Cyberprzestępcy atakują lekarzy! Próby przejęcia tożsamości i wystawiania recept bez autoryzacji | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

sylwetka człowieka trzymającego laptop przenikająca w panoramę miasta. Na przyszłym

Cyberprzestępcy atakują lekarzy! Próby przejęcia tożsamości i wystawiania recept bez autoryzacji

CSIRT CeZ obserwuje kampanię cyberprzestępczą wymierzoną w lekarzy oraz osoby posiadające uprawnienia do wystawiania recept. Atakujący podszywają się pod instytucje publiczne, m.in. NFZ, ZUS czy zespoły cyberbezpieczeństwa i wykorzystują socjotechniki, aby wyłudzić dane uwierzytelniające. Skutkiem ataku jest możliwość nieuprawnionego wystawiania recept na leki psychotropowe i narkotyczne, które następnie mogą być realizowane bez wiedzy lekarza.

Na czym polega oszustwo

1. Telefon od rzekomego pracownika np. NFZ

Atakujący dzwonią z różnych numerów, przedstawiając się jako pracownik zespołu ds. cyberbezpieczeństwa NFZ (najczęściej pod nazwiskami „Tomasz Zieliński” lub „Tomasz Ochocki”). Informują, że zauważono np. „X recept na Oxydolor wystawionych z konta lekarza”. Schemat jest powtarzalny. Ważne! Schemat może ulec zmianom. 

2. Skierowanie na fałszywą stronę

Rozmówca prosi o wejście na jedną z domen:

  • eincydent[.]org
  • e-incydent[.]org
  • m-incydent[.]org

Strony są stylizowane na serwisy instytucji publicznych. Oszust twierdzi, że należy tam „zabezpieczyć konto”, „zgłosić incydent” albo „wygenerować nowy certyfikat”.

Pamiętaj! Incydent zgłaszaj tylko poprzez oficjalną stronę CSIRT CeZ.

3. Logowanie przez aplikację mObywatel

Lekarz proszony jest o uwierzytelnienie się poprzez mObywatel. Jeżeli to zrobi, przestępcy pozyskują dodatkowe dane, w tym dostępowe.

4. Przechwycenie certyfikatu e‑ZLA

Po zalogowaniu na fałszywej stronie, lekarz otrzymuje e-mail o „unieważnieniu certyfikatu ZUS” wraz z linkiem do pobrania nowego, fałszywego pliku. Hasłem do niego jest numer PESEL.

To pozwala atakującym przejąć certyfikat uwierzytelniający.

5. Zakładanie kont w aplikacjach gabinetowych

Z wykorzystaniem wyłudzonych danych przestępcy zakładają konta w niektórych aplikacjach gabinetowych.  

6. Wystawianie fałszywych recept

Po uzyskaniu dostępu do konta w aplikacji gabinetowej oraz przejęciu certyfikatu e‑ZLA przestępcy mogą wystawiać recepty, w tym na substancje kontrolowane.

Jak sprawdzić, czy wystawiono recepty bez wiedzy lekarza

Wszystkie wystawione recepty można zweryfikować w gabinet.gov.pl 

Instrukcja znajduje się na stronie ezdrowie.gov.pl.

Dlaczego kampania jest groźna

  • Cyberprzestępcy stosują różne socjotechniki, w tym:
    • wykorzystują presję, element strachu i poczucie odpowiedzialności prawnej
    • posługują się tożsamością instytucji publicznych, co zwiększa wiarygodność komunikatu
    • nawiązują do realnych wydarzeń
  • Po przejęciu certyfikatu przestępca zyskuje faktyczną możliwość wystawiania recept.

Rekomendacje dla lekarzy

1. Weryfikuj rozmówcę

Instytucje publiczne nie proszą telefonicznie o logowanie, podawanie danych ani klikanie w linki. W przypadku wątpliwości należy zakończyć rozmowę i oddzwonić na oficjalny numer instytucji.

2. Włącz uwierzytelnienie wieloskładnikowe (MFA)

Zalecamy włączenie MFA w systemach gabinetowych i wszędzie tam, gdzie jest dostępne. Jest to istotne zarówno w firmowych, jak i prywatnych kontach, np. skrzynce mailowej, gdzie przejęcie poświadczeń bardzo często powoduje dostęp do wszelkich wrażliwych danych. Dzięki temu znacząco ograniczysz możliwość nieautoryzowanego dostępu.

3. Korzystaj wyłącznie z oficjalnych stron

Nie wchodź w linki ani kody QR przesyłane telefonicznie lub e‑mailem przez niezweryfikowane źródła.

4. Regularnie monitoruj wystawione recepty  

Cykliczna kontrola konta w gabinet.gov.pl pozwala szybko wykryć nadużycia.  

5. Monitoruj swoje dane kontaktowe m.in. w Profilu Zaufanym i aplikacjach gabinetowych

Cyberprzestępcy często posługują się przejętym Profilem Zaufanym. Warto sprawdzić, czy np. adres e-mail oraz pozostałe dane są poprawne i wszystkie informacje trafiają do odpowiedniego odbiorcy. Jest to istotne, ponieważ atakujący często zmieniają dane kontaktowe w aplikacjach gabinetowych oraz w Profilu Zaufanym, aby potencjalne oznaki przejęcia konta nie trafiały do lekarza.  

Elementy charakterystyczne dla tej kampanii, tzw. wskaźniki kompromitacji (IOC):

  • Podejrzane domeny
    • eincydent[.]org
    • e-incydent[.]org
    • m-incydent[.]org
  • Nazwiska używane przez oszustów
    • Tomasz Zieliński
    • Tomasz Ochocki
  • Adresy e-mail wykorzystywane w kampanii
    • tomaszochocki1 [at] atomicmail.io (tomaszochocki1[at]atomicmail[dot]io)
    • tomoch12 [at] int.pl (tomoch12[at]int[dot]pl)
    • tomaszochocki664 [at] int.pl (tomaszochocki664[at]int[dot]pl)
  • Adresy IP obsługujące fałszywe strony
    • 172.67.143.246
    • 104.21.71.79
  • Numery telefonów, z których wykonywane są połączenia
    • +48 21 223 07 00
    • +420 736 449 192
    • +420 739 443 974

Podsumowanie

Najważniejszą ochroną jest ostrożność, stosowanie MFA, weryfikacja rozmówców i korzystanie z oficjalnych kanałów.

Przejęcie dostępu do aplikacji gabinetowych skutkuje nie tylko nieuprawnionym wystawianiem recept na leki psychotropowe i narkotyczne, lecz przede wszystkim uzyskaniem dostępu do wrażliwych danych osobowych pacjentów. Dane te objęte są szczególną ochroną na gruncie RODO, a naruszenie ich poufności powinno być zgłoszone do Prezesa UODO. 

Kontakt z CSIRT CeZ

Incydenty, naruszenia oraz podejrzane zdarzenia można zgłaszać poprzez formularz na stronie CSIRT CeZ.