Doering & Partnerzy
Konsultacje

Fałszywy SMS wyłudzający certyfikat ZUS – zagrożenie dla lekarzy i farmaceutów

.

Artur Janicki
Artur Janicki

Nowe zagrożenie dotyczące certyfikatu ZUS – dlaczego cyberprzestępcy atakują lekarzy?

Certyfikat ZUS to elektroniczny dokument wydawany przez Zakład Ubezpieczeń Społecznych na Platformie Usług Elektronicznych (PUE). Poświadcza on uprawnienia każdego lekarza do wystawiania elektronicznych zwolnień lekarskich (e-ZLA) oraz e-recept. Wgląd do certyfikatu ma tylko lekarz na swoim koncie ZUS – placówka medyczna ani szpital nie mają do niego dostępu. Lekarz może samodzielnie zarządzać certyfikatem na koncie PUE, w tym m.in. sprawdzić jego datę ważności i wycofać go w razie potrzeby. Co do zasady certyfikat jest ważny 5 lat – na 14 dni przed jego wygaśnięciem ZUS wysyła wiadomość SMS lub mail z przypomnieniem o zbliżającym się terminie wygaśnięcia certyfikatu. Właśnie z tego względu cyberprzestępcy upatrzyli sobie lekarzy i farmaceutów, do których wysyłają fałszywe SMS-y w celu wyłudzenia ich poświadczeń do wystawiania zwolnień i e-recept. W tym artykule opisujemy mechanizm tego ataku phishingowego i pokazujemy, jak się przed nim chronić.

Mechanizm ataku phishingowego na lekarzy

Cyberprzestępcy podszywają się pod ZUS, wysyłając do lekarzy fałszywe SMS-y z linkiem „do aktualizacji” certyfikatu. Przykładowy SMS brzmi: „Certyfikat ZUS zostanie zawieszony, prosimy o ponowne zalogowanie w celu zaktualizowania go. [e-zus.org/…].”. Kliknięcie w fałszywy link przenosi na stronę udającą aplikację mObywatel, gdzie lekarz (myśląc, że loguje się do ZUS) nieświadomie podaje swoje dane. W efekcie hakerzy przechwytują certyfikat ZUS, co umożliwia im nielegalne wystawianie dokumentów. W praktyce oznacza to, że po przejęciu certyfikatu boty (często zintegrowane z chatbotami) automatycznie i bez wiedzy lekarza generują recepty i zwolnienia na koncie lekarza – nawet setki lub tysiące w ciągu jednej doby. Dla przykładu, w jednej ujawnionej sprawie oszuści w ciągu 4 dni wystawili z konta młodego medyka 40 recept na leki psychotropowe.

Konsekwencje prawne i medyczne

Wystawianie fałszywych recept i wyłudzanie refundacji to poważne przestępstwo. Proceder ten wypełnia znamiona oszustwa (art. 267 k.k.) oraz fałszerstwa dokumentów (art. 270 §1 k.k.). ZUS i media informowały w ostatnich miesiącach o rosnącej liczbie postępowań dyscyplinarnych wobec lekarzy, których certyfikaty zostały wykorzystane przez oszustów. W praktyce lekarz jest ścigany nie za to, że sam celowo oszukiwał, lecz za to, że jego certyfikat był użyty do popełnienia przestępstwa.

Niestety, informacja o nieprawidłowościach związanych z certyfikatem ZUS dociera do lekarza z opóźnieniem. Czasami lekarz dowiaduje się o tym od zaniepokojonego pacjenta bądź farmaceuty, innym razem – dopiero po otrzymaniu wezwania od organów odpowiedzialności zawodowej. Wtedy już wie, że doszło do kradzieży certyfikatu. Rzecznik Naczelnej Izby Lekarskiej przyznaje, że zwykle takie sprawy kończą się zablokowaniem certyfikatu i wyrobieniem nowego przez lekarza, niemniej dla ofiary oszustwa wiążą się one ze stresem i ryzykiem utraty reputacji potrzebnej do wykonywania zawodu zaufania publicznego.

