Dostałeś takiego SMS-a? Natychmiast go zgłoś, przez niewiedzę można stracić wszystkie oszczędności

Polacy z niepokojem patrzą na swoje skrzynki pocztowe

Współczesny phishing (metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji) rzadko opiera się już na niezdarnych komunikatach z licznymi błędami językowymi. Obecna fala ataków wymierzona w pacjentów i przedsiębiorców charakteryzuje się wysokim profesjonalizmem i dbałością o detale wizualne.

Oszuści operują oficjalnym językiem prawniczym, stosują logotypy identyczne z tymi używanymi przez NFZ oraz Ministerstwo Zdrowia, a ich wiadomości e-mail oraz SMS-y często trafiają do skrzynek odbiorczych z nadpisem sugerującym autentyczność nadawcy. Głównym motywem przewodnim tych komunikatów jest informacja o „błędach w naliczeniu składek zdrowotnych” lub „konieczności pilnej weryfikacji danych w systemie e-zdrowie”.

Taka strategia ma na celu wywołanie u odbiorcy stanu niepokoju. Perspektywa zaległości finansowych wobec państwa lub utraty ubezpieczenia zdrowotnego sprawia, że wielu użytkowników porzuca standardowe środki ostrożności. Warto pamiętać, że instytucje publiczne w Polsce mają ściśle określone kanały komunikacji z obywatelem i nigdy nie proszą o podawanie haseł do bankowości czy numerów kart płatniczych za pośrednictwem linków przesyłanych w krótkich wiadomościach tekstowych.

Edukacja w zakresie cyberbezpieczeństwa staje się tu kluczowa, gdyż techniczna zapora ogniowa nie zawsze jest w stanie zatrzymać precyzyjnie wycelowany socjotechniczny atak.

Jak rozpoznać prawdziwą stronę NFZ?

Kluczowym elementem ataku na NFZ jest przekierowanie użytkownika na fałszywą stronę internetową, która do złudzenia przypomina oficjalny serwis instytucji lub profil zaufany. Przestępcy stosują tzw. typosquatting (rejestrowanie domen o nazwach bardzo podobnych do znanych serwisów, różniących się np. jedną literą lub końcówką), licząc na to, że w pośpiechu nikt nie zwróci uwagi na pasek adresu w przeglądarce.

Na takiej spreparowanej witrynie ofiara proszona jest o zalogowanie się, co w rzeczywistości oznacza przekazanie loginu i hasła bezpośrednio w ręce przestępców. Często kolejnym krokiem jest prośba o podanie numeru PESEL, nazwiska panieńskiego matki czy danych karty kredytowej pod pretekstem „opłacenia niedopłaty składki”.

Specjaliści z zespołów reagowania na incydenty bezpieczeństwa podkreślają, że najskuteczniejszą metodą obrony przed tego typu wyłudzeniami jest zasada ograniczonego zaufania do wszelkich odnośników. Zamiast klikać w link zawarty w podejrzanej wiadomości, należy samodzielnie wpisać adres oficjalnej strony NFZ w oknie przeglądarki lub skorzystać z autoryzowanej aplikacji mObywatel.

Każda prośba o dokonanie płatności online przez nieznany system pośredniczący powinna zapalać czerwoną lampkę. W dobie narastającej cyfryzacji usług publicznych, nasza czujność przy weryfikacji certyfikatów stron i poprawności adresów URL jest jedyną barierą, której hakerzy nie są w stanie pokonać wyłącznie kodem programistycznym.

Zobacz też: Wielkie zmiany w paszportach. MSWiA właśnie poinformowało, Polacy się nie spodziewają

Systemowa odpowiedź na zagrożenie - Polacy otrzymali odpowiedzialne zadanie

Skala obecnych kampanii phishingowych sprawiła, że instytucje odpowiedzialne za bezpieczeństwo w sieci, takie jak CERT Polska (zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w internecie), zintensyfikowały działania monitorujące.

Każdy przypadek otrzymania podejrzanego SMS-a podszywającego się pod Narodowy Fundusz Zdrowia można i należy zgłosić. Najprostszą metodą jest przekazanie treści wiadomości na specjalny, darmowy numer 8080, co pozwala analitykom na szybkie zablokowanie złośliwej domeny i ostrzeżenie innych użytkowników. Dodatkowo, w aplikacji mObywatel dostępna jest usługa „Bezpiecznie w sieci”, która umożliwia bezpośrednie raportowanie prób oszustw.

Skuteczność walki z cyberprzestępczością zależy w dużej mierze od szybkości przepływu informacji między obywatelami a służbami. Zgłoszenia incydentów ułatwiają tworzenie list ostrzeżeń, które są automatycznie uwzględniane przez dostawców internetu w Polsce, uniemożliwiając wejście na niebezpieczne witryny tysiącom innych osób.

Jeśli jednak doszło już do najgorszego i dane zostały podane na fałszywej stronie, pierwszym krokiem powinno być natychmiastowe skontaktowanie się z bankiem w celu zablokowania dostępu do konta oraz zastrzeżenie numeru PESEL. NFZ oficjalnie apeluje, aby wszelkie wątpliwości dotyczące składek wyjaśniać osobiście w oddziałach lub poprzez Telefoniczną Informację Pacjenta, ignorując komunikaty wymuszające pośpiech w sieci.