Oszustwo na leasing / sprzęt IT

Oszuści podszywają się pod znane firmy leasingowe lub dostawców sprzętu IT. Wysyłają fałszywe umowy i faktury z domen podobnych do oryginalnych. W artykule: jak rozpoznać oszustwo, jak weryfikować dostawcę i dlaczego kontakt przez oficjalną stronę lub znany numer telefonu jest kluczowy.

Co musisz wiedzieć

Atak polega na tym, że ofiara otrzymuje ofertę, umowę albo „fakturę” od podmiotu wyglądającego na znaną firmę. Problem w tym, że domena e-mail lub strona internetowa jest tylko podobna do oryginału: ma literówkę, dodatkowy znak albo inną końcówkę. Po zapłacie „dostawca” znika albo nigdy nie wysyła towaru.

Zawsze weryfikuj dostawcę niezależnym kanałem: przez oficjalną stronę znalezioną samodzielnie, numer telefonu z wiarygodnego źródła albo dane z rejestrów. Nie korzystaj bezrefleksyjnie z numerów, linków i załączników przesłanych w podejrzanej wiadomości.

Podszywanie się pod znane marki

Oszust wykorzystuje zaufanie do znanej marki: firmy leasingowej, producenta IT, dystrybutora albo dużego sklepu. Wysyła ofertę lub fakturę z logo i nazwą podobną do prawdziwej firmy. Adres e-mail lub strona może wyglądać prawie identycznie, na przykład przez zamianę litery „o” na cyfrę „0”, dodanie myślnika albo użycie innej końcówki domeny. Ofiara myśli, że rozmawia z prawdziwą firmą i wykonuje przelew.

Wysyłanie fałszywych umów i faktur

Dokumenty mogą wyglądać profesjonalnie: umowa leasingu, faktura za sprzęt, warunki finansowania, dane firmy i logo. Oszuści mogą też użyć danych prawdziwej firmy z publicznych rejestrów. Samo sprawdzenie NIP nie wystarczy, bo NIP może należeć do prawdziwego podmiotu, a rachunek bankowy może należeć do oszustów. Sprawdź rachunek w wykazie podatników VAT, czyli na tzw. białej liście VAT, i potwierdź dane płatności bezpośrednio u dostawcy przez oficjalny kanał.

Fałszywe domeny podobne do oryginalnych

Fałszywa domena może różnić się od prawdziwej tylko jednym znakiem, na przykład „firma-leasing.pl” zamiast „firmaleasing.pl” albo końcówką „.com” zamiast „.pl”. Adres w wiadomości może wyglądać wiarygodnie, szczególnie na telefonie. Sprawdzaj dokładnie adres strony w pasku przeglądarki i adres nadawcy wiadomości. Nie klikaj w linki z podejrzanej wiadomości. Wpisz adres ręcznie albo znajdź firmę przez wyszukiwarkę i wejdź na oficjalną stronę. Kontakt inicjuj przez tę stronę, na przykład przez formularz albo numer telefonu podany na stronie.

Jak weryfikować dostawcę

Nie opieraj decyzji wyłącznie na wiadomości e-mail z ofertą. Wejdź na stronę dostawcy przez wyszukiwarkę, a nie przez link z wiadomości. Sprawdź dane kontaktowe, NIP, status podatnika VAT i rachunek bankowy. Zadzwoń na numer z oficjalnej strony i potwierdź ofertę, umowę oraz dane do płatności. Przy dużych kwotach wprowadź zasadę drugiej pary oczu: przelew zatwierdza dodatkowa osoba. Jeżeli „dostawca” naciska na szybki przelew, unika rozmowy telefonicznej, nie chce wideorozmowy albo tłumaczy zmianę rachunku bankowego pośpiechem, traktuj to jako czerwoną flagę.

Znaczenie kontaktu bezpośredniego

Kontakt bezpośredni pozwala potwierdzić, że rozmawiasz z prawdziwą firmą. Chodzi o telefon na numer z oficjalnej strony, kontakt z osobą znaną z wcześniejszej współpracy, wizytę w siedzibie albo wideorozmowę z przedstawicielem, którego można zweryfikować. Oszust zwykle unika takiej weryfikacji albo podaje numery i adresy prowadzące do siebie. Zasada jest prosta: nie finalizuj dużej transakcji wyłącznie na podstawie korespondencji e-mail z nieznanego źródła.

Czy KSeF rozwiązuje ten problem?

KSeF pomaga uporządkować obieg faktur ustrukturyzowanych, ale nie zastępuje zdrowej kontroli kontrahenta i płatności. System może sprawdzać poprawność struktury faktury, ale nie powinien być traktowany jako gwarancja, że dana transakcja jest bezpieczna biznesowo. Nadal trzeba weryfikować kontrahenta, rachunek bankowy, domenę, osobę kontaktową i sens ekonomiczny transakcji.

FAQ

Jak odróżnić prawdziwą firmę od oszusta przy ofercie leasingu lub sprzętu IT?

Sprawdź domenę i adres e-mail: literówki, dodatkowe znaki, dziwną końcówkę domeny. Wejdź na stronę firmy przez wyszukiwarkę, nie przez link z wiadomości. Zadzwoń na numer z oficjalnej strony i potwierdź ofertę oraz dane do płatności.

Czy sprawdzenie NIP wystarczy przy umowie od „znanej” firmy?

Nie. Oszust może podać NIP prawdziwej firmy, a własny rachunek bankowy. Sprawdź rachunek w wykazie podatników VAT i potwierdź dane płatności przez oficjalny kanał kontaktu.

Czy biała lista VAT daje pełną ochronę przed oszustwem?

Nie. Biała lista VAT pomaga sprawdzić rachunek powiązany z podatnikiem VAT, ale nie zastępuje pełnej weryfikacji dostawcy, domeny, osoby kontaktowej i samej transakcji.

Co zrobić, gdy już zapłaciłem fałszywemu dostawcy?

Natychmiast skontaktuj się z bankiem i zapytaj o możliwość zablokowania lub cofnięcia przelewu. Zgłoś sprawę na policję. Zachowaj dowody: e-maile, załączniki, potwierdzenia przelewu, adresy stron i numery telefonów. Skontaktuj się też z prawdziwą firmą przez oficjalną stronę, bo oszuści mogli podszyć się pod jej markę.

Gdzie zgłosić podejrzaną stronę lub wiadomość?

Podejrzaną stronę, wiadomość e-mail albo próbę phishingu można zgłosić do CERT Polska przez oficjalny formularz zgłaszania incydentów. Warto zrobić to szybko, aby ograniczyć ryzyko dla innych firm.

Powiązane tematy

Przydatne serwisy

Status i komunikaty

API i narzędzia

Pierwsza grupa – status systemu KSeF i komunikaty techniczne Ministerstwa Finansów, druga – narzędzia do integracji z KSeF i walidacji faktur.

Dalsze korzystanie z tej witryny oznacza akceptację Polityki prywatności . Używamy plików cookie, aby zapewnić najlepszą jakość korzystania z naszej witryny internetowej. Przeczytaj naszą Politykę plików cookie .
Akceptuj Odrzuć