Fałszywy zwrot kosztów z NFZ

2026-05-15

TL;DR

Fałszywy zwrot kosztów z NFZ to phishing, w którym oszust podszywa się pod Narodowy Fundusz Zdrowia i obiecuje pieniądze: refundację leków, zwrot kosztów leczenia, świadczenia medyczne albo rozliczenie po rzekomej aktualizacji systemu. Odbiorca ma kliknąć link, potwierdzić konto i podać dane karty płatniczej, w tym numer, datę ważności i kod CVV.

CERT Orange Polska opisał nową kampanię, w której wiadomość udaje komunikat NFZ o zwrocie wpłaconej kwoty. Nadawca pochodzi z domeny niezwiązanej z Funduszem, strona podszywa się pod oficjalny serwis, a formularz prowadzi ofiarę przez dane kontaktowe i weryfikację karty. Ten schemat łączy autorytet instytucji publicznej, obietnicę pieniędzy, medyczny kontekst i fałszywą procedurę weryfikacji.

Najważniejsza zasada jest prosta: zwrotów z NFZ nie odbiera się przez wpisanie danych karty na stronie otwartej z maila. Jeżeli wiadomość obiecuje refundację i prowadzi do formularza płatniczego, trzeba przerwać proces, wejść do oficjalnych serwisów samodzielnie albo skontaktować się z instytucją przez znany kanał.

Dlaczego obietnica zwrotu działa

Oszustwa obiecujące zwrot pieniędzy działają inaczej niż kampanie straszące blokadą konta. Odbiorca nie czuje, że ktoś żąda od niego płatności. Ma wrażenie, że odzyskuje pieniądze. To obniża dystans i przesuwa uwagę z ryzyka na korzyść.

W przypadku NFZ emocja jest jeszcze silniejsza. Zdrowie, refundacja, leczenie, leki, okulary, wyroby medyczne i świadczenia brzmią jak realne obszary, w których obywatel może nie znać wszystkich procedur. Jeżeli wiadomość wygląda urzędowo i używa logo Funduszu, część osób może uznać, że sprawa jest prawdziwa, nawet jeśli nie przypomina sobie żadnego wniosku.

To klasyczny phishing, ale z bardzo dobrze dobranym pretekstem. Przestępca nie musi znać historii medycznej ofiary. Wystarczy ogólna obietnica zwrotu, która pasuje do wielu osób. Jeżeli ktoś niedawno kupował leki, był u lekarza, płacił za badanie albo ma w rodzinie osobę chorą, wiadomość może trafić w realny kontekst.

Właśnie dlatego takie kampanie są groźne dla użytkowników prywatnych i firm. Pracownik może odebrać wiadomość na służbowym urządzeniu, kliknąć link z firmowej sieci, podać prywatne dane karty albo zgłosić zdarzenie dopiero po fakcie. Dla organizacji to nadal incydent, bo dotyczy zachowania użytkownika, kanałów komunikacji i potencjalnie urządzenia służbowego.

Co pokazuje kampania opisana przez CERT Orange

W kampanii opisanej przez CERT Orange Polska wiadomość ma sprawiać wrażenie oficjalnego komunikatu systemowego. Temat sugeruje, że wpłacona kwota może zostać zwrócona na konto odbiorcy. W treści pojawia się motyw aktualizacji systemu oraz przycisk prowadzący do potwierdzenia konta.

Najważniejszy sygnał ostrzegawczy jest techniczny i prosty: nadawca nie ma nic wspólnego z oficjalną domeną NFZ. CERT Orange wskazuje przykładowy adres w domenie niemieckiej, który tylko podszywa się pod Fundusz przez treść wiadomości i wygląd. Po kliknięciu użytkownik trafia na stronę udającą NFZ, ale działającą w podejrzanej domenie, a nie w oficjalnej domenie administracji publicznej.

Dalej pojawia się właściwy cel ataku. Formularz prosi o dane kontaktowe, takie jak e-mail i numer telefonu, a następnie o dane karty płatniczej: imię i nazwisko, numer karty, datę ważności i kod CVV. To nie jest weryfikacja tożsamości. To komplet danych potrzebnych do nadużycia karty albo dalszego oszustwa.

