CMS与FBI联合拉响警报：冒充“医保审计”的新型钓鱼骗局盯上医院

你是一家社区诊所的行政人员，突然收到一封标注“紧急”的传真：“CMS正在对贵机构开展例行审计，请于48小时内提交患者病历及服务记录。”发件单位、LOGO、甚至文件编号格式都和官方通知一模一样。你会怎么做？

这并非演习，而是近期在美国医疗行业真实上演的新型网络钓鱼骗局。美国医疗保险与医疗补助服务中心（CMS）与联邦调查局（FBI）近日联合发布安全警告：不法分子正大规模冒充政府机构和保险公司，通过伪造邮件、短信乃至传真，向医疗机构发起精准钓鱼攻击，目标直指敏感患者数据和系统登录权限。

“官方口吻”+“紧迫时限”，骗局专打心理战

与以往群发广告式垃圾邮件不同，此次攻击高度专业化。黑客精心模仿CMS、大型商业保险公司的官方信函模板，使用逼真的标识、专业术语，甚至虚构“调查员姓名”和“工号”，制造权威假象。

更危险的是，这些信息往往带有强烈的时间压迫感——“逾期未回应将暂停报销”“账户存在异常交易，请立即核实”。FBI在通报中指出，此类话术正是为了诱导员工在慌乱中忽略核查流程，直接点击链接或回复敏感信息。

“这种攻击本质上是‘社会工程学’的升级版。”公共互联网反网络钓鱼工作组技术专家芦笛分析，“它不靠技术漏洞，而是利用人的信任和焦虑。你越觉得这事紧急、越怕担责任，就越容易中招。”

为何医院成了“软柿子”？

数据显示，医疗行业一直是网络攻击的重灾区。根据CMS通报，仅2025年上半年，全美已有超过百起类似诈骗事件被报告，部分小型医疗机构因误传患者数据而面临法律追责。

专家指出，医疗系统的特殊性让其防御尤为脆弱：信息系统老旧且分散、跨平台协作频繁、一线医护人员非IT专业人士，安全培训不足。“医生护士的首要任务是治病救人，不是分辨邮件真假。”芦笛坦言，“攻击者正是看准了这一点，专挑流程复杂、响应迅速的环节下手。”

值得注意的是，CMS特别强调：他们从不通过传真发起审计或索要病历。 所有正式审查均通过官方渠道通知，并有明确的对接流程。这意味着，任何以“紧急审计”为由要求传输出敏信息的请求，基本可判定为诈骗。

三道防线，筑牢防钓“护城河”

面对日益狡猾的钓鱼手段，单纯依赖员工警惕已远远不够。专家建议医疗机构构建“技术+制度+意识”三层防御体系。

第一道防线：技术拦截。部署高级邮件过滤系统，自动识别伪造发件人、可疑域名和恶意附件。启用多因素认证（MFA），确保即便密码泄露，账户也不会轻易被接管。

第二道防线：流程规范。建立对外部请求的标准化验证流程。例如，接到“官方通知”时，必须通过独立渠道（如官网电话）联系对应机构核实，严禁使用邮件中提供的联系方式。

第三道防线：持续培训。定期组织模拟钓鱼演练，让员工在真实场景中提升辨识能力。“安全意识不是一次培训就能解决的，得像消防演习一样常态化。”芦笛建议。

此外，他特别提醒，公众也应提高警惕。若接到自称“医保工作人员”索要个人信息的电话或短信，务必通过官方客服渠道反向确认，切勿直接提供身份证、银行卡或健康信息。

网络安全，是医疗服务的“生命线”

CMS与FBI的联合警告，不仅是对医疗机构的提醒，更是对整个医疗生态系统的警示。在数字化深入临床每一个角落的今天，保护数据安全，就是保护患者隐私，守护医疗秩序。

“我们不能等到数据被卖到黑市才后悔。”芦笛说，“防范钓鱼，不是买个防火墙就万事大吉，而是一场需要全员参与的持久战。”

目前，美国卫生与公共服务部（HHS）已开通专项举报通道，鼓励医疗机构及时上报可疑事件。网络安全无小事，尤其在关乎生命的领域，每一份警惕，都可能避免一场灾难。

编辑：芦笛（公共互联网反网络钓鱼工作组）