hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
28 maja 2026 15:01
(Aktualizacja: 29 maja 2026 15:26)

[AKTUALIZACJA] Zatwierdź zwrot podatku w systemie PUESC – to oszustwo!

Mateusz Ossowski
Alert! phishing
Dodaj do ulubionych źródeł w Google

Przestępcy korzystają z trwającego okresu zwracania nadpłaty podatku aby prowadzić kampanie phishingowe. W fałszywych wiadomościach e-mail podszywają się pod administrację skarbową, by wyłudzić dane osobowe, numer PESEL, dane karty płatniczej, a nawet dostęp do bankowości.

Taki przykład wykrył jeden z analityków CERT Orange Polska – Mateusz Jaworski. Złośliwa domena jak została już zablokowana w Cybertarczy Orange.

Jak działa oszustwo na zwrot podatku?

Oszuści rozsyłają e-maile, wykorzystując metodę spoofingu. Ta technika pozwala na podszywanie się pod nadawcę. W efekcie ofiara w polu nadawcy zobaczy „hanna@podatki[.]gov.pl” mimo, że wiadomość nie pochodzi od tego nadawcy.

Temat wiadomości brzmi „PILNE: Zatwierdź zwrot podatku w systemie PUESC {Noreply} #722423155”.

Słowo „PILNE”, indywidualny numer sprawy i pozornie wiarygodny adres nadawcy mają skłonić odbiorcę do szybkiego działania i przede wszystkim uśpić czujność.

Treść maila wyłudzającego dostęp: Szanowna Pani / Sza​nowny Panie, Na podstawie art. 75 § 2 Ordynacji podatkowej, po dokonaniu rocznego rozliczenia podatku dochodowego za rok 2025, w Pani/Pana sprawie stwierdzono nadpłatę podlegającą zwrotowi. Zgodnie z przepisami, wypłata środków nastąpi wyłącznie po potwierdzeniu numeru rachunku bankowego w systemie e-Urząd Skarbowy.
Screen maila podszywającego się pod Krajową Administrację Skarbową.

Szanowna Pani / Sza​nowny Panie,

Na podstawie art. 75 § 2 Ordynacji podatkowej, po dokonaniu rocznego rozliczenia podatku dochodowego za rok 2025, w Pani/Pana sprawie stwierdzono nadpłatę podlegającą zwrotowi. Zgodnie z przepisami, wypłata środków nastąpi wyłącznie po potwierdzeniu numeru rachunku bankowego w systemie e-Urząd Skarbowy.

Co się dzieje po kliknięciu w przycisk „PRZEJDŹ DO E-URZĘDU SKARBOWEGO”?

Link prowadzi do adresu: f3n.podagov[.]com/home/jm93h98sf8b/?id=797917369.

To fałszywa strona podszywająca się pod serwis podatki.gov.pl. Po wejściu na stronę ofiara przechodzi przez kolejne etapy rzekomej „weryfikacji”:
1. podania numeru PESEL,
2. wpisania „numeru podatkowego” i hasła,
3. uzupełnienie danych kontaktów.

Oczywiście wystarczy wpisanie dowolnych danych, aby przejść do kolejnego etapu „weryfikacji”. A w nim prośba o podanie takich danych jak: imię, nazwisko, adres e-mail oraz nr telefonu komórkowego.

Screen pierwszego kroku w fałszywym panelu, wyłudzający numer PESEL.
Pierwszy krok w fałszywym panelu, wyłudzający numer PESEL.
Kolejny etap obejmujący wyłudzenie danych osobowych
Kolejny etap obejmujący wyłudzenie danych osobowych.

Trzecim etapem jest wybór metody zwrotu, do wyboru mamy dwie możliwości. Pierwsza z nich to przelew na rachunek bankowy. Ten mechanizm ma za zadanie wyłudzić dostęp do konta bankowego. Warto zwrócić uwagę, że do wyboru jest tylko PKO Bank Polski. Przy pozostałych bankach widnieje komunikat „Min PLN 3.000,00” sugerujący, że kwota zwrotu jest zbyt niska aby skorzystać z tej metody. Alternatywną metodą jest zwrot na kartę, gdzie oszuści wyłudzają jej dane.

