Ministerstwo Cyfryzacji dzwoni i prosi o wylegitymowanie się dowodem do kamerki

8 maja 20208 maja 2020 Marcin Kaczmarek bezpieczeństwo, Kwarantanna Domowa, Microsoft Teams, Ministerstwo Cyfryzacji, Profil Zaufany, tymczasowy Profil Zaufany

Ministerstwo Cyfryzacji wzbudziło dużo niepokoju wśród osób, które otrzymały telefon z prośbą o zainstalowanie Microsoft Teams, a następnie uruchomienie narzędzia do komunikacji zdalnej i zbliżenie do kamerki dowodu osobistego, tak by można było odczytać znajdujące się na nim informacje. Pojawiły się podejrzenia, że może dochodzić do próby wyłudzenia danych osobowych.

Ministerstwo Cyfryzacji stara się wprowadzić powiew innowacji i nowoczesności do polskiej administracji państwowej. Dzięki działaniom resortu coraz więcej spraw urzędowych możemy załatwiać zdalnie.

Elektroniczna ścieżka potrafi wciąż jeszcze nieco kuleć, co pokazała między innymi sytuacja z wnioskami o zawieszenie płacenia składek ZUS. Wnioski składane przez internet, mimo istnienia w formacie cyfrowym, przez błąd systemu musiały być wprowadzane przez urzędników ręcznie.

Epidemia COVID-19 i zamieszanie prawne związane z planowanymi na 10 maja 2020 wyborami korespondencyjnymi sprawiły, że przestępcy zauważyli potencjał do przeprowadzania skutecznego phishingu. Ostrzegaliśmy o tym, pokazując jak łatwo można próbować wyłudzać dane osobowe na przykład pytając o ich weryfikację podczas ustalania rzekomego terminu dostarczenia pakietu wyborczego. W mediach pojawiły się nawet doniesienia o fałszywych listonoszach, którzy odwiedzali DPS-y, żeby „zweryfikować listy wyborcze”.

W takich okolicznościach trudno się dziwić, że telefon od osoby podającej się za pracownika Ministerstwa Cyfryzacji i prośba o pokazanie dowodu osobistego do kamerki wzbudzała duże wątpliwości. Jak się okazało, niebezpieczeństwa jednak nie było i prośby pochodziły rzeczywiście od resortu.

Ministerstwo Cyfryzacji prosi o pokazywanie dowodów do kamerki. Procedura aktywującą tymczasowy Profil Zaufany

W trakcie rozmowy pracownik Ministerstwa Cyfryzacji prosił o zainstalowanie pakietu Microsoft Teams, wykorzystywanego do pracy zdalnej. Po uruchomieniu oprogramowania inicjowane było połączenie wideo, podczas którego rozmówca proszony był o zbliżenie dowodu osobistego do kamerki, tak by urzędnik mógł zweryfikować znajdujące się na nim dane.

Szybko okazało się, że takie telefony otrzymują osoby znajdujące się na kwarantannie domowej. Ponieważ luka w aplikacji pozwala sprawdzić, czy osoba dysponująca danym numerem jest poddawana przymusowej izolacji, dołożyło to tylko wagi do podejrzeń o oszustwie.

Wątpliwości zostały jednak rozwiane przez Ministerstwo Cyfryzacji, które poinformowało, że jest to standardowa procedura działania w przypadku przyznawania tymczasowego Profilu Zaufanego. Resort tak odpowiedział na pytanie Niebezpiecznika:

Nie prowadzimy „akcji uzupełniania danych” użytkowników aplikacji „Kwarantanna domowa”. Numery telefonów, które Państwo wskazaliście są wykorzystywane przez pracowników Ministerstwa Cyfryzacji zajmujących się potwierdzaniem tymczasowych profili zaufanych. Więcej o tej e-usłudze przeczytacie Państwo tutaj – https://www.gov.pl/web/gov/zaloz-profil-zaufany Pracownicy potwierdzający tymczasowe profile zaufane nie mają dostępu do danych użytkowników aplikacji „Kwarantanna domowa”. Z użytkownikami aplikacji „Kwarantanna domowa” mogą kontaktować się jedynie osoby obsługujące infolinię dedykowaną użytkownikom apki.

Telefony wykonywane są do osób znajdujących się na kwarantannie, pojawiła się więc teoria, że Ministerstwo Cyfryzacji postanowiło przyspieszyć proces zakładania tymczasowego Profilu Zaufanego, żeby umożliwić im kontakty z administracją bez konieczności wychodzenia z domu.