Jesteś lekarzem? Uważaj na SMS-y sugerujące konieczność interakcji z systemem gabinet.gov.pl. CERT Orange Polska obserwuje kampanię phishingową, mającą na celu wykradzenie lekarzom dostępów do tego systemu.
W kwietniu opisywaliśmy podobny atak, ukierunkowany na dostęp do systemu P1. Tym razem analiza SMS-ów, które trafiły do systemów CERT Orange Polska wskazuje na to, iż celem oszustów jest przejęcie kont w systemie gabinet.gov.pl.
UWAGA! Prosimy o włączenie weryfkacji dwuetapowej na koncie Gabinet w ciągu 24 godzin. W przeciwnym razie konto będzie wymagało ponownej weryfikacji. gabinet-gov[.]org
Tak wyglądał jeden z SMS-ów, wysłany z nadpisu „Gabinet”. Pojawiały się też wiadomości wysyłane od nadawcy INFSMS. Linki kierowały również pod adresy www.asdasddre.pages[.]dev, gabinet.pages[.]dev. Docelowo użytkownicy trafiali na stronę gabinet-gov[.]org lub gabinet.ochrona-danych[.]info.
Co działo się dalej? Witryny docelowe łudząco przypominały panel logowania do usług rządowych. Różnica polegała na tym, że:
- rządowy serwis dostępny jest pod adresem https://login.gov.pl/login (bezpośrednie wejście przekierowuje do serwisu informacyjnego, dopiero bezpośrednie przekierowanie z konkretnego serwisu daje możliwość zalogowania)
- login.gov.pl pozwala na wybór jednej z pięciu metod logowania, podczas gdy fałszywa strona pozwala jedynie na zalogowanie mObywatelem
Z czym wiąże się nieautoryzowany dostęp do gabinet.gov.pl? jeżeli jesteście lekarzami – nie trzeba Wam tłumaczyć poziomu ryzyka. Dla wszystkich pozostałych – system gabinet.gov.pl pozwala m.in. na wystawianie e-recept oraz zwolnień lekarskich. Pole do nadużyć jest olbrzymie. A ich konsekwencje poniesie osoba, która niefrasobliwie udzieliła dostępu do swojego konta.
Być może kolejna kampania związana jest z rozbiciem przez Centralne Biuro Zwalczania Cyberprzestępczości zorganizowanej grupy przestępczej handlującej lekami? Rynek – również ten przestępczy – nie znosi próżni. Miejsce oszustów którzy trafili do aresztu mogą próbować zająć nowi.
Jak ochronić Twoje konto w gabinet.gov.pl
Z technicznego punktu widzenia opisywana sytuacja to phishing jak każdy inny. Sprytna socjotechniczna sztuczka (rzekoma konieczność włączenia 2FA) ma przekonać ofiarę do kliknięcia w link. Dodatkowo, fakt iż z obserwacji CERT Orange Polska wynika, iż mamy do czynienia z niskowolumenową kampanią może dowodzić, iż atakujący wysyłają SMS-y faktycznie do lekarzy/osób z dostępem do gabinet.gov.pl.
Jak uniknąć ryzyka?
- stosuj zasadę ograniczonego zaufania do SMS-ów zawierających linki
- absolutnie zawsze sprawdzaj adres w pasku przeglądarki, gdy strona wymaga od Ciebie podania hasła lub zalogowania się w inny sposób
- jeśli treść wiadomości wywołuje Twoje emocje – zadziałaj na przekór i przenalizuj ją wyjątkowo dokładnie, zanim cokolwiek zrobisz
Takich SMS-ów nie dostajesz wiele. Przyjrzenie się im dokładnie zajmie Ci minutę – może trzy. A zaoszczędzi mnóstwa potencjalnych poważnych konsekwencji. To rada nie tylko dla lekarzy – powinien o tym pamiętać absolutnie każdy.