Ten scenariusz jest szczególnie niebezpieczny, bo nie zaczyna się od prośby o przelew. Użytkownik może uznać, że podaje kartę tylko po to, aby zwrot miał gdzie trafić. W rzeczywistości kod CVV służy do autoryzacji transakcji kartowych, a nie do odbierania pieniędzy od instytucji publicznej.

NFZ ostrzegał przed podobnymi wariantami

Nowa kampania nie pojawia się w próżni. NFZ już wcześniej ostrzegał przed fałszywymi wiadomościami o zwrocie kosztów z Funduszu. W komunikatach pojawiały się preteksty takie jak refundacja leków, zakup okularów korekcyjnych, zlecenia na wyroby medyczne albo leczenie za granicą. W każdym wariancie użytkownik miał uwierzyć, że należy mu się zwrot, ale musi przejść przez formularz lub link.

NFZ podkreślał również, że oszuści mogą używać logo Funduszu, numeru rzekomej infolinii i języka przypominającego komunikację urzędową. To istotne, bo wiele osób nadal ocenia wiadomość po wyglądzie. Jeśli jest logo, nagłówek i formalny ton, wiadomość wydaje się bardziej wiarygodna. Tymczasem logo można skopiować, a wygląd strony można podrobić.

W jednym z wcześniejszych komunikatów NFZ przypominał, że Fundusz rozlicza refundację leków wyłącznie z aptekami. To ważna wskazówka praktyczna. Jeżeli e-mail obiecuje pacjentowi zwrot kosztu zakupu leków i prowadzi do przycisku weryfikacji, nie pasuje to do normalnego procesu rozliczeń.

Warto zauważyć powtarzalność motywu. Raz przynętą jest apteczka, innym razem refundacja leków, zwrot kosztów leczenia, świadczenie medyczne albo aktualizacja systemu. Marka pozostaje ta sama, emocja podobna, a cel niezmienny: dane i pieniądze.

Dane karty to nie sposób na odbiór zwrotu

Najważniejszy sygnał alarmowy w tym ataku to prośba o pełne dane karty. Numer karty, data ważności i kod CVV nie służą do odbierania zwrotu z instytucji publicznej. Są używane do płatności i mogą pozwolić przestępcy rozpocząć transakcję, dodać kartę do portfela cyfrowego albo przygotować kolejne nadużycie.

Jeżeli strona obiecuje zwrot pieniędzy, a następnie prosi o kod CVV, należy przerwać proces. To nie jest drobna formalność. To moment, w którym użytkownik przekazuje przestępcy zestaw danych, których bank i instytucje publiczne nie powinny żądać w takim scenariuszu.

CERT Polska w materiałach o niebezpiecznych płatnościach zwraca uwagę, że trzeba czytać komunikaty autoryzacyjne w banku i aplikacji. Nawet jeśli użytkownik nie rozpozna fałszywej strony, może jeszcze zatrzymać się przy potwierdzeniu operacji. Jeżeli komunikat dotyczy transakcji, dodania odbiorcy, zapisania karty albo operacji innej niż rzekomy zwrot, trzeba odmówić.

Dla użytkownika praktyczny filtr jest prosty: przy odbieraniu pieniędzy nie powinno być potrzeby podawania kodu CVV. Jeżeli formularz o to prosi, nie działa jak instytucja wypłacająca zwrot. Działa jak fałszywa bramka przygotowana do kradzieży.

Polski kontekst: NFZ, IKP i medyczne preteksty

Ataki podszywające się pod NFZ mają w Polsce naturalny kontekst. Wiele osób korzysta z Internetowego Konta Pacjenta, e-recept, e-skierowań, aplikacji zdrowotnych, prywatnych wizyt, refundacji, laboratoriów, pakietów medycznych i komunikacji od placówek. To tworzy środowisko, w którym temat zdrowia i płatności nie brzmi egzotycznie.

Fałszywa wiadomość może udawać NFZ, przychodnię, laboratorium, aptekę, operatora płatności, ubezpieczyciela albo platformę rejestracji wizyt. Może obiecywać zwrot, ale może też straszyć zaległą opłatą, brakiem aktualizacji danych, anulowaniem wizyty albo niedostępnym wynikiem badania. W każdym przypadku chodzi o to samo: skrócić drogę od emocji do formularza.

