Fałszywa płatność medyczna

TL;DR

Fałszywa płatność medyczna to phishing, w którym oszust podszywa się pod podmiot kojarzony ze zdrowiem, rachunkiem za leczenie, ubezpieczeniem, badaniem albo wizytą. Odbiorca dostaje wiadomość o zaległej należności, widzi konkretną kwotę, numer sprawy, termin i przycisk do szybkiej płatności. W holenderskim przykładzie przynętą jest Infomedics, czyli firma obsługująca rozliczenia medyczne.

Ten mechanizm dobrze pasuje również do Polski. Fałszywa wiadomość może udawać prywatną przychodnię, laboratorium, abonament medyczny, ubezpieczyciela, aptekę, platformę rejestracji wizyt, Internetowe Konto Pacjenta, NFZ albo operatora płatności za badania. Wspólny rdzeń jest prosty: zdrowie, rachunek, termin i link do zapłaty.

Nie należy regulować płatności medycznych z linku w mailu lub SMS-ie. Rachunek trzeba sprawdzić w oficjalnym portalu pacjenta, aplikacji placówki, systemie operatora rozliczeń albo przez numer telefonu znaleziony samodzielnie. Jeżeli płatność jest prawdziwa, powinna być widoczna w oficjalnym kanale, a nie tylko w wiadomości z przyciskiem do zapłaty.

Dlaczego zdrowie obniża dystans

Wiadomość o leczeniu, badaniu albo rachunku medycznym działa inaczej niż zwykła oferta handlowa. Dotyka obszaru, w którym ludzie nie chcą ryzykować pomyłki. Wizyta u lekarza, wynik badania, refundacja, recepta, ubezpieczenie, abonament zdrowotny albo zaległa płatność brzmią jak sprawy, które mogą mieć konsekwencje.

Atakujący wykorzystuje właśnie ten odruch. Odbiorca nie analizuje wiadomości jak reklamy. Próbuje szybko ustalić, czy coś przegapił. Jeśli niedawno był u lekarza, korzystał z laboratorium, miał konsultację prywatną albo ma pakiet medyczny w pracy, może dopasować ogólną treść wiadomości do własnej sytuacji.

To ważny mechanizm phishingu. Wiarygodność nie musi wynikać z pełnej personalizacji. Czasem wystarczy kontekst, w którym wiele osób może pomyśleć, że sprawa ich dotyczy. Medycyna jest do tego szczególnie podatna, bo kontakt z placówkami, badaniami i płatnościami bywa nieregularny, a dokumenty oraz powiadomienia przychodzą z różnych systemów.

Fałszywa płatność medyczna nie musi być technicznie wyrafinowana. Może wyglądać jak spokojne przypomnienie administracyjne. Właśnie przez to staje się trudniejsza do odrzucenia od razu.

Co pokazuje przykład Infomedics

Infomedics ostrzega na swojej stronie przed fałszywymi wiadomościami i SMS-ami z prośbą o płatność. Firma wskazuje, że przestępcy używają jej nazwy, ponieważ jest rozpoznawalnym podmiotem w obszarze rozliczeń medycznych. W opisanych wariantach pojawiają się tematy dotyczące otwartego salda, nieprzetworzonej płatności, zaległego rachunku albo windykacji.

Fraudehelpdesk opublikował przykłady wiadomości, w których oszuści podszywają się pod Infomedics i informują o kwocie 173 euro, numerze dossier oraz terminie zapłaty. W jednym wariancie wiadomość zachęca do otwarcia płatności online. W drugim pojawia się presja dodatkowych kosztów i możliwość przekazania sprawy do windykacji.

To nie są przypadkowe elementy. Kwota sprawia wrażenie realnej. Numer sprawy dodaje administracyjnej wiarygodności. Termin zmniejsza czas na sprawdzenie. Link do płatności skraca drogę od emocji do działania. Odbiorca nie ma szukać portalu, sprawdzać danych ani dzwonić do placówki. Ma kliknąć i zapłacić.

Właśnie dlatego Infomedics podkreśla konkretne cechy prawdziwych wiadomości: właściwy adres nadawcy, wskazanie świadczeniodawcy, osobową formę zwrotu, brak pełnej faktury w załączniku, prawidłowy numer płatności i brak bezpośrednich linków iDEAL lub Wero w e-mailu. Z perspektywy użytkownika ważniejszy jest jednak ogólny nawyk: nie płacić z linku, tylko weryfikować rachunek w oficjalnym systemie.

