Strona głównaCyberbezpieczeństwo w ochronie zdrowiaCyberatak na lekarzy w Polsce. Oszuści przejmują konta i wystawiają recepty
Cyberbezpieczeństwo w ochronie zdrowiaCyfryzacja i AI w medycynie

Cyberatak na lekarzy w Polsce. Oszuści przejmują konta i wystawiają recepty

Aktualizacja 23-03-2026 17:07
Agnieszka Fodrowska
Agnieszka Fodrowska
0
cyberbezpieczeństwo zagrożenie
Pexels
Spis treści ukryj

CSIRT CeZ ostrzega przed kampanią cyberprzestępczą skierowaną do lekarzy oraz osób posiadających uprawnienia do wystawiania recept. Atak polega na podszywaniu się pod instytucje publiczne, takie jak NFZ czy ZUS, i wykorzystaniu socjotechniki do wyłudzenia danych uwierzytelniających. Po uzyskaniu dostępu do konta lekarza przestępcy mogą wystawiać recepty, także na substancje kontrolowane.

Z tego artykułu dowiesz się…

  • Jak wygląda schemat cyberoszustwa wymierzonego w lekarzy i osoby wystawiające recepty.
  • Jak przestępcy przejmują dane logowania oraz certyfikaty wykorzystywane w systemach e-zdrowia.
  • Dlaczego przejęcie konta lekarza może prowadzić do wystawiania recept na leki psychotropowe i narkotyczne.
  • Jakie działania bezpieczeństwa rekomenduje CSIRT CeZ, aby ograniczyć ryzyko przejęcia konta.

Jak wygląda schemat oszustwa?

Zidentyfikowany przez CSIRT CeZ scenariusz ataku ma kilka powtarzalnych etapów. Przestępcy rozpoczynają kontakt od telefonu do lekarza lub osoby posiadającej uprawnienia do wystawiania recept.

Rozmówca przedstawia się jako pracownik zespołu cyberbezpieczeństwa NFZ i informuje o rzekomych nieprawidłowościach związanych z wystawianiem recept. W rozmowach pojawiają się konkretne przykłady, np. informacja o kilku receptach na lek Oxydolor wystawionych z konta lekarza.

Oszuści posługują się najczęściej nazwiskami „Tomasz Zieliński” lub „Tomasz Ochocki”. Należy jednak pamiętać, że schemat działania może się zmieniać.

861 tys. zł dla Ministerstwa Zdrowia z programu „Cyberbezpieczny Rząd”
ZOBACZ KONIECZNIE 861 tys. zł dla Ministerstwa Zdrowia z programu „Cyberbezpieczny Rząd”

Fałszywe strony stylizowane na serwisy instytucji publicznych

Po rozmowie telefonicznej lekarz kierowany jest na stronę internetową, która ma rzekomo służyć zgłoszeniu incydentu lub zabezpieczeniu konta. Strony te są przygotowane w sposób przypominający serwisy instytucji publicznych.

W kampanii wykorzystywane są między innymi domeny:

  • eincydent[.]org
  • e-incydent[.]org
  • m-incydent[.]org

Na stronie lekarz proszony jest o wykonanie czynności, które mają rzekomo zabezpieczyć konto lub wygenerować nowy certyfikat.

CSIRT CeZ przypomina, że incydenty bezpieczeństwa należy zgłaszać wyłącznie przez oficjalną stronę tej instytucji.

Logowanie przez mObywatel i przejęcie certyfikatu e-ZLA

Kolejnym elementem ataku jest próba skłonienia lekarza do uwierzytelnienia się poprzez aplikację mObywatel. W ten sposób przestępcy pozyskują dodatkowe dane dostępowe.

Po wykonaniu tej czynności ofiara może otrzymać wiadomość e-mail z informacją o rzekomym unieważnieniu certyfikatu ZUS. W wiadomości znajduje się link do pobrania nowego pliku.

Plik jest w rzeczywistości fałszywym certyfikatem. Jako hasło do archiwum wskazywany jest numer PESEL lekarza, co umożliwia przestępcom przejęcie certyfikatu uwierzytelniającego.

Zakładanie kont w aplikacjach gabinetowych

Po zdobyciu danych logowania oraz certyfikatu e-ZLA przestępcy mogą tworzyć konta w wybranych aplikacjach gabinetowych.

Daje im to możliwość uzyskania dostępu do systemów wykorzystywanych w codziennej pracy lekarzy. W konsekwencji możliwe jest wystawianie e-recept bez wiedzy właściciela konta. Dotyczy to również recept na substancje kontrolowane, takie jak leki psychotropowe lub narkotyczne.

Polska wzmacnia ochronę przed cyberzagrożeniami. Nowa ustawa wdraża unijną dyrektywę NIS2
ZOBACZ KONIECZNIE Polska wzmacnia ochronę przed cyberzagrożeniami. Nowa ustawa wdraża unijną dyrektywę NIS2

Jak sprawdzić, czy ktoś wystawił recepty z konta lekarza?

Weryfikacja wszystkich wystawionych recept jest możliwa poprzez portal gabinet.gov.pl. System pozwala sprawdzić historię wystawionych dokumentów oraz wykryć potencjalne nadużycia. Szczegółowa instrukcja weryfikacji znajduje się na portalu ezdrowie.gov.pl. Regularna kontrola konta pozwala szybko wykryć sytuacje, w których recepty zostały wystawione bez wiedzy lekarza.

Dlaczego ta kampania jest szczególnie groźna?

