20:52
15/12/2022

Ktoś podszywa się pod Krajową Administrację Skarbową i robi to całkiem nieźle. Oto jak wyglądają e-maile, które spływają właśnie na skrzynki Polaków:

Od: Krajowa Administracja Skarbowa zwrot-polska@administracjaskarbowa[.]com
Temat: Administracja podatkowa RP pozytywnie rozpatrzyła Twój wniosek o zwrot podatku
Dw: Krajowa Administracja Skarbowa zwrot-polska@administracjaskarbowa[.]com

Drogi obywatelu Polski,
Z wdzięcznością informujemy, że Państwa wniosek o zwrot zapłaconego podatku został pozytywnie rozpatrzony przez Administrację Podatkową RP.
Użyj następujących opcji, aby wypłacić:
hxxps://zwrot-polska.administracjaskarbowa[.]com/?ID=580644
Twoje tymczasowe hasło: 580644.
Ze względów bezpieczeństwa Twoje hasło wygaśnie za 24 godziny, a dostęp do konta podatkowego będziesz mieć wyłącznie na urządzeniu mobilnym.
Z poważaniem,
polski urząd skarbowy

Po kliknięciu w link ofiara zostaje przekierowana na adres:

hxxps://puesc-gov.web[.]app/Bezpieczne?AC=580644

I widzi następującą stronę:

Na podstawie śladów w kodzie źródłowym stawiamy hipotezę, że celem atakujących jest kradzież pieniędzy z rachunku bankowego ofiary. Kolejne kroki tego ataku mogą wyglądać tak:

Przestępcy zbierają informacje, które mogą im posłużyć do podpięcia się pod rachunek bankowy ofiary, a następnie wysyłają je przez API Telegrama. Oto jakie dane są w stanie pozyskać od ofiar:

- PESEL
- nazwisko panieńskie matki
- numer telefonu
- dane dostępowe do banku

Domena wykorzystana do ataku została zarejestrowana dziś o 15 i wskazuje na adres 81.19.159.90 / 81.19.149.36

Aktualizacja (16.12.2022 14:36)
Dziś od ok. godziny 13:00 rozsyłana jest druga kampania w wykonaniu tego złodzieja. Tekst został lekko poprawiony, a używana do wysłania e-maila domena to:
KAS Podatki wycofanie@kas-polska[.]com
hxxps://kas-gov.web[.]app/Podsumowanie_zwrotu_podatku?TAX=658044

Dostałem tę wiadomość — co robić, jak żyć?

Jeśli nie kliknąłeś w linka, zignoruj wiadomość. Jeśli kliknąłeś w linka i niczego nie wpisałeś na stronie oszustów, nic Ci nie grozi. Ale jeśli wprowadziłeś jakieś dane, jak najszybciej zadzwoń do swojego banku i powiadom ich o tym.

Ostrzeż też swoich nietechnicznych znajomych przed tym atakiem. Możesz przesłać im linka do tego artykułu.

Dowiedz się o takich atakach jako pierwszy!

Ze względu na nowy pretekst wykorzystany do ataku rozpoczęliśmy wysyłkę ostrzeżeń w formie powiadomień na smartfony użytkowników naszej darmowej aplikacji mobilnej CyberAlerty. Nasza aplikacja nie wymaga rejestracji i jedyne co robi, to ostrzega przed atakami, o tak:

Jeśli jeszcze jej nie masz, to pobierz ją na Androida lub iPhona, klikając tutaj.

Dziękujemy wszystkim, którzy przesłali nam informacje o tym ataku. To dzięki Wam możemy ostrzegać innych ❤️ Widzisz coś niepokojącego? Daj nam znać na redakcja@niebezpiecznik.pl


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

31 komentarzy

Dodaj komentarz
  1. “Drogi obywatelu Polski”, od kiedy tak KAS się zwraca do patenta… od razu czuć, że to scam ;-)

    • “Witaj współmieszkańcu planety Ziemia (Sol). Prześlij kody dostępowe do swojego ziemskiego konta finansowego.”

    • Żeby uchronić się przed tym atakiem wystarczyło uważać na WOS-ie – nie jestem obywatelem żadnej Polski, jestem obywatelem Rzeczypospolitej.

