CERT Polska ostrzega przed nową falą ataków phishingowych wymierzonych w użytkowników Gmaila. Za kampanią stoi grupa UNC1151, znana również jako Ghostwriter, którą eksperci od lat wiążą z Białorusią. To jedna z najbardziej aktywnych grup prowadzących cyberoperacje przeciwko polskim użytkownikom i instytucjom.
Według CERT Polska od marca 2026 r. atakujący z dużą intensywnością rozsyłają fałszywe wiadomości podszywające się pod komunikaty bezpieczeństwa Google. Wcześniej grupa koncentrowała się głównie na użytkownikach poczty Onet, WP czy Interia, teraz jednak jej działania są coraz częściej skierowane do osób korzystających z Gmaila.
Schemat ataku jest stosunkowo prosty, ale skuteczny. Ofiara otrzymuje wiadomość informującą o rzekomej próbie logowania, naruszeniu bezpieczeństwa lub konieczności pilnej weryfikacji konta. Nadawcy wykorzystują adresy przypominające oficjalne komunikaty, takie jak „monitoring.konta@gmail.com” czy „serwis.pomoc.techniczna@gmail.com”. Po kliknięciu w link użytkownik trafia na stronę łudząco podobną do panelu logowania Google.
Na fałszywej witrynie wyłudzany jest nie tylko adres e-mail i hasło, ale także drugi składnik uwierzytelniania. Oznacza to, że przestępcy mogą przechwycić zarówno kody SMS, jak i kody generowane przez aplikacje uwierzytelniające. Zdaniem ekspertów taki model ataku pozwala na niemal natychmiastowe przejęcie konta. Podobne techniki były obserwowane również w innych kampaniach przypisywanych UNC1151.
Przejęte skrzynki są następnie przeszukiwane pod kątem kontaktów, dokumentów oraz informacji umożliwiających dostęp do kolejnych usług, w tym kont w mediach społecznościowych. Celem grupy są m.in. politycy, urzędnicy, dziennikarze, naukowcy i osoby aktywne społecznie, jednak szkodliwe wiadomości mogą trafiać również do przypadkowych użytkowników.
Eksperci przypominają, że Google nie wysyła alertów bezpieczeństwa z prywatnych adresów w domenie gmail.com. Kluczowe znaczenie ma więc sprawdzanie nadawcy, weryfikacja adresu strony logowania oraz ostrożność wobec wiadomości wywołujących presję czasu. Dodatkową ochronę zapewniają sprzętowe klucze bezpieczeństwa, które są odporne na przechwycenie kodów podczas tego typu ataków.