Ochrona przed atakami na fałszywe SMS-y od ZUS

Aby poznać fałszywego SMS-a wystarczy wiedzieć o tym, że prawdziwe powiadomienie od ZUS o zbliżającym się wygaśnięciu certyfikatu to zawsze SMS bez linku, a datę ważności certyfikatu można w każdej chwili sprawdzić po zalogowaniu się na stronie ZUS. Aby długoterminowo zapobiegać takim i podobnym atakom, niezbędne są kompleksowe działania w placówkach medycznych i szpitalach, w tym:

  • Polityki bezpieczeństwa. Ustalenie jasnych reguł dotyczących zarządzania danymi logowania i certyfikatami. Konta PUE ZUS powinny być używane wyłącznie przez uprawnionego lekarza – żadne inne osoby (w tym pracownicy rejestracji czy farmaceuci) nie powinny mieć dostępu do loginu/hasła lekarza. Należy kontrolować nadawanie i odbieranie uprawnień w systemach placówki. Ważne jest także ustalenie procedury zgłaszania podejrzanych incydentów (np. otrzymanych fałszywych SMS-ów) do władz szpitala i CERT Polska.
  • Szkolenia z cyberbezpieczeństwa. Personel medyczny (lekarze i farmaceuci) powinien być regularnie szkolony w rozpoznawaniu phishingu. Trzeba uczyć, że ZUS nigdy nie prosi o dane przez link w SMS-ie, a datę ważności certyfikatu można w każdej chwili sprawdzić po zalogowaniu się na stronie ZUS. Szkolenia praktyczne, z symulacją fałszywych wiadomości, pomagają zwiększyć czujność lekarzy i farmaceutów. Wiedza o procedurach – takich jak natychmiastowe unieważnienie certyfikatu w razie podejrzenia jego utraty – również jest kluczowa.
  • Audyty i monitoring. Należy okresowo kontrolować logowania do systemów (np. PUE ZUS) i analizować nietypowe działania (masowe wystawianie dokumentów). Audyty bezpieczeństwa i testy penetracyjne pozwalają wykryć luki w ochronie. Warto mieć narzędzia rejestrujące nietypowe wzorce – np. nagły wzrost liczby generowanych recept czy logowania z nieznanych lokalizacji. Farmaceuta czy rejestratorzy powinni też zgłaszać NFZ lub lekarzowi każdą podejrzaną receptę (niezgodną z dotychczasową praktyką wystawiania).
  • Uwierzytelnianie dwuskładnikowe (2FA). Na PUE ZUS można skonfigurować dwustopniowe logowanie – po wpisaniu hasła system wysyła jednorazowy kod SMS lub e-mail. Lekarz powinien zawsze korzystać z tej opcji i upewnić się, że dane kontaktowe na platformie ZUS są aktualne. 2FA znacznie utrudnia przejęcie konta, nawet po udostępnianiu hasła osobie trzeciej. Ważne jest również korzystanie z silnych, unikalnych haseł. W ramach polityki bezpieczeństwa warto wymagać okresowej zmiany haseł i przechowywania kluczy w postaci zaszyfrowanej.
  • Bezpieczeństwo oprogramowania. System komputerowy, na którym lekarz przechowuje certyfikat (np. plik .p12 na dysku lub pendrive), powinien mieć aktualne oprogramowanie antywirusowe i być chroniony przed malware. Regularne aktualizacje zapobiegają infekcjom i zmniejszają ryzyko ataku.
  • Współpraca z instytucjami. W razie otrzymania podejrzanego SMS-a lekarz lub farmaceuta powinien zgłosić incydent odpowiednim służbom i instytucjom (CERT, Policja, ZUS). Warto śledzić ostrzeżenia o atakach na ich stronach internetowych stronach.

