Comment les hackers monétisent les données médicales volées

Un article intéressant, publié le 5 juin 2019 sur le blog ZeroDay, détaille la façon dont les hackers parviennent à tirer des revenus substantiels des données médicales piratées auprès des acteurs de secteur de la santé :

Quand des informations financières comme les numéros de carte de crédit et les codes de sécurité sont volées, elles peuvent être utilisées pour créer des cartes “clones” afin de réaliser des transactions frauduleuses. Les numéros de sécurité sociale, les adresses, noms, dates de naissance et autres informations d’identification personnelle peuvent être utilisées pour le vol d’identité, mais en ce qui concerne les informations médicales, les motifs de vol ne sont pas aussi évidents.

Les données médicales incluent la condition de santé passée et présente, les ordonnances médicales, les dossiers d’hospitalisation, les détails d’assurance, et les identifiants des comptes médicaux en ligne.

Au bout de la chaîne, des ecroqueries massives au système de santé

L’article cite un rapport récent de la société Carbon Black, qui explique que la principale utilité des données purement médicales — par opposition aux données d’identification — est de créer de toutes pièces de faux dossiers médicaux :

Un hacker compromet le réseau interne d’un acteur du secteur médical pour y trouver des dossiers administratifs qui pourraient servir à créer une fausse identité de médecin. Le hacker vend ensuite à un acheteur ou à un intermédiaire (…) pour un prix assez élevé pour assurer un retour sur investissement, mais assez bas pour permettre que plusieurs personnes achètent le produit.

L’acheteur se fait passer pour le médecin dont l’identité a été falsifiée et soumet des demandes [de remboursement et/ou de prise en charge] à la sécurité sociale ou à des assureurs pour des opérations de chirurgie de haut de gamme.

Des faux médicaux en libre service pour quelques dollars

Bien sûr, les données peuvent également servir à des entreprises criminelles de moindre ampleur :

Pour 10 à 20 dollars par dossier, vous pouvez acheter des faux d’ordonnances, d’étiquettes, de reçus, et des cartes de santé volées.

Bref, une plongée en eaux troubles recommandée pour tous ceux qui s’intéressent à la cybersécurité dans le secteur médical, et même à la cybersécurité tout court…

(Source : ZeroDay)