Sezon na listy z HMRC… i oszustów: jak rozpoznać phishing?

Każdego roku, gdy zbliża się sezon rozliczeń podatkowych w Wielkiej Brytanii, skrzynki e-mail i telefony wielu podatników zaczynają wypełniać się wiadomościami od HMRC (HM Revenue & Customs). Niestety – nie wszystkie z nich są prawdziwe. HMRC każdego roku ostrzega przed tysiącami prób oszustw. W samym 2024 roku zgłoszono ponad 200 000 przypadków phishingu podszywającego się pod urząd. W tym samym czasie gwałtownie rośnie liczba prób phishingu, w których oszuści podszywają się pod urząd skarbowy, próbując wyłudzić dane lub pieniądze. Wykorzystują stres, pośpiech i niewiedzę, by przekonać odbiorców do kliknięcia w fałszywy link.

W tym artykule pokażemy, jak rozpoznać phishing, jak odróżnić autentyczny kontakt z HMRC od fałszywego, oraz co zrobić, gdy podejrzewasz oszustwo.

Czym jest phishing i dlaczego oszuści wybierają akurat HMRC?

Phishing to forma cyber oszustwa, polegająca na wysyłaniu fałszywych wiadomości (najczęściej e-maili, SMS-ów lub nawet telefonów), które mają na celu wyłudzenie danych logowania, informacji osobistych lub danych kart płatniczych. Ponieważ większość dorosłych w Wielkiej Brytanii ma kontakt z HMRC co najmniej raz w roku, podszywanie się pod tę instytucję jest częstym zjawiskiem.

Okres rozliczeń to czas stresu, niepewności i oczekiwania na zwrot podatku – stanowi idealny moment, by wykorzystać nieuwagę podatników. To właśnie z tego powodu oszustwa podatkowe podszywające się pod HMRC są tak powszechne: oszuści grają na emocjach, obiecując szybki zwrot podatku albo grożąc rzekomym długiem wobec urzędu.

Jak przebiega prawdziwy kontakt z HMRC?

Zanim zaczniesz się niepokoić, pamiętaj: HMRC nigdy nie poprosi Cię o dane kart płatniczych, numer konta ani haseł w wiadomości e-mail czy SMS-ie. Prawdziwy kontakt z urzędem odbywa się głównie przez:

• oficjalne listy pocztowe,
• logowanie do konta na Government Gateway,
• ewentualnie e-maile z domeny @hmrc.gov.uk (ale bez prośby o kliknięcie w link).

Warto mieć na uwadze, że oszuści często wykorzystują zbliżone domeny lub subtelne literówki – zachowaj bezpieczeństwo konta Government Gateway pilnie obserwując adresy. Jeśli cokolwiek budzi wątpliwość – nie odpowiadaj, nie klikaj, sprawdź komunikat bezpośrednio po zalogowaniu na swoje konto. Właśnie tam HMRC publikuje wszystkie oficjalne informacje.

HMRC może wysyłać e-maile z przypomnieniem o zbliżających się terminach lub zachętą do zalogowania się na konto – nigdy jednak nie zawierają one aktywnych linków do płatności ani próśb o dane osobowe.

Poznaj „czerwone flagi”, które wzbudzają czujność

Jak rozpoznać phishing? Kluczowe są tzw. „czerwone flagi”, czyli typowe sygnały ostrzegawcze, że coś może być nie tak. Zwróć uwagę na:

• literówki w adresie nadawcy lub domenie,
• wiadomości z nietypowym językiem, błędami gramatycznymi lub nienaturalnym tonem (np. „Dear taxpayer”).
• wiadomości zawierające presję czasu („Twoje konto zostanie zablokowane w 24h!”),
• groźby lub obietnice zwrotu podatku w zamian za kliknięcie w link,
• prośby o potwierdzenie danych logowania lub numeru karty,
• skrócone linki i QR-kody kierujące poza stronę GOV.UK.

Kampania Stop! Think Fraud przypomina: jeśli wiadomość ma na celu wzbudzić u Ciebie niepokój, zastanów się, zanim klikniesz w zawarte w wiadomości odnośniki. Wiadomości udające HMRC często wygląda bardzo wiarygodnie, ale diabeł tkwi w szczegółach – nie daj się złapać na fałszywe ponaglenia czy zbyt „dobrą” wiadomość o rzekomym zwrocie podatku (jest to HMRC Phising).