  2. Pisal to ktos kto nie ma pojecia jak sie pisze urzedowe pisma. To wypociny oszoloma po 8 klasach szkoly podstawowej.

  3. Slabe to. Język polski w treści pokaleczony, więc widać, że źródło w zagranicy jest. Raz administracja skarbowa, w temacie podatkowa, więc tu też nieznajomość pojęć. W grudniu zwrot podatku, podejrzane. Plus jeśli trzymać się , że jest to jakaś decyzja administracyjna organu to jakaś podstawa prawna postępowania by się przydała i imię i nazwisko urzędnika, który decyzję wydaje.

    • Lepiej niepodrzucaj tu pomyslow “jak przestepcy powinni usprawnic atak” bo zaraz komentarz zostanie usuniety, wiem z autopsji.

  4. Dobra dobra – KAS wam zapłacił, żebyśmy tych emaili nie otwierali i nie dostali tego zwrotu.

    • Przyznaję Ci I miejsce w kategorii Najlepszy Komentarz Roku. Albo Ever. Możesz wybrać.
      Ale jeśli to prawda?

    • Trafna uwaga! :D

    • Kolejny geniusz… A kto Tobie płaci za pisanie takich farmazonów?

  5. “Drogi obywatelu […] Z wdzięcznością informujemy, że Państwa wniosek o zwrot zapłaconego podatku został pozytywnie rozpatrzony […]”

    Szanuję za piękny styl i poprawną polszczyznę. Jednak nie oszukujmy się, będąc zmęczonym i na grubej bani, na takiej że by mi literki uciekały z monitora, to po przeczytaniu tego zdania i tak bym się nie nabrał. Myślę, że osoby które w to kliknęły, mogłyby równocześnie dobrze kliknąć w “darmowa kupa”, czy podobną “wspaniałą ofertę”. Także chętnych chyba wielu nie było.

  6. Klika się w link, nie w linka… Litości dla polszczyzny!

    • Bo akurat tu polszczyzna najważniejsza… Litości dla takich komentarzy…

    • Klika się w odnośnik! Litości dla polszczyzny. ;)

    • @ewa – właśnie polszczyzna jest tu kluczem. Dlatego tacy jak Ty się nabierają, bo nie zwracają uwagi na takie właśnie niuanse demaskujące scam.

  7. Mam aplikacje cyber alerty ale nie dostałem wczoraj tego alertu. Pytanie dlaczego?

    • To dobre pytanie, a odpowiedź to zapewne w uogólnieniu: “masz Androida” a w uszczegółowieniu:
      1. daj znać jaka wersja Andka
      2. jaką wersją naszej aplikacji
      3. jaką dokładnie masz słuchawkę

      Sprawdź ustawienia powiadomień – te w systemie i te w aplikacji po kliknięciu na zębatkę w prawym górnym rogu. Większość problemów rozwiązuje reinstalacja aplikacji i aktywowanie powiadomień jeszcze raz, upewniając się, że aktywacji dokonuje się z urządzenia, które na którym nie działają jakieś aplikacje do filtrowania ruchu (custom DNS, VPN-y z modułami DPI, etc.).

  8. Dzisiejsza wersja już przeredagowana i zdecydowanie bardziej urzędowa. Również zmienione czcionki i formatowanie.

  9. Wiedza jest ostrzem obusiecznym. Ktoś może ja wykorzystać w niecny albo cnotliwy sposób.

  10. Gdyby było “drogi Suwerenie”, to bym połknął.

  11. Hej, z dzisiaj mail z domeny vat-poland[dot]com

  12. —–BEGIN PGP SIGNED MESSAGE—–
    Hash: SHA512

    Piotrek, chce Ci się o nas pisać, z nami walczyć? i tak zawsze jesteśmy krok przed Wami i milicją…..Uciekam do melonowa. Wolność ludziom i złodziejom x)
    —–BEGIN PGP SIGNATURE—–
    Version: GnuPG v1

