Phishing na lekarzy przez fałszywe RODO

TL;DR

Phishing na lekarzy przez fałszywe RODO wykorzystuje strach przed naruszeniem danych i karą finansową. CERT Orange Polska opisał kampanię SMS, w której wiadomość z nadpisem MD-FILE prowadziła do fałszywej strony logowania do systemu Medfile. Celem były login i hasło lekarza.

To nie jest zwykłe wyłudzenie dostępu do skrzynki. Konto lekarza może mieć dostęp do danych pacjentów, dokumentacji, recept, zwolnień i systemów medycznych. Skutkiem może być nie tylko utrata danych, ale też nadużycie uprawnień zawodowych.

Dla przychodni, gabinetów, podmiotów medycznych i dostawców usług zdrowotnych to dobry przykład, dlaczego phishing trzeba traktować jako ryzyko procesowe, a nie tylko problem użytkownika.

Jak działa fałszywy SMS o RODO

Atak zaczyna się od krótkiego SMS-a. Treść sugeruje naruszenie danych osobowych i groźbę kary finansowej. To bardzo silna przynęta dla osoby pracującej w ochronie zdrowia, gdzie dane pacjentów są szczególnie wrażliwe.

Wiadomość kieruje do linku. Strona wygląda jak panel logowania do systemu Medfile. Użytkownik najpierw widzi komunikat o weryfikacji bezpieczeństwa, a później formularz loginu i hasła. Po wpisaniu danych może zostać przekierowany do prawdziwej strony, co zmniejsza szansę szybkiego zauważenia oszustwa.

To typowy mechanizm opóźnionego zrozumienia incydentu. Użytkownik może pomyśleć, że za pierwszym razem źle wpisał hasło, a potem zalogować się już do prawdziwego serwisu. Dane logowania są jednak w rękach atakujących.

W praktyce oszustwo wykorzystuje nie techniczną lukę w systemie, lecz zaufanie i presję. RODO staje się narzędziem socjotechniki.

Dlaczego sektor medyczny jest atrakcyjnym celem

Konta lekarzy i pracowników medycznych mają wysoką wartość. Mogą dawać dostęp do danych pacjentów, dokumentacji, recept, zwolnień i historii wizyt. W niektórych procesach pozwalają też generować dokumenty, które mają realne skutki prawne i finansowe.

Atakujący mogą wykorzystać przejęte konto do wystawiania fałszywych dokumentów, zbierania danych, podszywania się pod lekarza albo dalszych ataków na pacjentów. Pacjent, który dostaje wiadomość od znanej placówki lub osoby medycznej, może łatwiej zaufać linkowi.

Sektor medyczny działa pod presją czasu. Lekarze, recepcje i personel administracyjny obsługują wiele systemów, pacjentów i pilnych spraw. Wiadomość o naruszeniu RODO może wywołać szybką reakcję bez spokojnej weryfikacji domeny.

To dlatego ten scenariusz warto traktować szerzej niż jako jedną kampanię. Każdy system medyczny, portal gabinetowy lub konto zawodowe może stać się celem podobnej socjotechniki.

Co powinien zrobić lekarz lub pracownik placówki

Nie należy logować się do systemu medycznego przez link z SMS-a. Jeśli wiadomość sugeruje naruszenie RODO, blokadę konta, karę lub pilną weryfikację, trzeba wejść do systemu znanym adresem albo przez oficjalną aplikację.

Trzeba sprawdzić domenę. Fałszywe strony mogą wyglądać jak prawdziwy panel, ale adres będzie inny. W przypadku systemów medycznych warto mieć zapisane prawidłowe adresy w dokumentacji wewnętrznej, menedżerze haseł albo firmowym portalu.

Jeżeli wiadomość dotyczy bezpieczeństwa danych, właściwą drogą jest kontakt z administratorem systemu, inspektorem ochrony danych, kierownikiem placówki albo dostawcą usługi. Nie powinno się samodzielnie wykonywać poleceń z SMS-a.

Warto też zgłaszać takie wiadomości. Pojedynczy SMS do lekarza może oznaczać kampanię wymierzoną w całą placówkę lub grupę zawodową.

Co powinny zrobić przychodnie i podmioty medyczne

Placówka powinna mieć jasną procedurę dla wiadomości o RODO, bezpieczeństwie konta i blokadzie systemu. Pracownik musi wiedzieć, kto potwierdza takie komunikaty i gdzie zgłaszać podejrzane linki.

Warto ograniczyć używanie prywatnych numerów telefonów w procesach krytycznych. Jeśli SMS-y bezpieczeństwa trafiają na prywatne telefony, pracownik może nie wiedzieć, czy wiadomość jest służbowa, prywatna czy fałszywa.

Administratorzy powinni monitorować nietypowe logowania, nowe urządzenia, zmiany danych kontaktowych, masowe pobrania dokumentów i nietypowe operacje na koncie. Jeżeli system wspiera wieloskładnikowe uwierzytelnianie, powinno być ono wymagane, ale trzeba pamiętać, że MFA nie zastępuje edukacji i reakcji na fałszywe strony.

W programie awareness warto ćwiczyć scenariusze branżowe. Dla ochrony zdrowia lepszy będzie SMS o RODO, portalu pacjenta albo systemie gabinetowym niż ogólny e-mail o fakturze.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik podał login i hasło, trzeba natychmiast zmienić hasło przez prawdziwy serwis i wylogować aktywne sesje. Należy też sprawdzić historię logowań, urządzenia i ostatnie operacje na koncie.

Placówka powinna poinformować administratora systemu i osobę odpowiedzialną za ochronę danych. Trzeba ustalić, czy z konta wykonano operacje dotyczące pacjentów, recept, zwolnień lub dokumentacji.

Jeżeli konto mogło zostać wykorzystane do działań medycznych lub administracyjnych, trzeba zabezpieczyć logi i przeanalizować aktywność. Nie należy usuwać wiadomości, historii przeglądarki ani śladów przed zgłoszeniem.

Jeżeli mogło dojść do naruszenia danych osobowych, placówka powinna przeprowadzić ocenę zgodnie z własną procedurą ochrony danych. Nie każdy phishing oznacza naruszenie podlegające zgłoszeniu, ale każdy wymaga sprawdzenia faktów.

Jak ćwiczyć ten scenariusz w awareness

Ten scenariusz nadaje się do kontrolowanych testów w podmiotach medycznych. Można sprawdzić, czy lekarze i personel rozpoznają fałszywy nadpis, czy weryfikują domenę i czy zgłaszają wiadomość zamiast logować się przez link.

W testach phishingowych dla firm najcenniejsze są scenariusze, które przypominają realny dzień pracy. Dla ochrony zdrowia takim scenariuszem może być RODO, system gabinetowy, e-recepta, zwolnienie albo portal pacjenta.

Konkretna zasada na koniec: wiadomość o naruszeniu danych nie jest powodem do logowania przez link. Im silniejsze emocje wywołuje SMS, tym bardziej trzeba przejść do znanego kanału i potwierdzić sprawę niezależnie.