Cyberprzestępcy ponownie koncentrują swoje działania na sektorze ochrony zdrowia. Najnowsza kampania phishingowa skierowana jest w użytkowników Medfile - jednej z popularnych platform do prowadzenia elektronicznej dokumentacji medycznej (EDM). Korzystają z niej zarówno gabinety i przychodnie, jak i firmy działające w modelu B2B, a system obsługuje m.in. rezerwacje wizyt, e-recepty, zwolnienia, karty pacjentów oraz harmonogramy pracy personelu.
Platformy zarządzające dokumentacją pacjentów zawierają wyjątkowo wrażliwe informacje, co sprawia, iż potencjalne skutki ataku phishingowego mogą być odczuwalne na wielu poziomach. Nic więc dziwnego, iż branża medyczna od dłuższego czasu jest priorytetowym celem cyberprzestępców. O podobnym incydencie, wymierzonym w inną instytucję z sektora ochrony zdrowia - NFZ, pisaliśmy w artykule: https://www.sirt.pl/atak-phishingowy-z-nfz-w-tle-twoi-bliscy-tez-moga-dostac-ten-sms/
W sektorze B2B odpowiedzialność za bezpieczeństwo danych medycznych rozkłada się zarówno na dostawców usług medycznych, jak i na same placówki, które muszą dbać o higienę cyfrową swoich pracowników. Skuteczny atak na jeden gabinet lub przychodnię może uruchomić serię wycieków danych. Takie incydenty pokazują, jak ważna jest profilaktyka, odpowiednie zabezpieczenia oraz procedury bezpieczeństwa we wszystkich podmiotach działających w ochronie zdrowia.
Przebieg ataku phishing na Medfile
Wektorem ataku phishing były SMS-y wysyłane do lekarzy i pracowników placówek medycznych. W wiadomości informowano o rzekomym zawieszeniu konta z powodu braku aktywności oraz konieczności weryfikacji danych.
Dołączony link miał prowadzić do panelu logowania Medfile, choć w rzeczywistości kierował na starannie przygotowaną stronę phishingową. Domena, na którą trafiał użytkownik, była dobrana niezwykle precyzyjnie - różniła się od oryginalnej zaledwie jedną literą, np. medflle zamiast medfile. W wiadomości SMS zapisano ją dodatkowo wielkimi literami, pozostawiając małą literę „l”, by jak najbardziej przypominała „i”. Różnice były subtelne i trudne do zauważenia, zwłaszcza gdy ekran telefona przeglądano w pośpiechu. To klasyczny przykład typosquattingu, czyli celowego tworzenia domen łudząco podobnych do prawdziwych, by skłonić użytkownika do nieświadomego kliknięcia.
W tej kampanii przestępcy rejestrowali również inne warianty adresów, m.in.:
- konto.med-32894[.]pl
- info.med-32894[.]pl
- medfiie[.]net
Elementy wizualne strony podszywającej się były praktycznie nie do odróżnienia od oryginału. Na fałszywym panelu personel medyczny był proszony o podanie adresu e-mail, co inicjowało proces wyłudzania danych.
Następnie przechwytywane było hasło do systemu. Wprowadzone dane trafiały bezpośrednio do cyberprzestępców, którzy w efekcie uzyskiwali dostęp do konta. W tym czasie osoba korzystająca z systemu mogła nie być świadoma, iż właśnie doszło do wycieku jej danych.
To nie pierwsza kampania phishingowa wymierzona w użytkowników Medfile. Kilka miesięcy temu oszuści podszywali się pod platformę, rozsyłając SMS-y o rzekomej „migracji danych do nowego systemu”. Schemat działania pozostawał ten sam: fałszywe domeny, podrobiony panel logowania i przechwytywanie poświadczeń.
Dlaczego ten atak phishing jest tak groźny?
Utrata danych logowania przez personel medyczny może sparaliżować pracę gabinetów i przychodni oraz prowadzić do poważnych konsekwencji prawnych i finansowych.
Ataki phishingowe na branżę medyczną uderzają nie tylko w placówki, ale również w pacjentów, których poufne dane mogą zostać wykorzystane w dalszych oszustwach.
Przejęcie konta do platformy Medfile umożliwia cyberprzestępcom:
- dostęp do wrażliwych danych medycznych pacjentów,
- wystawianie recept i zwolnień,
- modyfikacje danych oraz blokowanie kont użytkowników,
- dalszą odsprzedaż danych.
Dodatkowym problemem jest fakt, iż wiele osób używa tych samych haseł w różnych serwisach. W efekcie wyciek danych logowania do systemów medycznych może prowadzić nie tylko do wystawiania nieautoryzowanych dokumentów w imieniu pracowników ochrony zdrowia, ale także otworzyć cyberprzestępcom drogę do służbowej poczty e-mail, systemów rejestracyjnych, narzędzi B2B, a choćby kont bankowych.
Wszystko to w połączeniu ze ścisłą współpracą między jednostkami medycznymi, firmami technologicznymi i partnerami biznesowymi sprawia, iż luka bezpieczeństwa w jednym podmiocie może wywołać realne szkody u wielu kolejnych. Tego typu incydenty znacząco zwiększają skalę potencjalnych strat i stanowią bezpośrednie zagrożenie dla bezpieczeństwa kont, integralności danych oraz ochrony tożsamości pacjentów i personelu. W świetle rosnącej liczby ataków staje się jasne, iż sektor zdrowia musi jeszcze intensywniej koncentrować się na cyberbezpieczeństwie medycznym.
PODSUMOWANIE
Ataki phishingowe wymierzone w systemy obsługujące placówki medyczne, takie jak Medfile, wywołują poważne i długotrwałe konsekwencje. Skutkami takich incydentów jest nie tylko utrata zaufania pacjentów, ale także potencjalne postępowania prawne oraz paraliż codziennej pracy placówki.
W sytuacjach kryzysowych najważniejsze znaczenie ma szybka i skuteczna reakcja. Zespół PREBYTES SIRT (Security Incident Response Team) zapewnia komplementarne wsparcie w momencie, gdy liczy się każda minuta. Eksperci gwałtownie identyfikują m.in. fałszywe domeny podszywające się pod firmę i błyskawicznie usuwają związane z nimi zagrożenia. Dzięki temu placówki medyczne mogą działać bez obaw o konsekwencje prawne czy reputacyjne, a pacjenci mają pewność, iż ich dane są adekwatnie chronione.
Sprawdź, jak organizacje z sektora zdrowia chronią się przed phishingiem i podszywaniem się - kliknij tutaj: PREBYTES SIRT i SOC | Analiza zagrożeń, reakcja na incydenty i ochrona wizerunku przed nadużyciami.
