Według informacji przekazanych przez CSIRT Centrum e-Zdrowia (Cyber Security Incident Response Team), przestępcy dzwonią do lekarzy, podając się za przedstawicieli instytucji, takich jak NFZ lub zespoły ds. cyberbezpieczeństwa. W rozmowach telefonicznych oszuści często posługują się nazwiskami Tomasz Zieliński lub Tomasz Ochocki. Informują o rzekomych nieprawidłowościach w wystawianiu recept, a następnie kierują ofiary na fałszywe strony internetowe, które do złudzenia przypominają oficjalne serwisy. Tam proszą o logowanie przez aplikację mObywatel, co pozwala im przejąć poufne dane oraz dostęp do aplikacji gabinetowych.

CSIRT CeZ ostrzega, że po uzyskaniu certyfikatu e‑ZLA, cyberprzestępcy mogą wystawiać recepty na substancje kontrolowane bez wiedzy lekarza. W komunikacie podkreślono również, że przejęcie dostępu do aplikacji gabinetowych skutkuje nie tylko nieuprawnionym wystawianiem recept na leki psychotropowe i narkotyczne, lecz także umożliwia uzyskanie dostępu do wrażliwych danych osobowych pacjentów. Zgodnie z przepisami RODO, naruszenie poufności takich danych wymaga zgłoszenia do Prezesa UODO.

Mechanizm ataku rozpoczyna się od kontaktu telefonicznego, podczas którego lekarz otrzymuje informację o rzekomo wystawionych receptach na leki, takie jak Oxydolor. Następnie ofiara jest proszona o wejście na jedną z fałszywych stron, np. eincydent[.]org lub e-incydent[.]org, stylizowanych na oficjalne serwisy. Strony te mają służyć "zabezpieczeniu konta" lub "zgłoszeniu incydentu". Po wejściu na taką stronę, lekarz proszony jest o uwierzytelnienie przez mObywatela. W kolejnym kroku otrzymuje wiadomość e-mail o rzekomym unieważnieniu certyfikatu ZUS oraz link do pobrania nowego pliku, zabezpieczonego hasłem będącym numerem PESEL. Przestępcy dzięki temu mogą przejąć certyfikat e‑ZLA i uzyskać dostęp do aplikacji gabinetowych, co umożliwia im wystawianie recept na leki psychotropowe i narkotyczne bez wiedzy lekarza.

W przypadku podejrzenia ataku, CSIRT CeZ zaleca natychmiastowe zgłoszenie incydentu przez oficjalny formularz dostępny na stronie cez.gov.pl. Eksperci podkreślają, że instytucje publiczne nie proszą telefonicznie o logowanie ani o podawanie danych. Zaleca się również weryfikację rozmówcy poprzez przerwanie połączenia i oddzwonienie na oficjalny numer instytucji.

Jednym z podstawowych zabezpieczeń, które rekomendują eksperci, jest wprowadzenie uwierzytelniania wieloskładnikowego (MFA) we wszystkich systemach gabinetowych oraz w poczcie elektronicznej. Lekarze powinni korzystać wyłącznie z oficjalnych stron internetowych i unikać klikania w linki lub kody QR przesyłane przez niezweryfikowane źródła. Regularna kontrola wystawionych recept na gabinet.gov.plpozwala na szybkie wykrycie nieprawidłowości. Istotne jest także monitorowanie danych kontaktowych w Profilu Zaufanym oraz aplikacjach gabinetowych, ponieważ oszuści mogą je zmieniać, by ukryć przejęcie konta.

Wśród wykorzystywanych przez przestępców domen znajdują się m.in. eincydent[.]org, e-incydent[.]org i m-incydent[.]org, a także adresy e-mail takie jak tomaszochocki1@atomicmail.io, tomoch12@int.pl czy tomaszochocki664@int.pl. W atakach wykorzystywane są również numery telefonów +48 21 223 07 00, +420 736 449 192 oraz +420 739 443 974. Nazwiska Tomasz Zieliński i Tomasz Ochocki często pojawiają się w rozmowach z ofiarami.

Lekarze, którzy chcą sprawdzić, czy wystawiono recepty bez ich wiedzy, powinni zalogować się na gabinet.gov.pl i skorzystać z dostępnych tam instrukcji. Prawdziwe incydenty należy zgłaszać wyłącznie przez oficjalny formularz CSIRT CeZ.

Przestępcy wykorzystują strach, presję prawną oraz techniki socjotechniczne, podszywając się pod instytucje publiczne. Przejęcie certyfikatu e‑ZLA umożliwia im zarówno wystawianie recept, jak i dostęp do danych osobowych pacjentów. W przypadku naruszenia poufności danych, CSIRT CeZ przypomina o konieczności zgłoszenia tego faktu do Prezesa UODO.

źródło: medonet.pl