Atak wykorzystuje klasyczne mechanizmy socjotechniczne. Przestępcy budują presję czasu, odwołują się do odpowiedzialności prawnej lekarza i posługują się nazwami instytucji publicznych. W rozmowach często pojawiają się odniesienia do realnych zdarzeń lub aktualnych problemów bezpieczeństwa, co zwiększa wiarygodność komunikatu.

Po przejęciu certyfikatu uwierzytelniającego przestępca uzyskuje faktyczną możliwość wystawiania recept. Jednocześnie uzyskuje dostęp do wrażliwych danych medycznych pacjentów, które podlegają szczególnej ochronie na gruncie RODO.

Rekomendacje bezpieczeństwa dla lekarzy

CSIRT CeZ wskazuje kilka podstawowych zasad, które mogą ograniczyć ryzyko skutecznego ataku.

Pierwszą z nich jest weryfikacja rozmówców. Instytucje publiczne nie proszą telefonicznie o logowanie do systemów ani o przekazywanie danych uwierzytelniających. W przypadku wątpliwości należy zakończyć rozmowę i skontaktować się z instytucją poprzez oficjalny numer.

Drugim ważnym elementem jest włączenie uwierzytelniania wieloskładnikowego (MFA). Dotyczy to zarówno systemów gabinetowych, jak i prywatnych kont pocztowych. Dodatkowa warstwa zabezpieczeń znacząco utrudnia przejęcie konta.

Kolejna zasada to korzystanie wyłącznie z oficjalnych stron instytucji publicznych. Nie należy otwierać linków ani kodów QR przesyłanych przez nieznane źródła.

Istotna jest także regularna kontrola wystawionych recept w portalu gabinet.gov.pl.

Warto również sprawdzać poprawność danych kontaktowych w Profilu Zaufanym oraz w aplikacjach gabinetowych. Przestępcy często zmieniają adresy e-mail lub numery telefonu, aby ukryć przejęcie konta.

Cyberataki w ochronie zdrowia. Już 946 incydentów – gdzie leży problem?
ZOBACZ KONIECZNIE Cyberataki w ochronie zdrowia. Już 946 incydentów – gdzie leży problem?

Elementy, które mogą wskazywać na próbę oszustwa

CSIRT CeZ wskazał elementy, które mogą świadczyć o próbie oszustwa.

Podejrzane domeny:

  • eincydent[.]org
  • e-incydent[.]org
  • m-incydent[.]org

Nazwiska używane przez oszustów:

  • Tomasz Zieliński
  • Tomasz Ochocki

Adresy e-mail wykorzystywane w kampanii:

  • tomaszochocki1@atomicmail.io
  • tomoch12@int.pl
  • tomaszochocki664@int.pl

Adresy IP obsługujące fałszywe strony:

  • 172.67.143.246
  • 104.21.71.79

Numery telefonów wykorzystywane w połączeniach:

  • +48 21 223 07 00
  • +420 736 449 192
  • +420 739 443 974

Gdzie zgłaszać incydenty bezpieczeństwa?

Podejrzane zdarzenia, próby wyłudzenia danych oraz naruszenia bezpieczeństwa należy zgłaszać poprzez formularz dostępny na stronie CSIRT CeZ.

W sytuacji, gdy doszło do przejęcia danych pacjentów, zdarzenie może również stanowić naruszenie ochrony danych osobowych. W takim przypadku konieczne jest rozważenie zgłoszenia incydentu do Prezesa Urzędu Ochrony Danych Osobowych.

Cyberatak na NHS: Jak atak ransomware przyczynił się do śmierci pacjenta?
ZOBACZ KONIECZNIE Cyberatak na NHS: Jak atak ransomware przyczynił się do śmierci pacjenta?

Główne wnioski

  1. Kampania cyberprzestępcza obserwowana przez CSIRT CeZ jest skierowana do lekarzy i osób posiadających uprawnienia do wystawiania recept.
  2. Przestępcy podszywają się pod instytucje publiczne, m.in. NFZ i zespoły cyberbezpieczeństwa, wykorzystując telefon oraz fałszywe strony internetowe, takie jak eincydent.org, e-incydent.org i m-incydent.org.
  3. Po przejęciu danych logowania oraz certyfikatu e-ZLA możliwe jest zakładanie kont w aplikacjach gabinetowych i wystawianie e-recept bez wiedzy lekarza.
  4. Weryfikacja recept w systemie gabinet.gov.pl, stosowanie uwierzytelniania wieloskładnikowego (MFA) oraz korzystanie wyłącznie z oficjalnych kanałów instytucji publicznych znacząco ogranicza ryzyko skutecznego ataku.

Źródło

  • https://www.cez.gov.pl/pl/page/o-nas/aktualnosci/cyberprzestepcy-atakuja-lekarzy-proby-przejecia-tozsamosci-i-wystawiania

Trzymaj rękę na pulsie.
Zaobserwuj nas na Google News!

OBSERWUJ
ikona Google News
Agnieszka Fodrowska
Agnieszka Fodrowska
Redaktorka i specjalistka marketingu internetowego z wieloletnim doświadczeniem w tworzeniu treści dla sektora ochrony zdrowia. Specjalizuje się w tematach związanych z innowacjami i cyfryzacją medycyny oraz farmacji - od AI po robotykę chirurgiczną. Prywatnie miłośniczka podróży, dobrej muzyki i psów.
Najważniejsze dziś

Trzymaj rękę na pulsie. Zapisz się na newsletter.

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Więcej aktualności