Fiskus chce dostępu do Twoich kryptowalut? To kolejna próba oszustwa
Kryptowaluty

Fiskus chce dostępu do Twoich kryptowalut? To kolejna próba oszustwa

Przez Adam Kubaty (peakhunter)

Otrzymaliśmy na maila podrobiony list elektroniczny w którym nadawca podszywa się pod amerykański urząd skarbowy (Internal Revenue Service, IRS), który pod pozorem „weryfikacji aktywów cyfrowych” próbuje nakłonić nas do podłączenia naszego „gorącego” portfela. To oczywiście nie żadna kontrola podatkowa, tylko tzw. drainer: po połączeniu i zatwierdzeniu transakcji środki wyparowują z portfela, a operacji nie da się cofnąć.

Taki mail trafił do naszej skrzynki pocztowej

Fałszywy mail, straty całkowicie realne

Wiadomość może wyglądać dla wielu osób całkiem wiarygodnie, gdyż ułożono ją z prawdziwych elementów po uprzednim researchu. Od początku 2026 roku amerykańskie giełdy faktycznie wysyłają nowy formularz 1099-DA, na którym zgłaszają do fiskusa sprzedaż i transfery kryptowalut klientów za rok 2025. Gdy dane z formularza nie zgadzają się z zeznaniem, podatnik może dostać autentyczne wezwanie CP2000. Oszuści sklejają oba pojęcia w nieistniejące „Notice CP2000-DA” i doklejają do niego żądanie, którego amerykański IRS nigdy nie formułuje: potwierdzenia dostępu do prywatnego portfela.

Formularz 1099-DA i wezwanie CP2000 w pigułce

1099-DA to nowy amerykański formularz podatkowy, na którym od 2026 roku giełdy raportują do IRS sprzedaż i transfery kryptowalut swoich klientów (za rok 2025). W pierwszym roku obejmuje wyłącznie przychody, bez kosztu nabycia.

CP2000 to automatyczne wezwanie wysyłane pocztą, gdy dane z formularzy nie zgadzają się z zeznaniem podatnika. Połączenia obu nazw w postaci „Notice CP2000-DA” nie ma w nomenklaturze IRS.

Cała konstrukcja opiera się na drugim kroku rzekomej procedury. Ofiara ma „potwierdzić posiadanie na własność” portfela samodzielnego (self-custody), a komunikat zapewnia, że dostęp posłuży wyłącznie do odczytu i że żadna transakcja nie zostanie wykonana. To kłamstwo. Podłączenie portfela do spreparowanej strony i podpisanie pozornie niewinnego komunikatu nadaje atakującemu uprawnienia do przeniesienia środków, na przykład przez mechanizm „permit” albo zatwierdzenie tokenów. Resztę robi automat.

Pozostała część pisma to znane chwyty psychologiczne. Termin „pięciu dni roboczych”, groźba kar i postępowania karnego z przywołaniem konkretnych paragrafów amerykańskiego kodeksu (26 U.S.C. § 6662 i 7201) oraz prawdziwy numer infolinii IRS dla uwiarygodnienia. Tyle że IRS nie inicjuje kontaktu mailem ani SMS-em w sprawach finansowych i nigdy nie prosi o podłączenie portfela czy podanie haseł. Pierwsze pismo w sprawie zaległości zawsze przychodzi pocztą.

Fałszywkę zdradzają też detale. W miejscu daty wystawienia widnieje niewypełniony znacznik szablonu {CURRENT_DATE}, przycisk uruchamiający procedurę zawiera literówkę („Begining” zamiast „Beginning”), a link, który rzekomo prowadzi na irs.gov, jest zamaskowany.

Po czym poznać fałszywkę
  • żądanie podłączenia lub „weryfikacji” portfela kryptowalutowego, o które żaden urząd nie prosi,
  • presja czasu: „pięć dni roboczych”, groźba kar i postępowania karnego,
  • kontakt mailem zamiast listem, IRS i KAS zaczynają od papierowej korespondencji,
  • niewypełniony znacznik szablonu w dacie (np. {CURRENT_DATE}),
  • literówki oraz zamaskowany link, który jedynie udaje adres w domenie .gov.

Polska na celowniku

Schemat jest uniwersalny i łatwo go przenieść na lokalny polski grunt. Krajowa Administracja Skarbowa (KAS) i Ministerstwo Finansów od miesięcy ostrzegają przed falą e-maili podszywających się pod urząd, a CERT Polska regularnie publikuje kolejne komunikaty w sezonie rozliczeń PIT. Tamte kampanie celują głównie w dane logowania i numery kont, ale wariant z portfelem to tylko kwestia czasu, zwłaszcza przed wejściem unijnej dyrektywy DAC8, która nałoży na platformy obowiązek automatycznego raportowania sald. Nowe przepisy to gotowy pretekst do „weryfikacji”, którą fałszerze podstawią pod własną stronę.

Zasada obrony jest prosta. Żaden urząd, ani amerykański, ani polski, nie prosi o połączenie portfela kryptowalutowego. Podejrzanej wiadomości nie należy otwierać ani klikać w zawarte w niej linki, status sprawy zawsze można sprawdzić samodzielnie, logując się przez oficjalny portal (w Polsce e-Urząd Skarbowy na podatki.gov.pl). Próby oszustwa warto zgłaszać do CERT Polska, a w przypadku pism „od IRS” pod adres [email protected]. W kryptowalutach stawka jest wyższa niż przy zwykłym phishingu bankowym: tu nie ma chargebacku ani infolinii, która cofnie przelew.

Źródła: irs.gov/form1099da, irs.gov (Report Phishing, Security Summit), Group-IB („Declaration trap”), podatki.gov.pl (komunikaty KAS), CERT Polska

Dziękujemy, że przeczytałeś/aś nasz artykuł do końca. Obserwuj nas w Wiadomościach Google i bądź na bieżąco!
Kryptowaluty bezpiecznie kupisz lub sprzedasz w sieci kantorów i bitomatów FlyingAtom
Sprawdź!
Adam Kubaty (peakhunter)

Redaktor naczelny BitHub.pl, dziennikarz i analityk rynków finansowych. Inwestor indywidualny z ponad 15-letnim doświadczeniem na rynku akcji, obligacji, kontraktów terminowych, metali szlachetnych, funduszy i kryptoaktywów. Absolwent Uniwersytetu Ekonomicznego w Krakowie na kierunku Rynki finansowe, ze specjalnością Doradztwo inwestycyjne.

Były zastępca redaktora naczelnego magazynu finansowego Profit Journal oraz analityk w globalnej korporacji State Street. Analizował prospekty inwestycyjne dla prywatnych inwestorów zainteresowanych rynkiem kryptoaktywów w ramach zdecentralizowanego funduszu VC Citizen Capital. Autor licznych wywiadów publikowanych w BitHub.pl — m.in. z ekonomistą Krzysztofem Piechem, z dr. Mirosławem Sopkiem (kryptografia postkwantowa), polskimi politykami oraz przedstawicielami branży krypto i sektora bankowego. Uczestnik konferencji branżowych i gospodarczych z ramienia portalu, w tym Forum Ekonomicznego w Karpaczu. Autor cyklu analityczno-śledczych materiałów dotyczących polskiej giełdy zondacrypto (BitBay).

Specjalizuje się w analizie rynków finansowych, danych gospodarczych, trendów rynkowych oraz sektora kryptoaktywów, łącząc doświadczenie inwestora z praktyczną znajomością technologii blockchain i analizą danych on-chain. Posiadane aktywa ujawniane zgodnie z polityką redakcji w zakresie ujawniania potencjalnych konfliktów interesów.