    iQIcBAEBCgAGBQJjnfYAAAoJEJRsh3L5q2KY6I8P/i6EX6JHV/0MTzlTAdREoRCG
    q8g38olzkSHm7VCq45iOWcBrZ4psZCut87mwS9T5xXRJuyBDrZlrmP11w1WDGTjU
    0f+0caxwZAUwU6mUjESf/B5jPt58ONBo3kYswvLrZ6EXboZaDWgO9jOZd/rUUFJO
    6VoWRIWo+LPWwLFXaoQSF+6SKxac5Mo2mcYxIEcie4JcqQIL6KruP3Bh5JkuyVDN
    1UjfzdNL5ar+LgJBpZ9QRgLnT8+LyWRs25/WMnweijKzCLrQact3uM+NrBJOGfkG
    XfHrD+tQHQjvZowstCBT9U3dJDuvJ741z6uwJiT9wJcbAZTh35WGAB03B8/DQuah
    3p4svLwJS/qNC/Xjq5iVutXBgJi2gEgsqFXrPhcAVH2T0+YT5X0y5ipTt1yOEKlL
    gYjjgddE7Y1oDc+Y7DWs1EBPlmZZEeHKBkxD3xXmwSXsKUGKldtWcIGir6ypHD2x
    T1sPSMcAeiTNIG6yaDcQ3BbluMTZd2/TedwCRovgqxVSCEzl1OBo9EjmuLHZCIgC
    S5/irJrr4CT7dMufGdJyxynuw3Gx1C5LeEvaqRMNmvO4RuBPXvv5i2f7JeoEaWjt
    rO+85P8YDMJxAF0zLSPDUKVknMPaFwZAqHRU8acrAIf0bJaKkRYhDLWapC5Srqxq
    iKBcazgnoRoz66G4dwxC
    =ZIQJ
    —–END PGP SIGNATURE—–

    • Obyś trafił na sobie podobnego lub z drzazgą w przyrodzeniu chodził do końca życia.

    • Albo zanim ta drzazga wejdzie, to weź powiedz czemu robisz coś takiego? Większość takich ziomeczków wpada, bo prędzej czy później popełniają błąd. Jeden niewielki błąd. I gniją w pierdlu. Na serio myślisz, że akurat Ty będziesz lepszy? Cz po prostu masz to gdzieś, bo zrobisz wszystko dla adrenaliny i sławy wśród innych piwniczaków?
      Nie próbowałeś jakoś uczciwie zarabiać?

  13. W dalszym ciągu nie widzę jak przestępca mógłby pozyskane dane wykorzystać. Pójdzie z nimi do banku? Na “Dzień Dobry” zażądają od niego dowodu osobistego. Będzie próbował dostać się przez infolinię? Tam odrazu dzwonią na kontaktowy numer telefonu, który ma oryginalny posiadacz. Pozatym część ludzi ma wyłączony serwis telefoniczny (czyli dostęp do konta tylko przez internet lub osobiście w banku). Nie mówiąc o tym że wszelkie operacje na koncie natychmiast zobaczy oryginalny właściciel w swojej apce bankowej.

  14. Za dużo uprzejmości. KAS się tak nie … ten, no … nie wyraża.

  15. Dostałam ten scam. Nie nabrałam się ostatecznie, ale było blisko i myślę, że gdybym go dostała w momencie, kiedy rzeczywiście czekam na zwrot podatku, mogłoby być różnie.

    • @Dorota – a sformułowanie, że KAS z *wdzięcznością* odda Ci kasę nie wzbudziło podejrzeń? :)

  16. Dziś dostałem analogiczny scam, przy czym:

    – mail jest z adresu refundacja@puesc-pl[.]eu
    – link jest zakodowany w QRkodzie i prowadzi do strony hxxps://gov-puesc-2f0a8.web[.]app/Bezpieczne
    – polszczyzna nie razi na pierwszy rzut oka.

  17. Kolejna wersja od PUESC Polska się pojawiła
    Potwierdzenie zatwierdzonego wniosku o zwrot podatku za okres od stycznia 2023 do marca 2023

  18. U mnie podeszli baardzo sprytnie – żadnego linka tylko QR-code z linkiem więc nie widać od razu phishipna ale liunk kierujący to jakiś podobny do wyżej opisanych http:///…../Bezpieczne

Odpowiadasz na komentarz Andrzej

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: