Profil Zaufany釣魚:詐騙集團如何偽造波蘭政府入口網站
了解釣魚攻擊如何針對Profil Zaufany、gov.pl、e-PIT和ZUS登入。在報稅季及其後保護自己免受偽造政府入口網站騙局。
Profil Zaufany釣魚:詐騙集團如何偽造波蘭政府入口網站
Profil Zaufany(受信任的個人資料)是波蘭的數位身分系統,數百萬人使用它線上存取政府服務——從e-PIT報稅到查看ZUS退休金記錄、申請福利和管理mObywatel。因為它是你最敏感政府資料的入口,已成為釣魚攻擊的高價值目標。
在報稅季(1月至4月),這些攻擊會急劇增加。以下是如何辨識它們並保護你的數位身分。
Profil Zaufany是什麼,為什麼詐騙集團要針對它
Profil Zaufany是你在gov.pl和其他政府平台上的已驗證數位身分。取得某人的Profil Zaufany後,攻擊者可以:
- 存取報稅資料(PIT) — 包含收入、雇主資訊和PESEL
- 查看ZUS記錄 — 就業歷史和退休金資料
- 存取CEIDG商業登記記錄
- 查看醫療記錄(透過e-Zdrowie)
- 更改登記地址和聯絡資訊
- 存取mObywatel功能(包括數位身分證)
- 電子簽署文件(具有法律效力)
簡而言之,Profil Zaufany是你在波蘭整個數位生活的萬能鑰匙。
最常見的政府入口網站釣魚騙局
1. 偽造e-PIT退稅通知
時間: 1月至4月(報稅季)
你收到一封郵件或簡訊:「您的PIT退稅1,847茲羅提已準備好。登入領取:[連結]」
連結指向偽造的gov.pl登入頁面。當你輸入Profil Zaufany認證資訊(銀行登入或專用密碼)時,詐騙集團就取得了它們。
為何有效: 退稅是真實的、預期中的,人們渴望收到退款。偽造訊息中的金額往往很逼真。
2. 偽造ZUS通知
「ZUS: PUE ZUS中有新訊息。請登入:[連結]」
由於ZUS定期透過PUE(Platforma Usług Elektronicznych)溝通,這些訊息看起來很合法。偽造的登入頁面取得你的認證資訊。
3. 偽造ePUAP/gov.pl服務通知
「ePUAP中有新文件需要簽署。在此登入:[連結]」
這些針對經常使用政府數位服務處理商務或行政事務的人。
4. 偽造mObywatel更新通知
「需要更新mObywatel App。下載最新版本:[連結]」
連結下載的是惡意App而非真正的mObywatel更新。
5. 偽造罰款/罰則通知
「稅務局:欠稅450茲羅提。付款以避免罰則:[連結]」
透過威脅罰則製造恐慌,促使你不假思索地行動。
如何辨識偽造的政府通訊
| 特徵 | 真實政府通訊 | 釣魚騙局 |
|---|---|---|
| URL | gov.pl, epuap.gov.pl, podatki.gov.pl | gov-pl.com, epuap-login.pl, e-pit-zwrot.pl |
| 登入方式 | 銀行登入、Profil Zaufany專用密碼或e-dowód | 在外部頁面要求認證資訊 |
| 簡訊連結 | 政府很少傳送帶連結的簡訊 | 幾乎總是包含可點擊的連結 |
| 付款請求 | 指向官方podatki.gov.pl | 連結到外部支付頁面 |
| 語氣 | 正式,無緊迫性語言 | 製造恐慌,威脅罰則 |
| 郵件寄件者 | @gov.pl, @mf.gov.pl, @zus.pl | @gov-pl.com, @e-pit-refund.pl等 |
報稅季(e-PIT)釣魚:特別警報
報稅季是波蘭政府釣魚的高峰期。你需要知道的:
真實的e-PIT流程
- 你的PIT在podatki.gov.pl上自動預填
- 透過Profil Zaufany(銀行登入或專用認證資訊)登入
- 審核、必要時修改並提交
- 退稅轉入你在稅務局登記的銀行帳戶
- 稅務局絕不會傳送登入連結
報稅季的危險訊號
- 包含「檢查退稅」連結的簡訊或郵件
- 聲稱不領取退稅就會失效的訊息
- 要求輸入銀行資訊以處理退稅
- 下載「報稅App」的連結
- 「稅務局」來電索要個人資訊
如何保護你的Profil Zaufany
- 始終直接輸入URL存取gov.pl — 不要透過訊息中的連結
- 將政府入口網站加入書籤 — 將gov.pl、podatki.gov.pl、pue.zus.pl加入書籤
- 使用銀行登入Profil Zaufany — 增加銀行的安全層
- 在銀行App中啟用Profil Zaufany登入嘗試通知
- 不要從連結下載mObywatel — 僅從Google Play或App Store
- 報稅季(1月-4月)格外警惕
- 向CERT Polska通報釣魚嘗試(incydent.cert.pl或將簡訊轉寄到8080)
- 仔細檢查URL — gov.pl沒有連字號、額外單字或不同的網域副檔名
如果你在偽造頁面輸入了認證資訊
- 立即透過真正的gov.pl更改Profil Zaufany密碼
- 如果使用銀行登入,聯繫銀行更改認證資訊並監控詐騙
- 在podatki.gov.pl檢查稅務記錄有無未授權更改
- 檢查ZUS記錄有無未授權存取
- 如果尚未凍結,透過mObywatel凍結PESEL
- 報警
- 向CERT Polska通報(incydent.cert.pl)
安全分享政府文件
當你需要與會計師、律師或家人分享稅務文件、ZUS帳單或其他政府通訊時,不要作為電子郵件附件傳送。使用LOCK.PUB建立一個加密的、附密碼保護的備忘錄,自動到期。接收者用密碼查看一次後,資料消失——電子郵件信箱或聊天記錄中不留任何副本。
總結
你的Profil Zaufany與實體身分證(dowód osobisty)同等重要。受信任的個人資料被入侵後,攻擊者可以存取你的稅務、退休金記錄、健康資料和數位身分。波蘭政府絕不會傳送帶登入連結的簡訊。 始終直接輸入URL或使用官方App存取政府服務。
分享敏感政府文件時,使用LOCK.PUB的加密自毀備忘錄。你的數位身分值得與實體身分同等的保護。