Polscy lekarze znaleźli się – jak podaje Medonet – na celowniku cyberprzestępców. Oszuści podszywają się pod pracowników instytucji publicznych i wyłudzają dostęp do wrażliwych danych oraz aplikacji gabinetowych.
Kierują swoje ofiary na fałszywe strony internetowe
Scenariusz ich działań opisuje CSIRT Centrum e-Zdrowia (Cyber Security Incident Response Team).
Przestępcy dzwonią do lekarzy i podają się za przedstawicieli np. NFZ lub zespołów ds. cyberbezpieczeństwa. W rozmowach telefonicznych często posługują się nazwiskami Tomasz Zieliński lub Tomasz Ochocki.
Informują o rzekomych nieprawidłowościach w wystawianiu recept i kierują swoje ofiary na fałszywe strony internetowe, które do złudzenia przypominają oficjalne serwisy. Tam proszą o logowanie przez aplikację mObywatel, co pozwala im przejąć poufne dane, oraz dostęp do aplikacji gabinetowych.
Po uzyskaniu certyfikatu e‑ZLA, cyberprzestępcy mogą wystawiać recepty na substancje kontrolowane bez wiedzy lekarza. Mają też dostęp do wrażliwych danych osobowych pacjentów.
Dostęp do aplikacji gabinetowych
Atak oszustów zaczyna się od kontaktu telefonicznego. Lekarz otrzymuje informację o rzekomo wystawionych receptach na leki, takie jak Oxydolor.
Potem jest proszony o wejście na jedną z fałszywych stron, np. eincydent[.]org lub e-incydent[.]org, stylizowanych na oficjalne serwisy. Strony te mają służyć „zabezpieczeniu konta” lub „zgłoszeniu incydentu”. Po wejściu na taką stronę, lekarz proszony jest o uwierzytelnienie przez mObywatela.
Następnie otrzymuje wiadomość e-mail o rzekomym unieważnieniu certyfikatu ZUS oraz link do pobrania nowego pliku, zabezpieczonego hasłem będącym numerem PESEL. Przestępcy dzięki temu mogą przejąć certyfikat e‑ZLA i uzyskać dostęp do aplikacji gabinetowych, co umożliwia im wystawianie recept na leki psychotropowe i narkotyczne bez wiedzy lekarza.
Eksperci podkreślają, że instytucje publiczne nie proszą telefonicznie o logowanie ani o podawanie danych. Dlatego CSIRT CeZ zaleca weryfikację rozmówcy poprzez przerwanie połączenia i oddzwonienie na oficjalny numer instytucji. A w przypadku podejrzenia ataku, natychmiastowe zgłoszenie incydentu przez formularz dostępny na stronie cez.gov.pl.
Strony, adresy, telefony, nazwiska
Wśród wykorzystywanych przez przestępców domen znajdują się m.in. eincydent[.]org, e-incydent[.]org i m-incydent[.]org, a także adresy e-mail takie jak [email protected], [email protected], czy [email protected].
W atakach wykorzystywane są również numery telefonów:
- +48 21 223 07 00,
- +420 736 449 192,
- +420 739 443 974.
A w rozmowach z ofiarami często pojawiają się nazwiska Tomasz Zieliński i Tomasz Ochocki.
Lekarze, którzy chcą sprawdzić, czy wystawiono recepty bez ich wiedzy, powinni zalogować się na gabinet.gov.pl i skorzystać z dostępnych tam instrukcji. Prawdziwe incydenty należy zgłaszać wyłącznie przez oficjalny formularz CSIRT CeZ.
Napisz komentarz
Komentarze