За останній рік кількість фішингових атак в Україні зросла майже втричі. Особливо активними стали шахраї, які маскуються під Державну податкову службу. З початком податкових періодів українці все частіше отримують підозрілі електронні листи з вимогами сплатити неіснуючі борги або надати конфіденційні дані. Як розпізнати такі шахрайські схеми та захистити себе — розберемо детально.
Найпоширеніші схеми фішингу від “податкової”
Шахраї постійно вдосконалюють свої методи. За даними кіберполіції, наразі найчастіше використовуються такі схеми:
Фальшиві повідомлення про податкову заборгованість. Користувачі отримують листи із залякуванням про нібито виявлені борги, які потрібно терміново сплатити за вказаними реквізитами.
Псевдоповідомлення про податкові перевірки. У листі міститься інформація, що проти адресата відкрито податкове розслідування, і для його скасування потрібно відкрити файл-вкладення або перейти за посиланням.
Запити на оновлення даних. Шахраї надсилають повідомлення з вимогою “оновити інформацію для податкового реєстру”, просячи заповнити форму з особистими та фінансовими даними.
Фішинг під виглядом ЕЦП. Останнім часом зросла кількість шахрайських листів із пропозиціями оновити електронні цифрові підписи через сумнівні посилання.
Як відрізнити справжній лист від шахрайського?
На основі рекомендацій ДПС та фахівців з кібербезпеки, варто звертати увагу на такі ознаки шахрайства:
Офіційні адреси електронної пошти. Справжні листи від ДПС надходять виключно з домену @tax.gov.ua. Шахраї часто використовують схожі, але відмінні адреси, наприклад, tax-gov.ua, tax.gov.com тощо.
Стиль і мова повідомлення. Офіційні листи ДПС завжди мають коректну ділову українську мову, без граматичних помилок і емоційних фраз. Шахрайські повідомлення часто містять помилки, некоректні звертання та термінові вимоги.
Залякування та тиск. Справжня податкова ніколи не залякує користувачів “негайними штрафами” чи “кримінальною відповідальністю” в електронних листах. Вони не вимагають термінових оплат протягом кількох годин.
Підозрілі посилання та вкладення. У більшості випадків офіційні листи ДПС не містять посилань для переходу на сторонні сайти. Якщо ви отримали лист із проханням “перейти для сплати” або “завантажити документ”, це має насторожити.
Запит конфіденційних даних. Податкова служба ніколи не запитує через електронну пошту номери карток, CVV-коди, паролі від онлайн-банкінгу тощо.
Що робити, якщо ви виявили фішинговий лист?
За рекомендаціями експертів з кібербезпеки та досвідом роботи з такими випадками:
1. Не відкривайте вкладення та не переходьте за посиланнями з підозрілих листів.
2. Перевірте інформацію через офіційні канали. Якщо вам повідомляють про заборгованість, перевірте її наявність у своєму кабінеті платника податків на офіційному сайті ДПС або зателефонуйте до Контакт-центру ДПС.
3. Повідомте про шахрайство. Перешліть підозрілі листи на офіційну адресу ДПС для перевірки та подальшого блокування шахраїв.
4. Регулярно оновлюйте антивірусне програмне забезпечення на всіх пристроях.
5. Використовуйте двофакторну автентифікацію для входу у важливі сервіси, включаючи електронний кабінет платника податків.
Як справжня податкова комунікує з платниками?
Важливо знати, що ДПС має чіткий протокол комунікації з платниками податків:
– Офіційна кореспонденція надходить або через електронний кабінет платника податків, або через рекомендовані листи поштою.
– При виникненні заборгованості спочатку формується податкова вимога, яка надсилається в електронний кабінет.
– Інформацію про стан розрахунків з бюджетом можна отримати самостійно через електронний кабінет платника податків на сайті ДПС.
– Для консультацій працює Контакт-центр ДПС, куди можна зателефонувати за офіційними номерами.
Зростання загрози в період податкової звітності
За спостереженнями фахівців з кібербезпеки, активність фішингових атак під виглядом податкової значно зростає в періоди подання квартальної та річної звітності. Шахраї розраховують на те, що в цей час підприємці та бухгалтери перебувають у стресовому стані та можуть втратити пильність.
Як показує моя багаторічна практика висвітлення тем кібербезпеки, найчастіше жертвами шахраїв стають саме малі підприємці та ті, хто нещодавно розпочав підприємницьку діяльність і ще не має достатнього досвіду взаємодії з податковими органами.
Захист від фішингу — це насамперед уважність і критичне мислення. Перевіряйте джерела повідомлень, не поспішайте переходити за підозрілими посиланнями та не соромтеся звертатися за роз’ясненнями до офіційних представників ДПС. Ці прості правила допоможуть зберегти ваші дані та кошти в безпеці.
