Cyberprzestępcy podszywają się pod NFZ i ZUS. Celem są m.in. lekarze

Lekarze w Polsce stali się celem nowej, zaawansowanej kampanii cyberprzestępczej. Zespół CSIRT Centrum e-Zdrowia ostrzega, że oszuści podszywają się pod instytucje publiczne, m.in. Narodowy Fundusz Zdrowia czy Zakład Ubezpieczeń Społecznych, a także rzekome zespoły cyberbezpieczeństwa i próbują wyłudzić dane uwierzytelniające, certyfikaty e-ZLA oraz dostęp do aplikacji gabinetowych.

Eksperci CSIRT CeZ obserwują zorganizowaną kampanię wymierzoną w lekarzy oraz inne osoby uprawnione do wystawiania recept. Ataki wykorzystują rozbudowane techniki socjotechniczne, a ich celem jest przejęcie danych uwierzytelniających, certyfikatów e-ZLA oraz dostępu do aplikacji gabinetowych. Oszuści wywierają presję, odwołują się do odpowiedzialności prawnej lekarza i wykorzystują autorytet instytucji publicznych. Często nawiązują także do realnych wydarzeń lub aktualnych problemów w systemie ochrony zdrowia.

Skutkiem ataku jest możliwość nieuprawnionego wystawiania recept na leki psychotropowe i narkotyczne, które następnie mogą być realizowane bez wiedzy lekarza 

Telefon od „pracownika NFZ”

Pierwszym elementem ataku jest zwykle telefon od osoby podającej się za pracownika np. zespołu cyberbezpieczeństwa NFZ (najczęściej pod nazwiskami Tomasz Zieliński lub Tomasz Ochocki). Dzwonią oni głównie z tych numerów: +48 21 223 07 00, +420 736 449 192, +420 739 443 974. Oszust informuje lekarza, że z jego konta wystawiono recepty, na przykład na Oxydolor. Schemat rozmowy jest powtarzalny, choć, jak podkreśla CSIRT CeZ, może się zmieniać.

Fałszywe strony do zgłoszenia incydentu

W kolejnym kroku rozmówca kieruje lekarza na jedną z domen, która jest stylizowana na serwisy instytucji publicznych. Wśród wykorzystywanych domen są m.in.: eincydent[.]org, e-incydent[.]org, m-incydent[.]org. Na stronie lekarz ma rzekomo „zabezpieczyć konto”, „zgłosić incydent” lub „wygenerować nowy certyfikat”. W rzeczywistości jest to mechanizm wyłudzania danych. Eksperci z CeZ przypominają, że wszelkie incydenty należy zgłaszać tylko poprzez stronę CSIRT CeZ. 

Logowanie przez mObywatela

Kolejnym elementem oszustwa jest nakłonienie lekarza do uwierzytelnienia się przy użyciu aplikacji mObywatel. Jeżeli użytkownik wykona tę czynność na fałszywej stronie, przestępcy mogą przechwycić dane dostępowe.

Fałszywy certyfikat ZUS

Po zalogowaniu na fałszywej stronie, lekarz otrzymuje e-mail o rzekomym unieważnieniu certyfikatu ZUS. W wiadomości znajduje się link do pobrania nowego pliku – w rzeczywistości fałszywego certyfikatu. Hasłem ma być numer PESEL lekarza. Ten krok pozwala przestępcom przejąć certyfikat uwierzytelniający. 

Ryzyko nie tylko dla lekarzy

Eksperci podkreślają, że konsekwencje ataku mogą być znacznie poważniejsze niż nieuprawnione wystawianie recept na leki psychotropowe i narkotyczne. Przejęcie konta w systemie gabinetowym oznacza także dostęp do wrażliwych danych medycznych pacjentów. Takie dane podlegają szczególnej ochronie na podstawie przepisów RODO. W przypadku naruszenia ich poufności zdarzenie powinno zostać zgłoszone do prezesa Urzędu Ochrony Danych Osobowych. CSIRT CeZ apeluje do lekarzy o zachowanie szczególnej ostrożności. Podejrzane zdarzenia oraz incydenty bezpieczeństwa można zgłaszać bezpośrednio do CSIRT CeZ. 

Jak się chronić?

CSIRT CeZ rekomenduje kilka podstawowych zasad bezpieczeństwa:

• weryfikacja rozmówcy – instytucje publiczne nie proszą telefonicznie o logowanie, podawanie danych, klikanie w linki. W przypadku wątpliwości należy zakończyć rozmowę i oddzwonić na oficjalny numer instytucji. 
• korzystanie z oficjalnych stron – nie należy wchodzić w linki ani kody QR przesyłane telefonicznie lub e-mailem przez niezweryfikowane źródła.
• włączenie uwierzytelniania wieloskładnikowego (MFA) w systemach gabinetowych i poczcie elektronicznej. 
• regularna kontrola historii recept w systemie gabinet.gov.pl.
• sprawdzanie danych kontaktowych w Profilu Zaufanym i aplikacjach gabinetowych.