Szanowni Państwo

CSIRT CeZ ostrzega przed nasilającą się kampanią phishingową wymierzoną w pracowników ochrony zdrowia. Atakujący podszywają się pod system e-zdrowie (P1) i próbują wyłudzić dane logowania do platformy. Zjawisko obserwują również inne zespoły bezpieczeństwa. 

Jak wygląda atak

1. Odbiorca otrzymuje fałszywy sms. W tej wiadomości znajduje się informacja o rzekomych problemach z kontem w systemie e-zdrowie i sugestia, że konieczna jest natychmiastowa weryfikacja poprzez link załączony w treści wiadomości.  
2. Po kliknięciu odbiorca trafia na fałszywą stronę imitującą panel logowania do systemów, z których personel medyczny korzysta w celu uzyskania dostępu do platformy P1.
3. Strony phishingowe są przygotowane tak, aby wizualnie jak najwierniej odtwarzać prawdziwe ekrany logowania. Znajdziemy tam komunikaty o rzekomej aktualizacji danych oraz o możliwości usunięcia konta w ciągu kilku dni, jeśli użytkownik nie potwierdzi swoich danych.
4. Po zalogowaniu się na fałszywą stronę atakowany przekazuje cyberprzestępcom swoje dane, a konsekwencje mogą być opłakane.

W ostatnim czasie zidentyfikowano między innymi fałszywe domeny:

• p1-zdrowie[.]eu
• GabinetLekarski[.]info
• e-zdrowle[.]pl
• Gablnet[.]pl
• E-ZDROWIE.GABlNET[.]PL 

Skala kampanii wskazuje jednak, że podobnych adresów może być znacznie więcej.

Dane logowania do systemów dostępowych używanych przez pracowników ochrony zdrowia są wyjątkowo cennym celem dla cyberprzestępców.

Jakie są potencjalne konsekwencje udostępnienia danych

Konsekwencje mogą być poważne i obejmować m.in.:

1. Wystawianie fałszywych e‑recept, e‑skierowań i i innych dokumentów.

Dostęp do konta pracownika ochrony zdrowia umożliwia generowanie dokumentów medycznych, które następnie będą traktowane przez system jako wystawione przez prawidłowo uwierzytelnioną osobę. Niesie to za sobą ryzyko nadużyć, a nawet konsekwencji prawnych dla poszkodowanego użytkownika.

2. Próby wykorzystania tych samych danych w innych systemach

Po przejęciu loginu i hasła cyberprzestępcy mogą stosować tzw. password spraying, czyli spróbować użyć przechwyconych poświadczeń w wielu innych miejscach. Z doświadczeń CSIRT CeZ oraz partnerów wynika, że wciąż część użytkowników stosuje te same hasła w różnych usługach, co dodatkowo zwiększa skalę zagrożenia.

3. Ryzyko wykorzystania systemu do dalszych ataków

Dostęp do konta pracownika ochrony zdrowia może zostać użyty do dalszych nadużyć, w tym prób ataków na powiązane systemy czy platformy.

Jak się chronić

Uważnie sprawdzaj nadawcę SMS-ów.

Pamiętaj! System e-zdrowie nie wysyła SMS-ów z prośbą o weryfikację konta poprzez linki w wiadomości.

Nie klikaj w odnośniki z wiadomości SMS lub e-maili.

Zawsze loguj się do systemów tylko przez oficjalne adresy i aplikacje. Nigdy nie podawaj danych logowania na stronach otwieranych z linków w wiadomościach.