Byłoby zbyt pięknie, gdyby NFZ wysyłał do nas e-maile z zawiadomieniami o wizytach, nieobecności lekarzy i specjalistów lub... zwrocie nadpłaty za wizytę… Niestety prędzej dostaniemy e-mail „z NFZ”, który jest oszustwem, niż prawdziwą wiadomość z przychodni. Przed takim scenariuszem ostrzega CERT.
Skrzynki Polaków zalała fala maili z „NFZ”. Jak podaje CERT, wiadomości wyglądają wiarygodnie i zawierają link do strony, która prosi o dane osobowe i dane karty. Pretekstem jest zwrot nadpłaty za wizytę. Kliknięcie w link kończy się kradzieżą informacji, a potem pieniędzy. CERT przypomina: jeśli dostajesz taki komunikat — nie klikaj, nie podawaj danych. Wejdź na stronę NFZ ręcznie lub z wyszukiwarki i sprawdź, czy masz tam jakikolwiek komunikat.
Ale to niejedyny atak, jaki przeprowadzono w celu kradzieży pieniędzy. Tym razem zamiast logotypów banków oszuści chowają się za rządowymi instytucjami. Podszywają się pod „Serwisy Rzeczpospolitej Polskiej” wysyłając wiadomość od „Gov.pl@”. Ofiara jest informowana o „nowym logowaniu” na portalu gov.pl i o numerze do „pomocy technicznej”. Po telefonie przestępcy prowadzą rozmowę tak, by skłonić do podania danych lub wykonania płatności. Zasada jest prosta: nie dzwoń na numery z wiadomości, sprawdź nadawcę po „@” i samodzielnie wejdź na oficjalną stronę, wpisując adres ręcznie.
Hakerzy sięgnęli też po klasyczną metodę z zainfekowanymi załącznikami. Rozsyłają krótkie maile z załącznikami, które mają wzbudzić ciekawość („Skanowanie”, „Dokumenty do podpisu”). Po otwarciu pliku (np. .tar, .exe, .js, .7z) na komputer może trafić malware, które kradnie hasła, przechwytuje skrzynkę lub przeglądarkę. Najlepsza obrona: nie uruchamiaj plików od nieznanych nadawców i zawsze sprawdzaj rozszerzenie. Gdy nie spodziewasz się dokumentu — nie otwieraj go.
Jak się chronić w praktyce? Po pierwsze, nie klikaj w linki z maili/SMS-ów o „blokadzie”, „logowaniu” czy „dopłacie”. Zawsze wchodź do usługi z aplikacji lub z adresu wpisanego ręcznie. Po drugie, nie podawaj danych kart i loginów na stronach otwartych z wiadomości. Sprawdzaj dokładnie domenę (to, co po https:// i przed pierwszym „/”). Po trzecie, zgłaszaj podejrzane treści — formularz incydent.cert.pl i numer 8080 na podejrzane SMS-y pomagają szybko blokować kampanie i chronić innych użytkowników.
