Cyberprzestępcy biorą na cel lekarzy. CSIRT CeZ alarmuje
CSIRT CeZ ostrzega przed nową, wyjątkowo groźną kampanią cyberataków wymierzoną w lekarzy i osoby wystawiające recepty. Przestępcy podszywają się pod instytucje publiczne, aby przejąć dane logowania, certyfikaty e ZLA i dostęp do aplikacji gabinetowych, co pozwala im m.in. wystawiać recepty na leki psychotropowe i narkotyczne bez wiedzy lekarza.
W przypadku jakichkolwiek nietypowych telefonów, wiadomości lub podejrzanej aktywności zgłoś incydent wyłącznie przez oficjalny formularz CSIRT CeZ: https://cez.gov.pl/pl/page/zglos-incydent
Wczesna reakcja znacząco ogranicza ryzyko nadużyć i pomaga chronić dane pacjentów. Jak przebiega atak?
- Telefon od fałszywego pracownika instytucji
Przestępcy dzwonią z różnych numerów, przedstawiając się jako pracownicy NFZ lub zespołów ds. cyberbezpieczeństwa. Często używają nazwisk „Tomasz Zieliński” lub „Tomasz Ochocki”. Informują o rzekomych nieprawidłowościach, np. wystawieniu recepty na lek typu Oxydolor. - Skierowanie na fałszywą stronę
Ofiara proszona jest o wejście na jedną z witryn stylizowanych na serwisy publiczne:
• eincydent[.]org
• e-incydent[.]org
• m-incydent[.]org
• oraz ich warianty
Strony te mają rzekomo służyć „zabezpieczeniu konta”. Prawdziwe incydenty zgłasza się wyłącznie przez stronę CSIRT CeZ. - Fałszywe logowanie przez mObywatel
Lekarz proszony jest o uwierzytelnienie się przez mObywatela, co umożliwia przestępcom pozyskanie dodatkowych danych. - Przechwycenie certyfikatu e ZLA
Po logowaniu pojawia się e mail o „unieważnieniu certyfikatu ZUS” wraz z linkiem do pobrania nowego pliku. Hasłem ma być numer PESEL — to próba wyłudzenia. - Zakładanie kont w aplikacjach gabinetowych
Na podstawie skradzionych danych przestępcy mogą tworzyć nowe konta w aplikacjach gabinetowych, często bez wiedzy lekarza. - Wystawianie recept bez zgody lekarza
Po przejęciu certyfikatu i dostępu do systemu możliwe jest wystawianie recept na substancje kontrolowane.
Jak sprawdzić, czy wystawiono recepty bez Twojej wiedzy?
• Zaloguj się na: gabinet.gov.pl
• Instrukcja: https://ezdrowie.gov.pl/portal/artykul/raport-wystawionych-recept-w-gabinet-gov-pl
Dlaczego ta kampania jest tak groźna?
Cyberprzestępcy:
• wykorzystują presję i strach,
• podszywają się pod instytucje publiczne,
• stosują zaawansowaną socjotechnikę,
• dążą do przejęcia certyfikatów e ZLA i kont gabinetowych.
Skutkiem jest nie tylko nieuprawnione wystawianie recept, ale także dostęp do wrażliwych danych pacjentów, których naruszenie wymaga zgłoszenia do Prezesa UODO.
Rekomendacje dla lekarzy i podmiotów leczniczych - Weryfikuj rozmówcę
Instytucje publiczne nie proszą telefonicznie o logowanie ani podawanie danych. W razie wątpliwości przerwij rozmowę i oddzwoń na oficjalny numer. - Włącz uwierzytelnianie wieloskładnikowe (MFA)
Aktywuj MFA w systemach gabinetowych, poczcie i innych kluczowych usługach. - Korzystaj wyłącznie z oficjalnych stron
Nie klikaj linków ani kodów QR przesyłanych przez niezweryfikowane źródła. - Regularnie monitoruj wystawione recepty
Systematyczna kontrola gabinet.gov.pl pozwala szybko wykryć nadużycia. - Sprawdzaj swoje dane kontaktowe
Zweryfikuj adres e mail i inne dane w Profilu Zaufanym oraz aplikacjach gabinetowych — przestępcy często je zmieniają, aby ukryć przejęcie konta.
Wskaźniki kompromitacji (IOC)
Podejrzane domeny
• eincydent[.]org
• e-incydent[.]org
• m-incydent[.]org
Nazwiska używane przez oszustów
• Tomasz Zieliński
• Tomasz Ochocki
Adresy e mail wykorzystywane w kampanii
• tomaszochocki1@atomicmail.io
• tomoch12@int.pl
• tomaszochocki664@int.pl
Adresy IP fałszywych stron
• 172.67.143.246
• 104.21.71.79
Numery telefonów wykorzystywane w atakach
• +48 21 223 07 00
• +420 736 449 192
• +420 739 443 974
To jedna z najbardziej zaawansowanych kampanii wymierzonych w środowisko medyczne. Jej celem jest: kradzież danych, przejęcie Profilu Zaufanego i aplikacji gabinetowych, zdobycie certyfikatów e ZLA, zakładanie nowych kont w systemach gabinetowych, wystawianie recept bez uprawnień. Najskuteczniejszą ochroną pozostaje ostrożność, MFA, weryfikacja rozmówców, a także korzystanie wyłącznie z oficjalnych kanałów komunikacji.