Ten artykuł dobrze uzupełnia szerszy temat fałszywej płatności medycznej. W przypadku Infomedics przynętą był rachunek medyczny. W przypadku NFZ przynętą jest zwrot lub refundacja. Kierunek emocji jest inny, ale mechanizm pozostaje podobny: zdrowie, pieniądze, autorytet i link.

Firmy powinny traktować takie scenariusze jako część awareness, zwłaszcza gdy pracownicy korzystają ze służbowych urządzeń do prywatnej poczty, benefitów medycznych albo pakietów zdrowotnych. Temat NFZ może wydawać się prywatny, ale kliknięcie i zgłoszenie incydentu często dzieje się w środowisku firmowym.

Jak sprawdzić wiadomość o zwrocie z NFZ

Nie należy zaczynać od linku w wiadomości. Jeśli e-mail lub SMS informuje o zwrocie, refundacji, aktualizacji systemu albo konieczności potwierdzenia danych, trzeba zamknąć wiadomość i wejść do oficjalnego serwisu samodzielnie. Dotyczy to zarówno NFZ, jak i Internetowego Konta Pacjenta, banku, placówki medycznej czy portalu pacjenta.

Adres strony powinien zostać wpisany ręcznie albo wybrany z zaufanej zakładki. Nie należy kopiować linku z podejrzanego maila, bo fałszywe domeny mogą zawierać nazwę NFZ, słowa typu refundacja, system, konto, pacjent, weryfikacja albo gov, a nadal nie mieć nic wspólnego z oficjalnym serwisem.

Jeżeli wiadomość powołuje się na infolinię, numer kontaktowy trzeba znaleźć niezależnie. Numer podany w fałszywej wiadomości może należeć do oszustów. Podobnie nie należy odpowiadać na e-mail z pytaniem, czy sprawa jest prawdziwa, ponieważ odpowiedź może trafić do przestępcy.

W przypadku wiadomości SMS można przekazać ją do CERT Polska na numer 8080. Podejrzane strony i e-maile warto zgłaszać przez kanały CERT Polska oraz do instytucji, pod którą podszywa się nadawca. Zgłoszenie pomaga szybciej blokować infrastrukturę i ostrzegać innych użytkowników.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik kliknął link, ale nie podał danych, powinien zamknąć stronę, nie wracać do niej i zachować wiadomość do zgłoszenia. Warto zrobić zrzut ekranu, zapisać adres strony i przekazać incydent do CERT Polska albo zespołu IT, jeśli zdarzenie dotyczyło urządzenia służbowego.

Jeżeli użytkownik podał dane karty, trzeba natychmiast skontaktować się z bankiem. Priorytetem jest zastrzeżenie karty, sprawdzenie transakcji, blokada podejrzanych operacji i ustalenie dalszej procedury. Nie należy czekać, aż pojawi się pierwsze obciążenie. Dane karty mogą zostać użyte szybko albo dopiero po czasie.

Jeżeli użytkownik wpisał e-mail, numer telefonu, PESEL, adres albo inne dane osobowe, trzeba liczyć się z kolejnymi próbami oszustwa. Przestępca może zadzwonić jako NFZ, bank, placówka medyczna, operator płatności albo konsultant bezpieczeństwa. Każdy taki kontakt powinien być weryfikowany niezależnym kanałem, zwłaszcza gdy rozmówca zna szczegóły podane wcześniej w formularzu.

Jeżeli użytkownik podał hasło lub użył tego samego hasła gdzie indziej, trzeba je zmienić w prawdziwym serwisie i sprawdzić aktywne sesje. Jeżeli zdarzenie miało miejsce na komputerze firmowym, należy zgłosić je do IT lub SOC. Zespół techniczny powinien sprawdzić, czy podobne wiadomości trafiły do innych użytkowników, czy domena została zablokowana i czy nie doszło do pobrania dodatkowych plików.