Ostatni etap, wyłudzający dane karty płatniczej.
Ostatni etap, wyłudzający dane karty płatniczej.
Alternatywna ścieżka, wyłudzająca dostęp do PKO Bank Polski.
Alternatywna ścieżka, wyłudzająca dostęp do PKO Bank Polski.

Co możesz stracić ?

Etap „weryfikacji” wyłudza dużo danych. Na kolejnych etapach oszuści zbierają nr PESEL, imię, nazwisko, adres e-mail, nr telefonu komórkowego. Mogą one posłużyć do kradzieży tożsamości, a w jej wyniku do dalszych prób oszustwa i wyłudzeń. Karta w niektórych, przypadkach może pominąć tzw. 3D-Secure i zostać obciążona bez naszej wiedzy.

Jak rozpoznać oszustwo ?

Wszędzie tam, gdzie podajesz jakiekolwiek dane, zweryfikuj stronę zanim to zrobisz.
Adres e-mail nadawcy i sama wiadomość jest spreparowana z dbałością o detale.
W tym przypadku sygnały ostrzegawcze to przede wszystkim:

  • fałszywa domena podagov[.]com, która nie jest oficjalną domeną administracji,
  • presja czasu w temacie wiadomości,
  • prośba o podanie wielu wrażliwych danych,
  • nieklikalne lub pozorne elementy strony, które mają tylko uwiarygodnić formularz.

Do załatwienia spraw urzędowych online korzystaj ze strony podatki.gov.pl

Co jeśli znajdziesz w swojej skrzynce taką wiadomość ?

O ile nie zostały uzupełnione dane osobowe – nic. Cybertarcza Orange zablokowała już tę domenę a nasze systemy śledzą czy oszuści próbują odtworzyć podobne schematy.

Jeśli jednak podałeś jakiekolwiek dane, należy pilnie:

  • skontaktować się z bankiem,
  • zastrzec kartę,
  • obserwować historię rachunku,
  • zmienić hasła podane na tej stronie.

Chociaż jest jeszcze coś, zgłoś do nas taki sam lub podobny e-mail, klikając w „Zgłoś zagrożenie” na stronie cert.orange.pl.

Przed takim scenariuszem, ostrzegaliśmy już w lutym i kwietniu bieżącego roku. Wszystko wskazuje na to, że będziemy musieli zrobić to samo w następnym roku.

[AKTUALIZACJA]

Dostajemy sygnały o kolejnej wysyłce wiadomości SMS przez przestępców do polskich użytkowników. Prowadzą one pod inne domeny (już zablokowane w Cybertarczy Orange), na których znajdował się opisywany wczoraj panel.

Treści SMS-ów wysyłanych do ofiar:

15387 Godlo Polski podatki: Zwrot podatku jest dostepny. Potwierdz swoje dane, aby otrzymac platnosc bez opoznien: http://ptrs[.]me/dvMazB

357751 Godlo Polski podatki: Zwrot podatku jest dostepny. Potwierdz swoje dane, aby otrzymac platnosc bez opoznien: http://podanow[.]com

29 maja 2026
Ten błąd kosztuje kierowców tysiące złotych. Zobacz, jak działa nowy przekręt na „mObywatela”
Dowiedz się więcej
15 maja 2026
[AKTUALIZACJA] Uwaga na mail podszywający się pod NFZ. „Zwrot kosztów” i „aktualizacja systemu” to phishing
Dowiedz się więcej
13 maja 2026
[Aktualizacja: nowe SMS-y] Oszuści podszywają się pod banki – dziś padło na Erste. Sprawdź na co uważać.
Dowiedz się więcej