Злоумышленники рассылают фейковые сообщения от имени налоговой с требованиями по уголовным делам - как распознать подлог и не стать жертвой
Злоумышленники запустили новую волну фишинговой рассылки от имени Государственной налоговой службы Украины. Ранее мошенники уже использовали подобную тактику - посылали письма о якобы нарушениях в отчетности. В этот раз в теме писем фигурирует ссылка на уголовное производство по статье 212 Уголовного кодекса Украины – уклонение от уплаты налогов. Цель злоумышленников – заставить получателя открыть опасное вложение или перейти по вредоносной ссылке.

О новой угрозе предупредила Государственная налоговая служба Украины. Фейковые письма поступают по сторонним адресам, не относящимся к официальному домену ГНС. Один из зафиксированных примеров мошеннического адреса – reply@okservice.shop. В то же время, все настоящие электронные адреса налоговой имеют домен @tax.gov.ua, а официальная почта службы - post@tax.gov.ua. Если письмо поступило из другого домена – это однозначный признак подделки.
Схема мошенничества имеет несколько характерных признаков:
ГНС отмечает: служба не направляет официальные документы по неофициальным электронным адресам и никакого отношения к таким письмам не имеет.
Налоговая служба предоставила плательщикам перечень конкретных правил безопасного поведения в случае получения подозрительного письма:
Главный ориентир для проверки подлинности письма – домен отправителя. Любое официальное обращение от ДПС поступает исключительно по адресу, который заканчивается на @tax.gov.ua. Все остальное – подделка.
Фишинговые атаки от имени налоговой службы происходят в Украине уже не в первый раз. В июне 2026 года злоумышленники рассылали письма с сообщениями о якобы обнаруженных разногласиях в отчетности плательщика. Схема также предусматривала вложения с вредоносным ПО и рассчитана на то, что получатель испугается и откроет файл, не проверив отправителя.
Еще раньше, в мае 2026 года, налоговики уже предупреждали о подобной угрозе – тогда фишинговые письма от имени Налоговой службы также поступали по адресам на посторонних доменах. Несмотря на повторяемость схемы, злоумышленники каждый раз меняют "повод" - от проверок отчетности до уголовных производств, чтобы держать жертв в напряжении.