Jak wyglądają fałszywe wiadomości?

Najczęściej spotykane HMRC scams to SMS-y informujące o „nadpłacie podatku” lub e-maile z linkiem do „formularza zwrotu”. Niektóre wiadomości wprost kopiują szatę graficzną HMRC, aby wyglądały profesjonalnie. W rzeczywistości prowadzą do stron, które wyłudzają dane logowania lub dane karty.

Typowy fałszywy SMS może brzmieć np. „HMRC: masz nadpłatę £275. Kliknij tutaj, aby odebrać zwrot” – a link prowadzi do strony łudząco podobnej do GOV.UK.

Coraz częstsze są też fałszywe telefony – rozmówcy przedstawiają się jako pracownicy HMRC, grożą grzywną lub aresztem, żądając natychmiastowej zapłaty. Prawdziwy urząd nigdy nie postępuje w ten sposób. Jeśli masz wątpliwości, wejdź na oficjalną stronę GOV.UK i porównaj numer telefonu lub adres e-mail. Nigdy nie klikaj w linki ani nie oddzwaniaj na numery z podejrzanych wiadomości – to klasyczne oszustwa podatkowe.

Gdzie i jak zgłaszać podejrzane wiadomości?

Zgłaszanie oszustw pomaga chronić nie tylko Ciebie, ale też innych podatników. Jeśli otrzymasz wiadomość, która wygląda podejrzanie, możesz ją przesłać:

• e-mail na phishing@hmrc.gov.uk
• SMS pod numer 60599,
• formularz online na GOV.UK,
• w przypadku mediów społecznościowych – security.custcon@hmrc.gov.uk.

HMRC analizuje każde zgłoszenie i usuwa fałszywe strony z sieci, ograniczając zasięg działania oszustów. Warto wiedzieć jak zgłaszać phishing HMRC, bo każdy przypadek to potencjalnie ocalone pieniądze i dane. Nie kasuj wiadomości od razu – prześlij ją odpowiednim kanałem i dopiero wtedy usuń.

Co zrobić, jeśli kliknąłeś w link lub podałeś dane?

Zdarza się każdemu – kliknięcie w link w pośpiechu nie musi oznaczać katastrofy, o ile zareagujesz szybko. W pierwszej kolejności:

1. Zmień hasła do swojego konta Government Gateway i e-maila.
2. Skontaktuj się z bankiem, jeśli podałeś dane płatnicze.
3. Zgłoś incydent do HMRC i Action Fraud (0300 123 2040).
4. Monitoruj swoje konto podatkowe oraz historię logowań.
5. Włącz uwierzytelnianie dwuskładnikowe (2FA) dla większego bezpieczeństwa.

Dbanie o bezpieczeństwo konta Government Gateway to klucz do ochrony przed dalszymi konsekwencjami – im szybciej podejmiesz działania, tym mniejsze ryzyko utraty środków lub danych.

Mini-checklista: jak unikać pułapek?

Chcesz mieć pewność, że nie dasz się nabrać? Skorzystaj z naszej mini-checklisty:

• Sprawdzaj domenę nadawcy.
• Nigdy nie klikaj w podejrzane linki.
• Nie udostępniaj danych przez telefon ani e-mail.
• Zawsze korzystaj z oficjalnych źródeł GOV.UK.
• Włącz 2FA na koncie Government Gateway.

Stosowanie się do powyższych wskazówek może oszczędzić Ci wielu nerwów i pieniędzy.

Czy wiesz już, jak rozpoznać oszustów?

Czujność to najlepsza ochrona w trakcie sezonu podatkowego. Rozpoznanie potencjalnych zagrożeń i świadomość, jak wyglądają prawdziwe wiadomości od HMRC, mogą uchronić Cię przed stratą pieniędzy i danych.

W Essence Accounting pomagamy nie tylko w rozliczeniach, ale też w bezpiecznej komunikacji z HMRC. Wykorzystaj naszą listę, aby uniknąć oszustwa – a jeśli potrzebujesz wsparcia podatkowego lub pomocy w weryfikacji wiadomości, skontaktuj się z Essence Accounting.