Jeżeli doszło do straty finansowej, warto zachować pełną dokumentację: wiadomości, adresy URL, numery telefonów, potwierdzenia operacji, zrzuty ekranu i historię kontaktu. To może pomóc w zgłoszeniu do banku, Policji i zespołów reagowania.

Co powinna zrobić organizacja

Organizacja nie może zakładać, że temat NFZ jest wyłącznie prywatny. Jeżeli pracownik odbiera taką wiadomość na służbowym urządzeniu, klika z firmowej sieci albo zgłasza incydent do helpdesku, firma musi mieć prosty sposób reakcji. To szczególnie ważne, gdy w firmie funkcjonują benefity medyczne, prywatna opieka zdrowotna, badania okresowe albo komunikacja HR dotycząca zdrowia.

HR i IT powinny ustalić, jak wyglądają prawdziwe komunikaty o benefitach medycznych. Pracownik powinien wiedzieć, gdzie sprawdzać informacje o pakiecie, kto jest operatorem usługi i czy firma kiedykolwiek prosi o płatność lub dane karty przez link. Im mniej niejasności, tym trudniej przestępcy wprowadzić fałszywy komunikat.

Zespół IT lub Security powinien patrzeć na ten scenariusz jak na phishing płatniczy. Do sprawdzenia są nadawca, domena, link, przekierowania, podobne wiadomości w innych skrzynkach, zgłoszenia użytkowników oraz to, czy ktoś podał dane. Przy kampanii masowej ważne jest szybkie usunięcie wiadomości z innych skrzynek i zablokowanie domeny.

W testach phishingowych dla firm scenariusz NFZ pozwala mierzyć kilka decyzji: kliknięcie, zatrzymanie przed formularzem, podanie danych karty, zgłoszenie wiadomości, weryfikację poza linkiem i reakcję po błędzie. To znacznie lepsza metryka niż samo sprawdzenie, kto kliknął w przycisk.

Jak ćwiczyć ten scenariusz w awareness

Scenariusz NFZ trzeba projektować ostrożnie, bo dotyczy zdrowia. Nie powinien wykorzystywać lęku przed chorobą ani sugerować konkretnej diagnozy. Bezpieczniejszy jest neutralny motyw administracyjny: rzekoma refundacja, zwrot kosztów, aktualizacja systemu albo potwierdzenie danych.

W ćwiczeniu warto pokazać użytkownikowi cały mechanizm. Wiadomość obiecuje zwrot. Link prowadzi do pozornie oficjalnej strony. Formularz najpierw prosi o dane kontaktowe, a potem o kartę. Najważniejszym momentem nie jest samo kliknięcie, lecz chwila, w której użytkownik ma zdecydować, czy podanie danych karty w celu odbioru pieniędzy ma sens.

Po ćwiczeniu trzeba omówić zasadę: karta służy do płacenia, nie do odbierania refundacji z instytucji publicznej. Trzeba też pokazać właściwy kanał zgłoszenia, numer 8080 dla podejrzanych SMS-ów i wewnętrzny sposób kontaktu z IT lub bezpieczeństwem.

Dobre szkolenie nie zawstydza użytkownika. Pokazuje, jak działa presja i dlaczego obietnica pieniędzy potrafi być równie skuteczna jak groźba blokady konta. Celem jest wypracowanie nawyku przerwania procesu, a nie tylko zapamiętanie jednej kampanii NFZ.

Wniosek

Fałszywy zwrot kosztów z NFZ działa, bo łączy instytucję publiczną, zdrowie, obietnicę pieniędzy i pozornie prostą weryfikację. To nie jest zaawansowany technicznie atak, ale dobrze trafia w ludzką logikę: jeśli ktoś mówi, że należy mi się zwrot, chcę szybko sprawdzić, jak go odebrać.

Praktyczna zasada jest jednoznaczna: zwrotów z NFZ, refundacji i płatności medycznych nie obsługuje się przez link z wiadomości. Jeśli formularz prosi o numer karty, datę ważności i CVV, nie jest to procedura zwrotu, tylko próba przejęcia danych płatniczych. Najlepszą reakcją jest wyjście z wiadomości, sprawdzenie sprawy w oficjalnym kanale i zgłoszenie podejrzanego linku, zanim ktoś inny potraktuje go jak prawdziwy zwrot.