Kampania phishingowa wymierzona w użytkowników gabinet.gov.pl | Centrum e-Zdrowia

Ostrzeżenie to jest zgodne z informacją opublikowaną przez CERT Orange, który również potwierdza ukierunkowaną kampanię phishingową wymierzoną w lekarzy korzystających z gabinet.gov.pl.

Zagrożone systemy

• platforma gabinet.gov.pl (system e-recepty)
• konta lekarzy z dostępem do wystawiania e-recept i zwolnień
• system mObywatel (wykorzystywany do logowania)
• systemy HIS/EMR z integracją gabinet.gov.pl

Charakterystyka kampanii

SMS-y phishingowe:

• Nadawcy: "Gabinet" lub "INFSMS"
• Przykład treści: "UWAGA! Prosimy o włączenie weryfikacji dwuetapowej na koncie Gabinet w ciągu 24 godzin. W przeciwnym razie konto będzie wymagało ponownej weryfikacji. gabinet-gov[.]org"
• Taktyka: Wymuszanie szybkiej reakcji pod pretekstem "weryfikacji dwuetapowej"

Fałszywe domeny:

• gabinet-gov[.]org
• gabinet.ochrona-danych[.]info
• asdasddre.pages[.]dev
• gabinet.pages[.]dev

Mechanizm ataku

1. Fałszywy SMS
   • Atak rozpoczyna się od wysłania wiadomości SMS do lekarza. 
   • Treść wiadomości ma na celu wywołanie presji czasowej i wzbudzenie niepokoju, np.:
     • „UWAGA! Prosimy o włączenie weryfikacji dwuetapowej na koncie Gabinet w ciągu 24 godzin. W przeciwnym razie konto będzie wymagało ponownej weryfikacji.”
     • Wiadomość zawiera link do fałszywej strony, który wygląda podobnie do oficjalnej domeny, np. gabinet-gov[.]org.
2. Przekierowanie na fałszywą domenę
   • Kliknięcie w link prowadzi użytkownika na spreparowaną stronę, która:
     • imituje wygląd platformy login.gov.pl,
     • zawiera jedynie opcję logowania przez mObywatel (brak pozostałych metod dostępnych na prawdziwej stronie),
     • może zawierać formularze do wpisania danych logowania, które są przechwytywane przez atakujących.
3. Kradzież danych logowania
   • Po wpisaniu danych:
     • dane są przesyłane do serwera kontrolowanego przez cyberprzestępców,
     • możliwe jest natychmiastowe przejęcie konta lekarza,
     • atakujący mogą uzyskać dostęp do systemu gabinet.gov.pl, wystawiać e-recepty, przeglądać dane pacjentów, a nawet integrować się z systemami HIS/EMR.
4. Ukrycie śladów i dalsze działania
   • Atakujący mogą zmienić hasło, ustawić nowe metody uwierzytelniania lub wykorzystać konto do dalszych działań (np. rozsyłania kolejnych phishingów).
   • W niektórych przypadkach mogą próbować wykorzystać dostęp do systemu mObywatel lub innych usług zintegrowanych z login.gov.pl. 

Działania zapobiegawcze

1. Edukacja personelu

   Aby ograniczyć ryzyko skutecznych ataków phishingowych, kluczowe jest podnoszenie świadomości użytkowników systemu gabinet.gov.pl. Rekomendujemy następujące zasady:

   • Centrum e-Zdrowia oraz platforma Gabinet nigdy nie wysyłają wiadomości SMS zawierających linki. 
     Każda taka wiadomość powinna wzbudzić podejrzenia i zostać zignorowana.
   • Należy ignorować wszelkie SMS-y informujące o konieczności „weryfikacji konta Gabinet” lub innych pilnych działaniach. 
     Tego typu komunikaty są typowym elementem kampanii phishingowych.
   • Oficjalne komunikaty dotyczące logowania i bezpieczeństwa są publikowane wyłącznie za pośrednictwem strony login.gov.pl. Wszelkie inne źródła należy traktować jako potencjalnie niebezpieczne.

   W przypadku jakichkolwiek wątpliwości lub podejrzeń co do autentyczności wiadomości, zalecamy kontakt z infolinią Centrum e-Zdrowia pod numerem 19 239

2. Zabezpieczenia techniczne

   W celu ograniczenia skuteczności kampanii phishingowej zalecamy wdrożenie następujących środków technicznych:

   • Blokada fałszywych domen: należy zablokować dostęp do znanych domen wykorzystywanych w kampanii phishingowej, w tym: gabinet-gov.org, gabinet.ochrona-danych.info, oraz wszystkich subdomen w ramach *.pages.dev.
   • Monitoring prób dostępu: rekomendujemy aktywne monitorowanie sieci i systemów pod kątem prób połączenia z powyższymi domenami. Wczesne wykrycie takich prób może świadczyć o potencjalnym zagrożeniu lub nieświadomym kliknięciu przez użytkownika.

3. Weryfikacja kont  

   W przypadku podejrzenia, że dane logowania zostały podane na fałszywej stronie, zalecamy niezwłoczne podjęcie następujących kroków:

   • Sprawdzenie historii logowań z ostatnich 14 dni: należy przeanalizować aktywność konta, zwracając szczególną uwagę na nietypowe godziny logowania, lokalizacje oraz używane metody uwierzytelniania.
   • Identyfikacja podejrzanych logowań: szczególnym sygnałem ostrzegawczym jest sytuacja, w której konto było logowane wyłącznie przez aplikację mObywatel. Może to świadczyć o próbie podszycia się pod użytkownika.
   • Zmiana hasła: w przypadku jakichkolwiek wątpliwości co do bezpieczeństwa konta, należy niezwłocznie zmienić hasło oraz rozważyć aktywację dodatkowych metod uwierzytelniania.
   • Weryfikacja wystawionych e-recept z ostatnich 7 dni: zaleca się sprawdzenie, czy w systemie nie pojawiły się nieautoryzowane recepty lub inne działania wykonane bez wiedzy lekarza.

Zgłaszanie incydentów

• W przypadku otrzymania podejrzanych wiadomości SMS lub zauważenia nietypowej aktywności związanej z kontem Gabinet, prosimy o niezwłoczne zgłoszenie incydentu do zespołu CSIRT CeZ:
  • Adres e-mail do zgłoszeń: %20incydent [at] csirt.cez.gov.pl (incydent[at]csirt[dot]cez[dot]gov[dot]pl)
  • Formularz zgłoszenia
• Do zgłoszenia warto dołączyć:
  • Zrzuty ekranu (screenshots) podejrzanych wiadomości SMS
  • Informacje o czasie otrzymania wiadomości
• Prosimy o zachowanie oryginalnych SMS-ów jako dowód – mogą być pomocne w analizie technicznej

Zgłoszenia pomagają nam szybciej reagować i skuteczniej chronić użytkowników systemu gabinet.gov.pl.