Bezpieczeństwo

Rozliczasz e-PIT – uważaj, gdzie się logujesz

Michał Rosiak Michał Rosiak
13 lutego 2026
Rozliczasz e-PIT – uważaj, gdzie się logujesz

Jestem ostatnim człowiekiem, który chwaliłby sieciowych oszustów, nie sposób jednak nie przyznać, że potrafią wstrzelić się w trendy. Choć z drugiej strony wyzwanie nie jest duże - połowa lutego to od lat czas, w którym Urząd Skarbowy zaczyna nam rozliczać e-PIT. Nic dziwnego, że właśnie teraz oszuści zaczynają wysyłać phishingowe SMS-y.

Podszycie się pod korespondencję państwową to jedna z potencjalnie najbardziej efektywnych socjotechnicznych sztuczek. SMS-y z nadpisy przypominającego GOV lub nazwy ministerstw? A może "wiadomość od komornika"? Wszystko, co po kliknięciu przenosi nas na stronę opatrzoną godłem Rzeczypospolitej Polski ma zrobić duże wrażenie na ofierze.

Rząd jest Ci winien pieniądze...

Brzmi poważnie? Z jednej strony, ktokolwiek, kto miał do czynienia z korespondencją z organów państwowych i zastanowili się chwilę nad treścią strony - zauważy, że to piramidalna bzdura.

Rząd Polski jest Ci winien pieniądze

Przecież nikt tak nie pisze! Z drugiej strony - witryna, którą widzimy, utrzymana jest w stylistyce znanej z serwisów rządowych. Dla wielu internautów, którzy wciąż nie mają w zwyczaju sprawdzać adresu strony, na której wpisują swoje wrażliwe dane - fakt, że "wygląda jak rządowe" wystarczy. Warto też spojrzeć na treść SMS-ów, które mają nas zaprowadzić do docelowej witryny oszustów:

Ktoś ma dla nas pieniądze? Nadpłaciliśmy i czeka nas tylko bezpieczny-zwrot-podatku?

Oszust chce Ci zabrać pieniądze

Nie ulega wątpliwości, że na część Polaków pieniądze faktycznie będą czekać. Ale nie w ten sposób, i dopiero za dwa dni. Co się stanie, jeśli jednak pójdziemy drogą podaną nam przez oszustów:

  • pod pozorem potwierdzenia tożsamości będziemy poproszeni o wybór naszego banku;
  • zostaniemy przekierowani na fałszywą kopię jego strony;
  • po wpisaniu loginu i hasła zobaczymy monit o podanie kodu SMS, który wyśle nam bank;
  • oszust niezwłocznie przeleje nasze pieniądze na konto "słupa".

A jak wygląda faktyczny proces sprawdzenia, czy należy nam się zwrot podatku:

  • najwcześniej 15 lutego logujemy się na stronie https://epit.podatki.gov.pl/;
  • upewniamy się, czy logując się do niej jesteśmy przekierowywani na serwis https://login.gov.pl/;
  • sprawdzamy i zatwierdzamy nasze zeznanie podatkowe;
  • jeśli należy nam się zwrot nadpłaty: uzupełniamy dane naszego konta jeśli to potrzebne i czekamy na pieniądze.

W procesie zwrotu nadpłaty nie jest wymagane logowanie się do banku.

Jeśli chcecie przyjrzeć się dokładniejszej analizie opisywanej kampanii phishingowej - zapraszam na stronę CERT Orange Polska. A jak chcecie, by takie alerty trafiały od Was jak najszybciej - polecam instalację aplikacji Mój Orange i włączenie powiadomień push.

Scroll to Top