CSIRT CeZ razem z CERT Orange ostrzega przed aktywną kampanią phishingową, w której cyberprzestępcy podszywają się pod system gabinet.gov.pl i rozsyłają fałszywe wiadomości SMS. Celem atakujących są lekarze posiadający dostęp do systemu e-recept. Kampania ma charakter ukierunkowany na lekarzy i może prowadzić do przejęcia danych logowania oraz nieautoryzowanego dostępu do systemów medycznych.
Zagrożone systemy
- platforma gabinet.gov.pl (system e-recepty)
- konta lekarzy z dostępem do wystawiania e-recept i zwolnień
- system mObywatel (wykorzystywany do logowania)
- systemy HIS/EMR z integracją gabinet.gov.pl
Charakterystyka kampanii
- SMS-y phishingowe:
- Nadawcy: “Gabinet” lub “INFSMS”
- Przykład treści: “UWAGA! Prosimy o włączenie weryfikacji dwuetapowej na koncie Gabinet w ciągu 24 godzin. W przeciwnym razie konto będzie wymagało ponownej weryfikacji. gabinet-gov[.]org”
- Taktyka: Wymuszanie szybkiej reakcji pod pretekstem “weryfikacji dwuetapowej”
- Fałszywe domeny:
- gabinet-gov[.]org
- gabinet.ochrona-danych[.]info
- www.asdasddre.pages[.]dev
- gabinet.pages[.]dev
Mechanizm ataku
1. Fałszywy SMS
Atak rozpoczyna się od wysłania wiadomości SMS do lekarza.
Treść wiadomości ma na celu wywołanie presji czasowej i wzbudzenie niepokoju, np.:
„UWAGA! Prosimy o włączenie weryfikacji dwuetapowej na koncie Gabinet w ciągu 24 godzin. W przeciwnym razie konto będzie wymagało ponownej weryfikacji.”
Wiadomość zawiera link do fałszywej strony, który wygląda podobnie do oficjalnej domeny, np. gabinet-gov[.]org.
2. Przekierowanie na fałszywą domenę
Kliknięcie w link prowadzi użytkownika na spreparowaną stronę, która:
- imituje wygląd platformy login.gov.pl,
- zawiera jedynie opcję logowania przez mObywatel (brak pozostałych metod dostępnych na prawdziwej stronie),
- może zawierać formularze do wpisania danych logowania, które są przechwytywane przez atakujących.
3. Kradzież danych logowania
Po wpisaniu danych:
- dane są przesyłane do serwera kontrolowanego przez cyberprzestępców,
- możliwe jest natychmiastowe przejęcie konta lekarza,
- atakujący mogą uzyskać dostęp do systemu gabinet.gov.pl, wystawiać e-recepty, przeglądać dane pacjentów, a nawet integrować się z systemami HIS/EMR.
4. Ukrycie śladów i dalsze działania
- Atakujący mogą zmienić hasło, ustawić nowe metody uwierzytelniania lub wykorzystać konto do dalszych działań (np. rozsyłania kolejnych phishingów).
- W niektórych przypadkach mogą próbować wykorzystać dostęp do systemu mObywatel lub innych usług zintegrowanych z login.gov.pl.
Działania zapobiegawcze
1. Edukacja personelu
Aby ograniczyć ryzyko skutecznych ataków phishingowych, kluczowe jest podnoszenie świadomości użytkowników systemu gabinet.gov.pl. Rekomendujemy następujące zasady:
- Centrum e-Zdrowia oraz platforma Gabinet nigdy nie wysyłają wiadomości SMS zawierających linki.
Każda taka wiadomość powinna wzbudzić podejrzenia i zostać zignorowana. - Należy ignorować wszelkie SMS-y informujące o konieczności „weryfikacji konta Gabinet” lub innych pilnych działaniach.
Tego typu komunikaty są typowym elementem kampanii phishingowych. - Oficjalne komunikaty dotyczące logowania i bezpieczeństwa są publikowane wyłącznie za pośrednictwem strony login.gov.pl.
Wszelkie inne źródła należy traktować jako potencjalnie niebezpieczne. - W przypadku jakichkolwiek wątpliwości lub podejrzeń co do autentyczności wiadomości, zalecamy kontakt z infolinią Centrum e-Zdrowia pod numerem 19 239
2. Zabezpieczenia techniczne
W celu ograniczenia skuteczności kampanii phishingowej zalecamy wdrożenie następujących środków technicznych:
- Blokada fałszywych domen
Należy zablokować dostęp do znanych domen wykorzystywanych w kampanii phishingowej, w tym: gabinet-gov.org, gabinet.ochrona-danych.info, oraz wszystkich subdomen w ramach *.pages.dev. - Monitoring prób dostępu
Rekomendujemy aktywne monitorowanie sieci i systemów pod kątem prób połączenia z powyższymi domenami. Wczesne wykrycie takich prób może świadczyć o potencjalnym zagrożeniu lub nieświadomym kliknięciu przez użytkownika.
3. Weryfikacja kont
W przypadku podejrzenia, że dane logowania zostały podane na fałszywej stronie, zalecamy niezwłoczne podjęcie następujących kroków:
- Sprawdzenie historii logowań z ostatnich 14 dni
Należy przeanalizować aktywność konta, zwracając szczególną uwagę na nietypowe godziny logowania, lokalizacje oraz używane metody uwierzytelniania. - Identyfikacja podejrzanych logowań
Szczególnym sygnałem ostrzegawczym jest sytuacja, w której konto było logowane wyłącznie przez aplikację mObywatel. Może to świadczyć o próbie podszycia się pod użytkownika. - Zmiana hasła
W przypadku jakichkolwiek wątpliwości co do bezpieczeństwa konta, należy niezwłocznie zmienić hasło oraz rozważyć aktywację dodatkowych metod uwierzytelniania. - Weryfikacja wystawionych e-recept z ostatnich 7 dni
Zaleca się sprawdzenie, czy w systemie nie pojawiły się nieautoryzowane recepty lub inne działania wykonane bez wiedzy lekarza.
Zgłaszanie incydentów
W przypadku otrzymania podejrzanych wiadomości SMS lub zauważenia nietypowej aktywności związanej z kontem Gabinet, prosimy o niezwłoczne zgłoszenie incydentu do zespołu CSIRT CeZ:
Adres e-mail do zgłoszeń: incident@nullcsirt.cez.gov.pl
Formularz zgłoszenia: https://www.cez.gov.pl/pl/page/zglos-incydent
Do zgłoszenia warto dołączyć:
- Zrzuty ekranu (screenshots) podejrzanych wiadomości SMS
- Informacje o czasie otrzymania wiadomości
W przypadku dodatkowych pytań lub potrzeby wsparcia, pozostajemy do Państwa dyspozycji pod adresem: info@nullcsirt.cez.gov.pl