Kwota, termin i windykacja przyspieszają decyzję

Phishing płatniczy często działa najlepiej wtedy, gdy kwota jest umiarkowana. Zbyt wysoka należność uruchamia naturalny opór. Niewielka lub średnia kwota wygląda jak rachunek, który można zapłacić szybko, żeby zamknąć sprawę. W medycynie ten efekt jest jeszcze mocniejszy, bo odbiorca może zakładać, że chodzi o dopłatę za wizytę, badanie, konsultację, procedurę albo ubezpieczenie.

Termin płatności zmienia wiadomość w zadanie. Odbiorca zaczyna myśleć o tym, żeby nie przegapić daty, nie zapłacić więcej i nie mieć problemu z placówką. Jeżeli pojawia się groźba dodatkowych kosztów albo windykacji, decyzja staje się jeszcze szybsza.

Wariant medyczny jest pod tym względem podobny do fałszywych dopłat za paczki, mandatów, płatności za domenę albo wezwań administracyjnych. Różnica polega na tym, że zdrowie i dane medyczne mają wyższy ciężar emocjonalny. Ludzie częściej zakładają, że warto wyjaśnić sprawę natychmiast, bo może dotyczyć leczenia, dokumentacji albo dostępu do usług.

Dla organizacji to cenna lekcja. Użytkownicy często popełniają błędy nie dlatego, że nie wiedzą, czym jest phishing, ale dlatego, że scenariusz trafia w codzienną presję: rachunek, termin, opłata, konsekwencja i pozornie wygodny przycisk.

Polski wariant: NFZ, IKP, laboratoria i abonamenty

W Polsce taki atak mógłby wykorzystywać kilka rozpoznawalnych kontekstów. Pierwszy to publiczna ochrona zdrowia: NFZ, Internetowe Konto Pacjenta, e-recepta, e-skierowanie, wynik badania, zwrot kosztów leków albo komunikat o weryfikacji danych pacjenta. NFZ ostrzegał już przed fałszywymi e-mailami, które podszywały się pod Fundusz i obiecywały zwrot kosztów zakupu leków, prowadząc użytkownika do fałszywej weryfikacji.

Drugi kontekst to prywatna opieka medyczna. Wiele osób korzysta z pakietów pracowniczych, prywatnych przychodni, abonamentów, ubezpieczeń zdrowotnych i laboratoriów. Wiadomość o dopłacie za konsultację, anulowaniu wizyty, płatnym wyniku badania, zaległym rachunku albo aktualizacji karty może wyglądać wiarygodnie, bo mieści się w normalnym doświadczeniu pacjenta.

Trzeci kontekst to firma. Pracownik może dostać wiadomość dotyczącą benefitu medycznego, pakietu zdrowotnego, badań okresowych, medycyny pracy albo dopłaty do wizyty. Jeśli wiadomość przyjdzie na służbową skrzynkę, może zostać potraktowana jako część normalnej komunikacji HR lub administracji. Właśnie wtedy prywatny temat zdrowotny łączy się z ryzykiem firmowym: kliknięciem z urządzenia służbowego, podaniem danych, wejściem na fałszywą bramkę płatności albo zgłoszeniem danych karty.

Czwarty kontekst to SMS. Krótka wiadomość o dopłacie za badanie, płatności za e-receptę albo odblokowaniu wyniku może przejść szybciej niż e-mail, bo użytkownik widzi ją w telefonie i reaguje w ruchu. To klasyczny smishing, tylko osadzony w medycznym pretekście.

Fałszywa płatność może prowadzić dalej

Najbardziej oczywisty skutek to utrata pieniędzy. Użytkownik może zapłacić przez fałszywą bramkę, podać dane karty albo zatwierdzić operację bankową, myśląc, że reguluje niewielką należność. W rzeczywistości może autoryzować inną kwotę, dodać odbiorcę zaufanego, przekazać dane karty albo umożliwić kolejne obciążenia.

Drugi skutek to przejęcie danych osobowych. Formularz medyczny może prosić o imię, nazwisko, PESEL, adres, numer telefonu, datę urodzenia, nazwę placówki, numer pacjenta albo informacje o wizycie. Takie dane mogą zostać później użyte w bardziej wiarygodnych atakach: telefonie od rzekomej placówki, wiadomości od ubezpieczyciela, oszustwie bankowym albo próbie przejęcia konta.

