Nowości

CSIRT CeZ razem z CERT Orange ostrzega przed aktywną kampanią phishingową, w której cyberprzestępcy podszywają się pod system gabinet.gov.pl i rozsyłają fałszywe wiadomości SMS. Celem atakujących są lekarze posiadający dostęp do systemu e-recept. Kampania ma charakter ukierunkowany na lekarzy i może prowadzić do przejęcia danych logowania oraz nieautoryzowanego dostępu do systemów medycznych.

Zagrożone systemy

• platforma gabinet.gov.pl (system e-recepty)
• konta lekarzy z dostępem do wystawiania e-recept i zwolnień
• system mObywatel (wykorzystywany do logowania)
• systemy HIS/EMR z integracją gabinet.gov.pl

Charakterystyka kampanii

• SMS-y phishingowe:
• Nadawcy: “Gabinet” lub “INFSMS”
• Przykład treści: “UWAGA! Prosimy o włączenie weryfikacji dwuetapowej na koncie Gabinet w ciągu 24 godzin. W przeciwnym razie konto będzie wymagało ponownej weryfikacji. gabinet-gov[.]org”
• Taktyka: Wymuszanie szybkiej reakcji pod pretekstem “weryfikacji dwuetapowej”
• Fałszywe domeny:
• gabinet-gov[.]org
• gabinet.ochrona-danych[.]info
• www.asdasddre.pages[.]dev
• gabinet.pages[.]dev

Mechanizm ataku

1. Fałszywy SMS

Atak rozpoczyna się od wysłania wiadomości SMS do lekarza.
Treść wiadomości ma na celu wywołanie presji czasowej i wzbudzenie niepokoju, np.:

„UWAGA! Prosimy o włączenie weryfikacji dwuetapowej na koncie Gabinet w ciągu 24 godzin. W przeciwnym razie konto będzie wymagało ponownej weryfikacji.”

Wiadomość zawiera link do fałszywej strony, który wygląda podobnie do oficjalnej domeny, np. gabinet-gov[.]org.

2. Przekierowanie na fałszywą domenę

Kliknięcie w link prowadzi użytkownika na spreparowaną stronę, która:

• imituje wygląd platformy login.gov.pl,
• zawiera jedynie opcję logowania przez mObywatel (brak pozostałych metod dostępnych na prawdziwej stronie),
• może zawierać formularze do wpisania danych logowania, które są przechwytywane przez atakujących.

3. Kradzież danych logowania

Po wpisaniu danych:

• dane są przesyłane do serwera kontrolowanego przez cyberprzestępców,
• możliwe jest natychmiastowe przejęcie konta lekarza,
• atakujący mogą uzyskać dostęp do systemu gabinet.gov.pl, wystawiać e-recepty, przeglądać dane pacjentów, a nawet integrować się z systemami HIS/EMR.

4. Ukrycie śladów i dalsze działania

• Atakujący mogą zmienić hasło, ustawić nowe metody uwierzytelniania lub wykorzystać konto do dalszych działań (np. rozsyłania kolejnych phishingów).
• W niektórych przypadkach mogą próbować wykorzystać dostęp do systemu mObywatel lub innych usług zintegrowanych z login.gov.pl.

Działania zapobiegawcze

1. Edukacja personelu

Aby ograniczyć ryzyko skutecznych ataków phishingowych, kluczowe jest podnoszenie świadomości użytkowników systemu gabinet.gov.pl. Rekomendujemy następujące zasady:

• Centrum e-Zdrowia oraz platforma Gabinet nigdy nie wysyłają wiadomości SMS zawierających linki.
  Każda taka wiadomość powinna wzbudzić podejrzenia i zostać zignorowana.
• Należy ignorować wszelkie SMS-y informujące o konieczności „weryfikacji konta Gabinet” lub innych pilnych działaniach.
  Tego typu komunikaty są typowym elementem kampanii phishingowych.
• Oficjalne komunikaty dotyczące logowania i bezpieczeństwa są publikowane wyłącznie za pośrednictwem strony login.gov.pl.
  Wszelkie inne źródła należy traktować jako potencjalnie niebezpieczne.
• W przypadku jakichkolwiek wątpliwości lub podejrzeń co do autentyczności wiadomości, zalecamy kontakt z infolinią Centrum e-Zdrowia pod numerem 19 239

