ZUS lub Profilu Zaufanego?

Absolutnie nie. Żaden prawdziwy pracownik ZUS, urzędu skarbowego ani jakiejkolwiek innej instytucji publicznej nigdy nie poprosi Cię telefonicznie o podanie hasła, kodu PIN czy innych poufnych danych logowania. Taka prośba to stuprocentowy sygnał alarmowy, że masz do czynienia z oszustem stosującym vishing 8, czyli phishing głosowy. Przestępcy wykorzystują w ten sposób zaufanie, jakim darzymy instytucje państwowe, aby wyłudzić dostęp do naszych kont 10.

Dostałem SMS-a o konieczności dopłaty do składki ZUS. Czy to może być prawda?

Zachowaj najwyższą ostrożność, ponieważ jest to jeden z najpopularniejszych scenariuszy oszustw. Cyberprzestępcy masowo wysyłają fałszywe wiadomości SMS (tzw. smishing) z informacją o rzekomej niedopłacie i linkiem do szybkiej płatności, aby wyłudzić Twoje dane i pieniądze . Pamiętaj, że ZUS czy KAS bardzo rzadko komunikują się w sprawach finansowych przez SMS, a już na pewno nie wysyłają w ten sposób linków do płatności. Zawsze weryfikuj stan swoich zobowiązań, logując się bezpośrednio na swoje konto w oficjalnym portalu instytucji.

Jak mogę szybko sprawdzić, czy wiadomość od urzędu jest autentyczna?

Najbezpieczniejszą metodą jest zignorowanie linków i załączników w otrzymanej wiadomości i samodzielna weryfikacja. Wejdź na oficjalną stronę internetową danej instytucji (np. zus.pl, podatki.gov.pl), wpisując jej adres ręcznie w pasku przeglądarki, a następnie zaloguj się na swoje konto. Jeśli instytucja faktycznie chciała się z Tobą skontaktować, odpowiednia informacja lub dokument będą tam na Ciebie czekać. W razie wątpliwości możesz też zadzwonić na oficjalną infolinię urzędu, której numer znajdziesz na jego stronie internetowej.

Na jakie nowe metody oszustów podszywających się pod ZUS należy uważać?

Przestępcy stale modyfikują swoje techniki. Coraz częściej stosują ataki wielokanałowe: najpierw dzwonią, podając się za pracownika ZUS, by zbudować zaufanie, a następnie wysyłają SMS z prośbą o wpłatę pieniędzy na wskazane konto . Uważaj również na fałszywe oferty dołączenia do rzekomo gwarantowanych przez ZUS, bardzo zyskownych programów emerytalnych oraz na próby wyłudzenia pieniędzy poprzez wysyłanie fałszywych pism o zmianie numeru rachunku bankowego do wpłat składek .

Źródła

Zobacz też

Footnotes

  1. corroborating — https://kadry.infor.pl/zus/informacje-ogolne/7052525,ostrzezenie-zus-przed-oszustami-wyglada-jak-oficjalna-korespondencja.html 2

  2. corroborating — https://bizblog.spidersweb.pl/dzien-dobry-dzwonie-z-zus-oszusci-znow-w-akcji 2 3 4

  3. corroborating — https://businessinsider.com.pl/finanse/ostrzezenie-dla-klientow-pzu-oszusci-maja-sprytny-sposob/ctd0xtm 2

  4. pillar — https://www.rynekzdrowia.pl/Polska-i-swiat/CERT-Polska-ostrzega-to-nie-wazny-dokument-od-ZUS-u-Ujawniono-phishing,275817,15.html 2 3

  5. corroborating — https://www.rynekzdrowia.pl/Polska-i-swiat/CERT-Polska-ostrzega-to-nie-wazny-dokument-od-ZUS-u-Ujawniono-phishing,275817,15.html 2 3 4

  6. corroborating — https://gk24.pl/uwaga-nowa-metoda-oszustwa-na-zus-namawiaja-do-przystapienia-do-programu-emerytalnego-14-06-26/ar/c1p2-28950757 2

  7. corroborating — https://www.dobreprogramy.pl/falszywy-sms-oszusci-podszywaja-sie-pod-zus,7276224098445664a 2 3

  8. corroborating — https://www.bankier.pl/wiadomosc/Oszukuja-poszkodowanych-przez-Zondacrypto-i-kusza-wyzsza-emerytura-Nowe-scamy-9127127.html 2 3 4 5

  9. corroborating — https://www.fakt.pl/pieniadze/zus-rozeslal-wazne-pisma-domaga-sie-zwrotu-pieniedzy-trzeba-to-przeczytac/8sfwwrn 2

  10. corroborating — https://lock.pub/pl/blog/profil-zaufany-phishing 2