尽管大多数社会工程和网络钓鱼攻击都是通过电子邮件进行的,但社会工程策略也被用来说服人们通过其他通信渠道(包括电话)来分离敏感信息。现在,通过电话进行这样的宣传以说服医护人员泄露受保护的健康信息(PHI)。
一名自称是HHS民权调查员办公室的人正在致电医疗保健提供者获取患者的PHI。该骗局促使OCR在周末向医疗服务提供者发出警告。呼叫者未提供可用于验证呼叫合法性的信息,并且未提供符合OCR的交易号码。
OCR已建议医疗保健提供者及其业务伙伴与员工一起提高对欺诈的认识,并提供有关在接到此类电话时应采取的正确措施的信息。
医疗保健员工应采取措施,以验证任何要求PHI的呼叫者的身份。如果自称是OCR调查员的人打来电话,医护人员应询问其电子邮件地址,并要求通过OCR调查员的hhs.gov电子邮件帐户通过电子邮件以书面形式确认该请求。所有OCR工作人员的电子邮件地址都以@ hhv.gov结尾。
如果收到电子邮件,则应进行检查以确认该消息是从@ hhs.gov官方电子邮件帐户发送的,并且该电子邮件地址尚未被欺骗。
OCR已要求通过电子邮件将任何问题或疑虑直接发送给OCR,对于任何假冒OCR工作人员的可疑案件,应报告给联邦调查局。