CERT Orange Polska alarmuje. Nowa kampania oszustw wymierzona w konkretną grupę zawodową

Eksperci ds. cyberbezpieczeństwa z CERT Orange Polska ostrzegają przed niebezpieczną kampanią phishingową wymierzoną w środowisko medyczne. Oszuści podszywają się pod popularną platformę Medfile. dzięki fałszywych SMS-ów straszą lekarzy gigantycznymi karami za naruszenie RODO, próbując w ten sposób wyłudzić dane logowania. Przejęte konto może posłużyć przestępcom do masowego wystawiania lewych recept i zwolnień lekarskich

Kobieta pracująca przy laptopie, trzymająca w ręku telefon. Fot. Pixabay

Mechanizm tego oszustwa został precyzyjnie zaprojektowany tak, aby uderzyć w czuły punkt każdej placówki medycznej – strach przed konsekwencjami prawnymi i finansowymi za wyciek danych pacjentów.

„Naruszenie danych R0DO”. Jak wygląda fałszywy SMS?

Atak zaczyna się od wiadomości tekstowej na telefon komórkowy lekarza. Aby uwiarygodnić oszustwo, przestępcy używają techniki nadpisu (spoofingu), przez co wiadomość wyświetla się jako nadana przez „MD-FILE”.

Treść SMS-a jest krótka i ma wywołać panikę:

„Naruszenie danych R0DO. Grozi kara finansowa: [tu znajduje się niebezpieczny link]”.

Warto zauważyć, iż oszuści celowo użyli w słowie „R0DO” cyfry zero zamiast litery „O”, co często pozwala im ominąć automatyczne filtry antyspamowe operatorów.

Perfekcyjna iluzja. Ofiara myśli, iż wszystko jest w porządku

Lekarz, działając pod wpływem silnego stresu i pośpiechu, klika w przesłany link. Zostaje wówczas przekierowany na podrobioną stronę, która do złudzenia przypomina oficjalny panel logowania Medfile:

1. Na początku wyświetla się fałszywy komunikat o rzekomej „weryfikacji bezpieczeństwa”.

2. Następnie pojawia się formularz, w którym ofiara wpisuje swój login oraz hasło.

3. Po wysłaniu danych, system pokazuje kolejne plansze informujące o rzekomej „kontroli konta”.

4. Na samym końcu użytkownik zostaje automatycznie przekierowany na prawdziwą stronę Medfile.

Przez to przekierowanie medyk może być przekonany, iż przeszedł standardową procedurę bezpieczeństwa, podczas gdy w rzeczywistości jego dane trafiły już na serwer oszustów.

Cel: Masowe wystawianie recept i e-ZLA

Przejęcie dostępu do konta w systemie Medfile daje cyberprzestępcom pełną kontrolę nad profilem lekarza. Mogą oni w jego imieniu nielegalnie wystawiać zwolnienia lekarskie oraz e-recepty na silne lub deficytowe leki, co niesie za sobą katastrofalne skutki prawne dla okradzionego medyka.

Analitycy CERT Orange Polska przypominają, iż to nie pierwszy taki przypadek. Podobne ataki na polską służbę zdrowia są powtarzane regularnie: w kwietniu ubiegłego roku głośno było o kampanii wymierzonej w system P1, a we wrześniu oszuści próbowali masowo wyłudzać hasła do rządowego portalu Gabinet.gov.pl.

Jak się bronić? Eksperci wskazują jedno najważniejsze rozwiązanie

Służby odpowiedzialne za cyberbezpieczeństwo apelują do wszystkich pracowników medycznych o zachowanie szczególnej ostrożności i dokładne sprawdzanie adresów URL stron, na których wpisują swoje hasła.

Najważniejszą i najskuteczniejszą linią obrony przed skutkami tego ataku jest włączenie uwierzytelniania dwuskładnikowego (2FA) w systemie Medfile. choćby jeżeli oszust pozna poprawne hasło i login lekarza, nie będzie w stanie zalogować się do profilu bez dodatkowego kodu potwierdzającego (np. z aplikacji lub SMS), co całkowicie zablokuje próbę kradzieży tożsamości.