Krajowa Administracja Skarbowa opublikowała oficjalne ostrzeżenie: nieznani sprawcy rozsyłają fałszywe wiadomości e-mail, w których podszywają się pod KAS i nakłaniają odbiorców do kliknięcia w niebezpieczne linki. Cel jest jeden – wyłudzenie danych osobowych i podatkowych.
Jak wygląda fałszywa wiadomość?
Schemat działania oszustów jest prosty, ale skuteczny. Wiadomość pojawia się w skrzynce odbiorczej jako pozornie urzędowe powiadomienie. Przykładowy fałszywy mail opisany w komunikacie KAS nosi tytuł „Powiadomienie urzędowe – 23/03/2026″, a w jego nagłówku widoczny jest link oznaczony jako gov.pl oraz opis „Serwis Podatkowy”. Treść informuje odbiorcę, że „w systemie administracji skarbowej odnotowano dane wymagające weryfikacji i należy zalogować się do profilu podatkowego”. W wiadomości umieszczony jest czerwony przycisk z napisem „Przejdź do systemu podatkowego”.
Wiadomość zawiera też informację o rzekomym nadawcy – Krajowej Administracji Skarbowej – oraz adnotację o „automatycznym wygenerowaniu wiadomości”. To elementy celowo budujące zaufanie i wrażenie oficjalnego kontaktu z urzędem.
Co chcą osiągnąć sprawcy?
Mechanizm ataku to klasyczny phishing. Kliknięcie w link prowadzi do fałszywej strony, która imituje serwis administracji publicznej. Tam ofiara jest proszona o podanie danych – mogą to być dane logowania, numer PESEL, NIP lub inne informacje wrażliwe. Pozyskane w ten sposób dane mogą posłużyć do kradzieży tożsamości, wyłudzeń finansowych lub przejęcia dostępu do usług elektronicznych.
Jak precyzuje KAS w oficjalnym komunikacie: „Wysyłają oni wiadomości e-mail, w których nakłaniają do kliknięcia w niebezpieczne linki w celu potwierdzenia danych podatkowych i uniknięcia ewentualnych ograniczeń w dostępie do usług elektronicznych. Jest to próba wyłudzenia informacji.”
Jak się chronić?
Krajowa Administracja Skarbowa jasno wskazuje, jak postępować w przypadku otrzymania podejrzanej wiadomości. Przede wszystkim należy zachować czujność i pamiętać o podstawowej zasadzie bezpieczeństwa cyfrowego: nie klikać w linki z nieznanych lub nieoczekiwanych wiadomości.
KAS apeluje: „Pamiętaj, aby nigdy nie podawać nikomu poufnych informacji, zwłaszcza po otrzymaniu podejrzanych wiadomości e-mail czy SMS zawierających prośbę o udostępnienie danych.”
Jeżeli w skrzynce pojawi się wiadomość budząca jakiekolwiek wątpliwości co do jej autentyczności – albo gdy ktoś zadzwoni, podając się za pracownika urzędu skarbowego i żądając wrażliwych informacji – KAS zaleca kontakt z infolinią pod numerem 22 330 03 30 lub z najbliższym urzędem skarbowym.
Gdzie zgłosić incydent?
Poza bezpośrednim kontaktem z KAS, istnieje dedykowana platforma do zgłaszania zagrożeń w sieci. KAS zachęca do korzystania z platformy CERT (incydent.cert.pl), która służy do zgłaszania wszelkich incydentów w zakresie cyberbezpieczeństwa. Zgłoszenie pozwala na szybsze reagowanie służb i ograniczenie zasięgu kampanii phishingowej.
Urzędy skarbowe nie proszą o dane przez e-mail
Warto zapamiętać jedną podstawową zasadę: organy administracji podatkowej, w tym KAS i podległe jej urzędy skarbowe, nie wysyłają wiadomości e-mail z prośbą o potwierdzenie danych osobowych lub podatkowych przez kliknięcie w link. Wszelkie formalne wezwania do złożenia wyjaśnień lub uzupełnienia dokumentów są kierowane oficjalną drogą – listem poleconym lub za pośrednictwem platformy ePUAP.
W razie jakichkolwiek wątpliwości dotyczących korespondencji rzekomo pochodzącej od administracji skarbowej, zawsze warto zweryfikować jej autentyczność przed podjęciem jakichkolwiek działań.
Źródła
- Krajowa Administracja Skarbowa / gov.pl, komunikat z 24.03.2026: UWAGA: Oszuści podszywają się pod KAS i żądają potwierdzenia danych podatkowych – https://www.gov.pl/web/kas/uwaga-oszusci-podszywaja-sie-pod-kas-i-zadaja-potwierdzenia-danych-podatkowych
- CERT Polska – platforma zgłaszania incydentów cyberbezpieczeństwa: https://incydent.cert.pl/
