Pas på falske obamacare-forsikringsmarkedspladser

Midt i kampene i Washington og rapporterne om stedbrud på Marketplace er et spørgsmål omkring Affordable Care Act (aka Obamacare) ikke blevet behandlet: svindlere.

Sikkerhedsfirma Trend Micro rapporterede, at de allerede ser spam, der er målrettet mod ord som "medicare", "tilmelding" og "medicinsk forsikring." Disse vilkår er endnu ikke helt på stedet, men Trend Micros trusselkommunikationschef Christopher Budd fortalte SecurityWatch, at dybe problemer med Marketplace-webstederne kunne gøre tingene meget værre.

Et forvirrende web

"De fleste stater har deres egne officielle statswebsteder, og så kan du have tredjepartsmæglerwebsteder, " forklarede Budd og rørte ved, hvordan forsikringsmarkedspladserne er organiseret. "Det miljø, dette skaber lige ud af porten, er så forvirrende, at det skaber plads til phishing."

Budd siger, at uden et klart middel til at kontrollere, om et websted er officielt eller ej, risikerer folk at finde sig selv dybt af overbevisende udseende svigagtige websteder. Vi har allerede set, hvordan spammere og svindlere er meget dygtig skræddersy deres beskeder til at matche zeitgeist . Og fordi disse websteder beskæftiger sig med medicinske problemer og forsikring, er folk allerede i gang med at udlevere masser af personlige oplysninger - som deres personnummer. Værre endnu er det, at nogle mennesker tilmelder sig hele deres familier og potentielt giver tyve adgang til en masse personlige oplysninger.

Det største problem, siger Budd, er, at nogle af de statlige websteder ikke fulgte bedste praksis for sikkerhed - eller endda tilstrækkeligt branding sig selv som en del af ACA. "For at give kredit er det føderale websted professionelt, godt mærket og leverer SSL, " sagde Budd og påpegede, hvordan HealthCare.gov automatisk brugte SSL.

Markedspladser på statsniveau blev ikke så godt sammensat. "Der er nogle tilstandswebsteder, hvis du går i HTTPS, giver det dig en 404-fejl, " sagde Budd. Andre stater havde testcertifikater i stedet for legitime, og et tredjeparts websted rullede Budd automatisk tilbage til HTTP, da han forsøgte at oprette forbindelse via HTTPS.

Sådan forbliver du sikker

For at undgå svindelwebsteder sagde Budd, at folk ikke burde starte med at bruge søgemaskiner til at finde information. Søgeresultater kan let males af phishing-websteder, og målretning af populære sætninger er en nøglestrategi, der bruges af svindlere.

I stedet skal folk starte på https://www.healthcare.gov. Herfra kan de finde det relevante Marketplace-websted til deres tilstand. Oplysninger om legitime tredjepartsforsikringsleverandører kan også findes på disse sider.

Når det er muligt, skal du oprette forbindelse via SSL og bruge HTTPS i stedet for HTTP i starten af ​​URL'en. På HTTPS-websteder skal et lille låseikon vises lige til venstre for URL-adressen. Du kan klikke på dette og bekræfte ægtheden af ​​webstedet.

Hvis certifikatet er udløbet, eller hvis du ikke er sikker på, at du kan stole på webstedet af en eller anden grund, skal du tage det offline. Budd fortalte SecurityWatch, at nogle forsikringsselskaber kan nås via telefon eller personligt.

De fleste moderne browsere, som Chrome, vil kaste op en advarselsskærm, hvis de opdager noget uhensigtsmæssigt ved webstedets certificering. "Hvis din browser rejser en advarsel, skal du stoppe der, medmindre du ved, hvad du laver, " sagde Budd.

Tid til forandring

Budd erkendte, at stater har en op ad bakke, der håndterer sikkerhedsproblemerne omkring markedspladserne. Han sagde, at offentlig nøgleinfrastruktur, den kryptografiske teknologi, der sikrer denne form for kommunikation, var "en af ​​de mest komplicerede, dyre og forvirrende teknologier derude." Føj til det faktum, at de fleste stater er bundet til kontanter i disse dage, og det er ikke overraskende, at disse problemer findes.

For at hjælpe med at beskytte brugere mod svindlere sagde Budd, at den første prioritet burde være at få SSL på plads for hvert websted, der er knyttet til ACA. Dernæst foreslog han, at der skulle oprettes et segl - som det, der blev brugt af Verisign - så mindre teknisk kyndige mennesker ved, at de er på et legitimt sted. Han foreslog også, at den føderale regering kunne følge føringen af ​​den finansielle sektor og revidere ACA-websteder.

Budd understregede, at forsikringsmarkederne - faktisk hele denne service - er helt nye. Han pegede igen på den finansielle sektor, der tog år at finjustere sin tilgang til onlinetjenesterne. I betragtning af niveauet for interesse i dette program vil svindlere og spammere ikke være langt bagefter. Forhåbentlig modnes Marketplace-webstederne hurtigt nok til at imødekomme disse trusler.