Podsumowanie

Fałszywe SMS-y wyłudzające certyfikat ZUS to realne zagrożenie, które może prowadzić do masowego wystawiania nieuprawnionych recept i zwolnień. W świetle prawa oznacza to oszustwo i fałszerstwo dokumentów (art. 267 i 270 §1 k.k.). Lekarze i farmaceuci muszą być świadomi tej metody ataku i stosować procedury bezpieczeństwa. Kluczowe jest nieklikanie w linki z nieznanych SMS-ów, korzystanie z wieloskładnikowego logowania oraz szkolenia personelu. Silne polityki bezpieczeństwa, regularne audyty i stały nadzór pomogą wykryć nieprawidłowości. Wdrożenie i egzekwowanie 2FA, polityk dostępu i procedur awaryjnych skutecznie ogranicza ryzyko przejęcia konta. Tylko dzięki kompleksowym działaniom – edukacji, monitorowaniu i odpowiednim zabezpieczeniom – można chronić pracowników służby zdrowia przed takimi oszustwami.

Źródła: komunikaty ZUS, komunikaty Naczelnej Izby Lekarskiej, artykuł S. Sałwacka, Podziemie lekowe. Hakerzy w cztery dni wystawili z konta młodego lekarza 40 e-recept na leki psychotropowe.

Autor: Artur Janicki

Zobacz nasze usługi:

Audyt bezpieczeństwa informacji

Audyt cyberbezpieczeństwa

Szkolenie z zakresu cyberbezpieczeństwa

Inspektor Ochrony Danych – RODO/IOD

Przeczytaj więcej:

Dlaczego warto szkolić pracowników w zakresie cyberbezpieczeństwa?

NIS2 i Ustawa o Krajowym Systemie Cyberbezpieczeństwa – najważniejsza zmiana.

Bezpieczeństwo informacji w JST

Cyberslashing – czym jest i jak się przed tym chronić

Jak zapewnić bezpieczeństwo informacji? Krok po kroku.

Szkolenie w zakresie ochrony danych na przykładzie szpitala

Bezpieczeństwo skrzynek elektronicznych w podmiotach publicznych.

Zobacz także:

Szkolenie w zakresie ochrony sygnalistów: dla pracowników i Odbiorców naruszeń

Odbiorca naruszeń – rozpoznanie donosu i skargi, wymagania prawne

Kto jest odpowiedzialny za przyjmowanie zgłoszeń od sygnalisty?

Ochrona sygnalisty, a obowiązki i zadania odbiorcy zgłoszeń w zakresie RODO

Materiał dowodowy w zgłoszeniu sygnalisty

Wdrożenie dokumentacji dla sygnalisty 

Przepisy prawa związane z ochroną sygnalisty

Kategorie

Popularne wpisy

Ciekawe publikacje

Zaufali nam między innymi:

Miasto Toruń
Gmina Grzegorzew
Powiat Pucki
Powiat Gnieźnieński
Miasto Szczytno
Gmina Rogowo
Powiat Starogardzki
Uniwersytet im. Kazimierza Wielkiego w Bydgoszczy
Uniwersytet im. Mikołaja Kopernika w Toruniu
Uniwersytet im. Kazimierza Wielkiego w Bydgoszczy
Instytut Technik Węglowych
Toruńska Agencja Rozwoju Regionalnego
Lasy Państwowe
Prywatna Specjalizacyjna Przychodnia Lekarska Nowak & Nowak w Toruniu
EXEA
ADOP
Kancelaria Cieciórski Wacławik Kosiński
Conectio
BNI Polska
Kancelaria MP Legal
Pracodawcy Pomorza i Kujaw

Skontaktuj się z nami

kontakt@doering-partnerzy.pl​
rodo, sygnalista: +48 600 210 513
prace b+r: +48 690 495 513​

Zobacz nasze referencje

referencje w pdf

Usługi

KONTAKT

Dane firmy

Doering & Partnerzy sp. z o.o.
ul. Władysława Łokietka 5
87-100 Toruń
KRS 0000930066
NIP 8792735140
REGON 520316781

Prawa autorskie: Doering & Partnerzy

  Skip to content