Użytkownicy po raz kolejny otrzymują wiadomości mailowe z informacją o próbach nieudanego zalogowania do Profilu Zaufanego. Mógłby to być zwykły atak phishingowy, gdyby nie fakt, że informacje o logowaniu pochodzą wprost z PZ. Dodatkowo Service Desk w celu weryfikacji zgłoszenia nakazuje wysyłać mailem bardzo wrażliwe dane, a to już jest mocno podejrzane.
Profil Zaufany to bezpłatne narzędzie, dzięki któremu można załatwiać sprawy urzędowe online w serwisach administracji publicznej, bez wychodzenia z domu. Wystarczy założyć konto online i potwierdzić tożsamość za pośrednictwem bankowości elektronicznej. Dzięki Profiliowi Zaufanemu można zalogować do Internetowego Konta Pacjenta (IKP), podpisać JPK_VAT, złożyć wniosek o rejestrację działalności gospodarczej, czy zgłosić utratę dokumentu tożsamości.
Od kilku dni znów w sieci pojawiają się informacje, o tajemniczych mailach z Profilu Zaufanego. Pomimo że internauci nie logowali się, ani nie potwierdzali Profilem żadnych swoich działań. Jedną z takich informacji przesłał do nas czytelnik.
W otrzymanym mailu można przeczytać m.in., że „Twoje logowanie nie powiodło się. Otrzymujesz tę wiadomość, ponieważ nastąpiło nieudane logowanie do konta profilu zaufanego powiązanego z twoim adresem e-mail. Jeżeli to nie ty podajesz nieprawidłowe hasło podczas logowania, to przyczyną może być błąd innego użytkownika, który przy logowaniu omyłkowo podał twoją nazwę użytkownika lub adres e-mail. Nie mógł się jednak zalogować, bo nie znał hasła – co potwierdza ta wiadomość”. Na koniec wygenerowany przez system mail zapewnia nas: „Twoje dane są bezpieczne”.
Trudno nie ulec wrażeniu, że w dobie wszelkich ataków cyberprzestępców takie mailowe zapewnienia o bezpieczeństwie danych mogą być co najmniej niewystarczające. Eksperci od cyberataków wskazują, że warto w takiej sytuacji zmienić hasło do Profilu Zaufanego, i to jak najszybciej. Informował o tym 2 lata temu choćby serwis Niebezpiecznik. Nawet jeśli ktoś nieświadomie próbował zalogować się na Profil Zaufany, to musiałby zadać sobie sporo trudu. Nazwa użytkownika jest dosyć specyficzna, trudno ją w zasadzie pomylić. Poza tym system informuje o podawaniu „nieprawidłowego hasło podczas logowania”, a zatem ktoś, wpisując nazwę użytkownika lub nasz mail, starał się wpisać odpowiednie hasło. To sytuacja niezwykle podejrzana. Dlatego warto jak najszybciej po otrzymaniu takiego maila zmienić dane logowania do narzędzia Profil Zaufany.
Wydawałoby się oczywiste, że dodatkowo należy zgłosić sytuację przez podane kontakty do pomocy na stronie Profil Zaufany. Problem w tym, że odpowiedź na takiego maila może być bardzo zaskakująca. Nasz czytelnik wysłał mailem zgłoszenie o możliwym ataku czy próbie wyłudzenia danych. W odpowiedzi otrzymał numer zarejestrowanej sprawy, a następnie prośbę o wysłanie mailem wielu kluczowych informacji jak imię i nazwisko, login/identyfikator użytkownika, PESEL, sposób potwierdzenia PZ (jeżeli bank to jaki), metodę autoryzacji, adres e-mail czy numer telefonu.
Absolutnie nie polecamy wysyłania mailem żadnych danych osobowych, nie mówiąc o takich jak nazwa użytkownika wykorzystywana w Profilu Zaufanym, numer PESEL, adres e-mail czy numer telefonu. Warto, aby operator Profilu Zaufanego znalazł lepszy sposób na weryfikację danych niż podanie ich mailem przez użytkownika. Cyberprzestępcy mogą w prosty sposób uczynić z tego ciekawą metodę phishingową.