E-mail z logo NFZ. "Weryfikacja zwrotu kosztów"
CERT Orange ostrzega przed nową kampanią phishingową, w której oszuści podszywają się pod NFZ. Wysyłają e-maile o rzekomej "aktualizacji systemu" i "zwrocie kosztów", a potem kierują na stronę, która wyłudza pełne dane karty, w tym numery i kod CVV.
Mail ma wyglądać jak oficjalny komunikat systemowy, ale po kliknięciu linku prowadzi na stronę łudząco podobną do serwisu Narodowego Funduszu Zdrowia. Witryna sprawia wrażenie dopracowanej i ma nakłonić odbiorcę do szybkiego działania.
Kluczowym sygnałem ostrzegawczym jest adres strony. W opisywanym przypadku w pasku przeglądarki pojawia się podejrzana domena: auto-renwal-id564375-nfz-pl[.]verbiertenverboten[.]de. CERT Orange podkreśla, że NFZ nie korzysta z niemieckich domen (.de) ani z rozbudowanych subdomen na prywatnych serwerach.
Scenariusz oszustwa prowadzi ofiarę przez dwuetapowy proces. Celem jest zebranie danych potrzebnych do płatności kartą, a nie realizacja jakiegokolwiek zwrotu. To typowy schemat wyłudzenia, w którym "weryfikacja" ma uwiarygodnić operację i skłonić do podania kolejnych informacji.
CERT Orange przypomina, że instytucje publiczne, w tym NFZ, nie wymagają podawania kodu CVV ani pełnych danych karty płatniczej, aby wypłacić środki. Ewentualne zwroty mają trafiać na numer konta bankowego zadeklarowany w systemach urzędowych, a nie poprzez "weryfikację" karty na stronie WWW.
Aby nie dać się nabrać, warto sprawdzać nie tylko treść wiadomości, ale też dane nadawcy i domenę strony, na którą prowadzi link. Jeśli e-mail o "zwrocie" kończy się formularzem proszącym o dane karty, to według opisu kampanii niemal na pewno jest to próba oszustwa.
Fałszywa witryna może dodatkowo udawać legalny serwis elementami technicznymi, np. komunikatami o plikach cookies i ustawieniach zgód, które mają budować wrażenie wiarygodności. Taki dodatek nie potwierdza autentyczności strony, dlatego decydujące pozostają: adres URL oraz to, jakie dane strona próbuje wyłudzić.