Trzeci skutek dotyczy kont. Fałszywa strona może udawać portal pacjenta, konto w prywatnej placówce, operatora płatności, bank albo usługę e-mail. Jeśli użytkownik poda login i hasło, atak nie kończy się na jednej płatności. Może prowadzić do przejęcia poczty, sesji, historii komunikacji albo danych używanych w innych usługach.

Czwarty skutek jest organizacyjny. Jeżeli wiadomość trafi na służbową skrzynkę, a użytkownik kliknie z komputera firmowego, incydent może wymagać reakcji IT lub SOC. Trzeba ustalić, czy doszło tylko do wejścia na stronę, czy do podania danych, pobrania pliku, przekazania danych karty, zalogowania do banku albo dalszego kontaktu z oszustem.

Jak sprawdzić płatność bez klikania

Płatności medycznej nie należy sprawdzać przez link z wiadomości. Bezpieczniejszy schemat jest prosty: zamknąć wiadomość, wejść samodzielnie do portalu pacjenta, aplikacji placówki, oficjalnej strony operatora rozliczeń albo systemu bankowego i tam sprawdzić, czy rachunek istnieje.

Jeżeli wiadomość podszywa się pod konkretną placówkę, numer kontaktowy należy znaleźć niezależnie. Nie w stopce podejrzanego maila i nie na stronie otwartej z linku. Dobrym źródłem jest strona placówki wpisana ręcznie, wcześniejsza dokumentacja wizyty, aplikacja, umowa abonamentowa albo oficjalny portal pacjenta.

Jeżeli wiadomość dotyczy NFZ, Internetowego Konta Pacjenta, e-recepty, e-skierowania albo zwrotu kosztów, sprawę należy sprawdzić w oficjalnych serwisach państwowych, a nie przez przycisk w mailu. Pacjent.gov.pl zaleca nieklikanie w podejrzane linki, nieodpowiadanie na takie wiadomości oraz zgłaszanie sprawy do placówki, pod którą podszywa się nadawca, albo do CERT Polska.

Przy płatnościach bankowych trzeba czytać komunikaty autoryzacyjne. CERT Polska zwraca uwagę, że potwierdzenie w aplikacji lub SMS powinno odpowiadać temu, co użytkownik rzeczywiście chce zrobić. Jeśli komunikat dotyczy innej kwoty, dodania odbiorcy zaufanego, logowania albo operacji, której użytkownik nie rozumie, proces trzeba przerwać.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik kliknął link, ale nie podał danych i nie zapłacił, powinien zamknąć stronę, zachować wiadomość do zgłoszenia i nie wracać do linku. W przypadku SMS-a w Polsce podejrzaną wiadomość można przekazać do CERT Polska na numer 8080. Podejrzane e-maile, strony i incydenty można zgłaszać przez incydent.cert.pl.

Jeżeli użytkownik podał dane karty albo wykonał płatność, priorytetem jest kontakt z bankiem. Należy zastrzec kartę, sprawdzić historię transakcji, zablokować podejrzane operacje, zapytać o procedurę chargeback, a w razie potrzeby złożyć zawiadomienie o oszustwie. Nie należy czekać na odpowiedź rzekomej placówki z wiadomości.

Jeżeli użytkownik wpisał login i hasło, trzeba zmienić hasło w prawdziwym serwisie, sprawdzić aktywne sesje, historię logowań i ustawienia odzyskiwania konta. Jeżeli to samo hasło było używane w poczcie, bankowości, portalu pacjenta albo usługach firmowych, trzeba je zmienić także tam.

Jeżeli podano dane osobowe, warto przygotować się na kolejne próby oszustwa. Oszust może zadzwonić jako placówka, bank, operator płatności, ubezpieczyciel albo konsultant bezpieczeństwa. Każdy dalszy kontakt należy weryfikować niezależnym kanałem, szczególnie gdy rozmówca zna część danych i prosi o kod, płatność, instalację aplikacji albo potwierdzenie operacji.