2. Zabezpieczenia techniczne

W celu ograniczenia skuteczności kampanii phishingowej zalecamy wdrożenie następujących środków technicznych:

• Blokada fałszywych domen
  Należy zablokować dostęp do znanych domen wykorzystywanych w kampanii phishingowej, w tym: gabinet-gov.org, gabinet.ochrona-danych.info, oraz wszystkich subdomen w ramach *.pages.dev.
• Monitoring prób dostępu
  Rekomendujemy aktywne monitorowanie sieci i systemów pod kątem prób połączenia z powyższymi domenami. Wczesne wykrycie takich prób może świadczyć o potencjalnym zagrożeniu lub nieświadomym kliknięciu przez użytkownika.

3. Weryfikacja kont

W przypadku podejrzenia, że dane logowania zostały podane na fałszywej stronie, zalecamy niezwłoczne podjęcie następujących kroków:

• Sprawdzenie historii logowań z ostatnich 14 dni
  Należy przeanalizować aktywność konta, zwracając szczególną uwagę na nietypowe godziny logowania, lokalizacje oraz używane metody uwierzytelniania.
• Identyfikacja podejrzanych logowań
  Szczególnym sygnałem ostrzegawczym jest sytuacja, w której konto było logowane wyłącznie przez aplikację mObywatel. Może to świadczyć o próbie podszycia się pod użytkownika.
• Zmiana hasła
  W przypadku jakichkolwiek wątpliwości co do bezpieczeństwa konta, należy niezwłocznie zmienić hasło oraz rozważyć aktywację dodatkowych metod uwierzytelniania.
• Weryfikacja wystawionych e-recept z ostatnich 7 dni
  Zaleca się sprawdzenie, czy w systemie nie pojawiły się nieautoryzowane recepty lub inne działania wykonane bez wiedzy lekarza.

Zgłaszanie incydentów

W przypadku otrzymania podejrzanych wiadomości SMS lub zauważenia nietypowej aktywności związanej z kontem Gabinet, prosimy o niezwłoczne zgłoszenie incydentu do zespołu CSIRT CeZ:

Adres e-mail do zgłoszeń: incident@nullcsirt.cez.gov.pl

Formularz zgłoszenia: https://www.cez.gov.pl/pl/page/zglos-incydent

Do zgłoszenia warto dołączyć:

• Zrzuty ekranu (screenshots) podejrzanych wiadomości SMS
• Informacje o czasie otrzymania wiadomości

W przypadku dodatkowych pytań lub potrzeby wsparcia, pozostajemy do Państwa dyspozycji pod adresem: info@nullcsirt.cez.gov.pl

Na przełomie września i października br. na wyposażeniu Krajowego Centrum Ochrony Radiologicznej w Ochronie Zdrowia znajdzie się system symulacji dla radiologii zabiegowej – CathTrain VR – szwajcarskiej firmy SurgeonsLab. Zakup został sfinansowany przez Międzynarodową Agencję Energii Atomowej (IAEA) w ramach realizacji projektu IAEA TC POL9028 pt. „Zapobieganie niepożądanym reakcjom tkanek w procedurach radiologii zabiegowej”, we współpracy z Państwową Agencją Atomistyki.

Uruchomienie symulatora i umożliwienie niekomercyjnego dostępu dla lekarzy z zakładów radiologii zabiegowej, fizyków medycznych, elektroradiologów oraz studentów pozwoli na prowadzenie nowoczesnych szkoleń w zakresie radiologii interwencyjnej, mających na celu optymalizację ochrony radiologicznej przy wykonywaniu zabiegów pod kontrolą fluoroskopii. Wykorzystanie systemu symulacji zapewni bezpieczne przeszkolenie zarówno w zakresie wykonywania zabiegów, jak i stosowania niezbędnych środków ochrony radiologicznej.

Doświadczenie zdobyte podczas szkoleń będzie prowadzić do szerzenia dobrych praktyk zwiększających bezpieczeństwo radiologiczne pacjentów i personelu, a także zmniejszenia liczby ekspozycji, które nie są uzasadnione warunkami klinicznymi.