Potężny atak na polskie konta Gmail. „Przejęte skrzynki są przeszukiwane”
Polscy użytkownicy skrzynek e-mail są celem zaawansowanej kampanii phishingowej prowadzonej przez grupę UNC1151/Ghostwriter. Działania tej grupy są od lat monitorowane przez zespół CERT Polska, który wskazuje na ich dużą aktywność i konsekwencję w atakach. Cyberprzestępcy podszywają się pod komunikaty bezpieczeństwa, próbując przejąć dane logowania i kody autoryzacyjne.
Białoruska grupa UNC1151/Ghostwriter i jej długofalowa aktywność
Według analiz bezpieczeństwa UNC1151/Ghostwriter to jedna z bardziej aktywnych grup typu APT, której działania są regularnie obserwowane w kontekście kampanii wymierzonych w użytkowników w Polsce i regionie.
Specjaliści z CERT Polska podkreślają, że grupa od wielu lat konsekwentnie realizuje operacje phishingowe, których celem jest uzyskanie dostępu do prywatnych skrzynek pocztowych.
W przejętych kontach atakujący nie działają przypadkowo – przeszukują je pod kątem konkretnych danych, takich jak kontakty, poufne dokumenty czy powiązane konta w innych serwisach. Takie informacje pozwalają im budować kolejne wektory ataku i poszerzać zasięg kampanii, co sprawia, że pojedyncze włamanie może prowadzić do znacznie większych naruszeń bezpieczeństwa.
Schemat ataku i fałszywe komunikaty bezpieczeństwa
Atak rozpoczyna się od wiadomości e-mail, która ma wzbudzić niepokój u odbiorcy. Przestępcy wysyłają komunikaty stylizowane na alerty bezpieczeństwa, sugerujące pilną konieczność działania.
W treści takich wiadomości pojawiają się fałszywe adresy nadawców, m.in. takie jak monitoring.konta[@]gmail[.]com czy serwis.pomoc.techniczna[@]gmail[.]com, które mają sprawiać wrażenie oficjalnej korespondencji.
W rzeczywistości Google nie wykorzystuje tego typu adresów do kontaktu z użytkownikami, co jest jednym z kluczowych sygnałów ostrzegawczych. Po kliknięciu w przycisk zawarty w wiadomości użytkownik trafia na stronę łudząco podobną do panelu logowania.
Tam proszony jest o wpisanie loginu i hasła, a w wielu przypadkach także kodu jednorazowego 2FA. Co istotne, cyberprzestępcy potrafią przechwycić również te kody, co znacząco zwiększa skuteczność ataku.
Jak się chronić przed phishingiem i przejęciem konta?
Eksperci ds. cyberbezpieczeństwa zwracają uwagę, że kluczowym elementem obrony jest czujność wobec każdej wiadomości e-mail, która wywołuje presję czasu lub strach. Wszelkie alerty dotyczące rzekomych problemów z kontem należy weryfikować bezpośrednio, a nie poprzez linki zawarte w wiadomości.
Szczególnie ważne jest dokładne sprawdzanie adresu nadawcy, ponieważ w wielu przypadkach różni się on jedynie drobnymi szczegółami od prawdziwych domen usługodawców. Użytkownicy powinni także unikać logowania się przez linki z wiadomości i zamiast tego wpisywać adres serwisu ręcznie w przeglądarce.
Dodatkową ochronę zapewniają sprzętowe klucze bezpieczeństwa, które skutecznie blokują przejęcie konta nawet wtedy, gdy hasło zostanie wyłudzone. W ocenie CERT Polska to obecnie jedna z najpewniejszych metod zabezpieczenia przed tego typu atakami, szczególnie w przypadku kont o wysokiej wartości dla użytkownika lub organizacji.
Obserwuj w Google News