Jeżeli wiadomość trafiła na służbową skrzynkę albo kliknięcie nastąpiło z urządzenia firmowego, incydent trzeba zgłosić do IT, helpdesku albo SOC, czyli security operations center. Zespół techniczny powinien sprawdzić, czy podobne wiadomości dotarły do innych pracowników, czy domena została zablokowana, czy użytkownik podał dane służbowe i czy nie ma oznak dalszej aktywności.

Co powinna zrobić firma

Firma nie kontroluje wszystkich prywatnych rachunków medycznych pracowników, ale może ograniczyć ryzyko, jeśli taki scenariusz trafi do środowiska służbowego. Najważniejsze jest jasne rozróżnienie: wiadomość dotycząca zdrowia, benefitu albo płatności nadal może być incydentem bezpieczeństwa, jeśli przychodzi na służbową skrzynkę albo jest obsługiwana na firmowym urządzeniu.

HR, administracja i IT powinny ustalić, jak komunikowane są benefity medyczne, badania okresowe, medycyna pracy, prywatne pakiety zdrowotne i zmiany w usługach. Jeżeli pracownicy wiedzą, z jakich adresów przychodzą prawdziwe komunikaty i gdzie sprawdzać informacje, trudniej ich przekonać fałszywą płatnością.

Zespół bezpieczeństwa powinien patrzeć na takie wiadomości jak na phishing płatniczy. Do sprawdzenia są: nadawca, domena, link, przekierowania, strona płatności, podobne wiadomości w innych skrzynkach, ewentualne zgłoszenia użytkowników i to, czy ktoś podał dane karty, login lub kod. Przy masowej kampanii trzeba mieć możliwość usunięcia wiadomości z innych skrzynek i zablokowania domeny.

W testach phishingowych dla firm taki scenariusz pozwala mierzyć więcej niż kliknięcie. Warto sprawdzać, czy użytkownik zatrzymał płatność, wszedł do oficjalnego portalu samodzielnie, zgłosił wiadomość, nie przekazał jej dalej jako zadania i czy potrafił opisać, co zrobił po wejściu na stronę.

Jak ćwiczyć scenariusz medyczny w awareness

Scenariusz medyczny trzeba projektować ostrożnie. Nie powinien wykorzystywać strachu przed chorobą ani sugerować realnej diagnozy. Dobrym motywem jest neutralny rachunek, dopłata do usługi, rozliczenie pakietu, potwierdzenie płatności, informacja o badaniach okresowych albo aktualizacja danych w portalu świadczeniodawcy.

Największa wartość takiego ćwiczenia polega na pokazaniu procesu. Użytkownik ma dostać wiadomość, która wygląda jak normalna administracja medyczna, a następnie powinien przerwać ścieżkę płatności i sprawdzić sprawę poza linkiem. W raporcie nie wystarczy zapisać, kto kliknął. Ważniejsze jest, kto zatrzymał się przed formularzem, kto zgłosił wiadomość, kto podał dane i kto potrafił szybko opisać, co się stało.

Ćwiczenie powinno być omówione bez zawstydzania ludzi. W medycynie emocje i pośpiech są naturalne. Celem nie jest udowodnienie, że użytkownik się pomylił. Celem jest wypracowanie nawyku: płatność, zdrowie i termin nie znoszą zasady niezależnej weryfikacji.

Dla organizacji taki scenariusz jest dobrym testem kultury zgłaszania. Jeżeli pracownik kliknął, ale szybko zgłosił zdarzenie, firma może zareagować. Jeżeli pracownik boi się konsekwencji i milczy, nawet niewielka płatność może stać się początkiem większego problemu.

Wniosek

Fałszywa płatność medyczna działa, bo wygląda jak zwykły rachunek, a nie jak spektakularny atak. Przestępca łączy nazwę kojarzoną ze zdrowiem, konkretną kwotę, numer sprawy, termin i link do zapłaty. To wystarczy, żeby wiele osób przeszło od wątpliwości do płatności bez niezależnego sprawdzenia.

Zasada dla użytkownika i firmy jest konkretna: spraw zdrowotnych i płatności nie załatwia się z linku w wiadomości. Najpierw trzeba wyjść z maila lub SMS-a, wejść do oficjalnego portalu samodzielnie i sprawdzić rachunek w miejscu, które nie zostało podane przez nadawcę podejrzanej wiadomości. Jeśli rachunek jest prawdziwy, będzie tam widoczny. Jeśli istnieje tylko w linku z maila, to nie jest rachunek, tylko test naszej odporności na presję.