Tysiące polskich przedsiębiorców zarejestrowanych w systemie BDO mogły już otrzymać fałszywe wezwanie do zapłaty. Cyberprzestępcy podszywają się pod Ministerstwo Klimatu i Środowiska, grożąc konsekwencjami za nieuregulowanie rzekomych opłat związanych z rejestrem odpadów. Ministerstwo nie ma z tymi mailami nic wspólnego. I apeluje, żeby pod żadnym pozorem nie płacić.
Ministerstwo Klimatu i Środowiska (MKiŚ) alarmuje o nowej kampanii phishingowej wymierzonej w przedsiębiorców. Oszuści rozsyłają wiadomości e-mail, w których podszywają się pod resort, wzywając firmy do uiszczenia opłat za aktualizację wpisu w Bazie danych o produktach i opakowaniach oraz o gospodarce odpadami (BDO). Ministerstwo podkreśla jednoznacznie: takich maili nie wysyła i nigdy nie wysyłało.
Rejestr BDO obejmuje ponad 670 tysięcy aktywnych podmiotów – praktycznie każda firma wytwarzająca odpady, wprowadzająca na rynek produkty w opakowaniach czy zajmująca się ich recyklingiem jest zobowiązana do posiadania wpisu. To sprawia, że kampania phishingowa podszywająca się pod ten system ma bardzo szeroki potencjalny zasięg.
Oszustwa „na BDO”. Jak działają cyberprzestępcy?
Fałszywe wiadomości mogą robić przekonujące wrażenie – zawierają prawdziwe nazwiska osób pełniących funkcje publiczne, w tym przedstawicieli kierownictwa resortu. W niektórych przypadkach do korespondencji dołączany jest rzekomy certyfikat opatrzony podpisem wiceministra klimatu i środowiska. Ministerstwo ostrzega, że podpis ten jest nieprawdziwy.
Wiadomości są rozsyłane z adresów e-mail spoza domeny rządowej. Tymczasem oficjalna komunikacja administracji rządowej prowadzona jest wyłącznie z adresów w domenie gov.pl – to najprostszy sposób na szybką weryfikację nadawcy.
Ministerstwo Klimatu i Środowiska nie wysyła takich e-maili
Mechanizm oszustwa jest klasyczny, choć skuteczny. Przestępcy liczą na to, że odbiorca – przedsiębiorca zarejestrowany w BDO – nie będzie miał pełnej wiedzy o zasadach funkcjonowania rejestru i pod presją czasu lub strachu przed konsekwencjami przeleje pieniądze lub poda dane logowania do systemu.
Zachętą jest sugestia, że aktualizacja wpisu wiąże się z opłatą, którą należy uregulować natychmiast. To nieprawda. Wszelkie opłaty związane z BDO są wnoszone zgodnie z przepisami na rachunek właściwego urzędu marszałkowskiego, a korespondencja w tej sprawie odbywa się przez rządowy system informatyczny BDO – nie przez pocztę elektroniczną.
MKiŚ zgłosiło już kampanię właściwym organom. Resort wskazuje, że działania oszustów noszą znamiona przestępstwa, w tym oszustwa oraz bezprawnego wykorzystania wizerunku i danych urzędowych i personalnych.
Phishing wymierzony w przedsiębiorców. Na co zwrócić uwagę?
Ministerstwo radzi, by przed podjęciem jakiejkolwiek decyzji o płatności lub podaniu danych sprawdzić kilka rzeczy:
• Adres nadawcy – brak końcówki gov.pl powinien natychmiast wzbudzić podejrzenia.
• Jakość językowa wiadomości – błędy, literówki i dziwna składnia to charakterystyczne cechy „taniego” tłumaczenia maszynowego, z którego korzystają oszuści.
• Linki w wiadomości – zamiast klikać w odnośniki z maila, lepiej ręcznie wpisać adres oficjalnej strony w przeglądarce.
W razie wątpliwości co do autentyczności korespondencji dotyczącej BDO ministerstwo zaleca kontakt z urzędem marszałkowskim właściwym dla miejsca prowadzenia działalności.
Co zrobić, gdy dostałeś taki mail?
Przede wszystkim – nie płacić i nie klikać w linki. Każdą próbę wyłudzenia należy zgłosić organom ścigania. Incydenty informatyczne można też zgłaszać bezpośrednio do zespołu CERT Polska pod adresem: incydent.cert.pl.
Czy Ministerstwo Klimatu i Środowiska wysyła e-maile o opłatach za aktualizację wpisu w BDO?
Ministerstwo Klimatu i Środowiska podkreśla jednoznacznie: takich maili nie wysyła i nigdy nie wysyłało. Oficjalna komunikacja administracji rządowej prowadzona jest wyłącznie z adresów w domenie gov.pl.
Jak sprawdzić autentyczność korespondencji o BDO rzekomo od Ministerstwa Klimatu i Środowiska?
Brak końcówki gov.pl w adresie nadawcy powinien natychmiast wzbudzić podejrzenia. Zwróć uwagę na błędy językowe i dziwną składnię. Zamiast klikać linki, ręcznie wpisz adres oficjalnej strony.
Gdzie należy wnosić opłaty związane z Bazą danych o produktach i opakowaniach oraz o gospodarce odpadami (BDO)?
Wszelkie opłaty związane z BDO są wnoszone zgodnie z przepisami na rachunek właściwego urzędu marszałkowskiego, a korespondencja […] odbywa się przez rządowy system informatyczny BDO – nie przez pocztę elektroniczną.
Co zrobić po otrzymaniu fałszywego wezwania do zapłaty „Na Bazę Danych o Odpadach”?
Przede wszystkim – nie płacić i nie klikać w linki. Każdą próbę wyłudzenia należy zgłosić organom ścigania. Incydenty informatyczne można zgłaszać do zespołu CERT Polska pod adresem: incydent.cert.pl.
Jak działają oszuści podszywający się pod Ministerstwo Klimatu i Środowiska w sprawie BDO?
Fałszywe e-maile zawierają prawdziwe nazwiska osób publicznych i rzekomy certyfikat z podpisem wiceministerwiceministra klimatu i środowiska (podpis jest nieprawdziwy). Wiadomości są rozsyłane z adresów e-mail spoza domeny gov.pl.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu