Apel do użytkowników Gmaila, hakerzy rozsyłają taką wiadomość. CERT ostrzega Polaków

Hakerzy podszywają się pod Google

Jak ostrzegają eksperci ds. cyberbezpieczeństwa, zagrożenie nie jest nowe, ale w ostatnim czasie wyraźnie przybrało na sile. Według informacji przekazywanych przez CERT Polska od marca trwa intensywna kampania phishingowa wymierzona w polskich użytkowników Gmaila, za którą ma odpowiadać grupa UNC1151, znana również jako Ghostwriter i wiązana z Białorusią. Celem cyberprzestępców jest przejęcie dostępu do skrzynek pocztowych oraz znajdujących się w nich danych.

W ostatnich tygodniach aktywność grupy znacząco wzrosła. CERT Polska informuje, że niemal każdego dnia rejestrowane są nowe domeny wykorzystywane do oszustw. Przestępcy rozsyłają starannie przygotowane wiadomości w języku polskim, podszywające się pod komunikaty Google. Najczęściej informują one o rzekomej podejrzanej aktywności na koncie, logowaniu z nowego urządzenia lub naruszeniu zasad bezpieczeństwa.

Mechanizm oszustwa krok po kroku

Schemat oszustwa jest stosunkowo prosty. Wiadomości wysyłane są z fałszywych lub przejętych kont Gmail, które mają sprawiać wrażenie oficjalnych adresów pomocy technicznej. Po kliknięciu w link użytkownik trafia na stronę łudząco podobną do panelu logowania Google. Podanie loginu, hasła i kodu jednorazowego umożliwia cyberprzestępcom przejęcie konta.

Atakujący wykorzystują również pole BCC, ukrywając liczbę odbiorców wiadomości. Fałszywe strony są publikowane na stale zmieniających się domenach, platformach hostingowych, a czasem także na przejętych polskich witrynach.

Grupa UNC1151/Ghostwriter pozostaje jedną z najbardziej aktywnych grup APT spośród obserwowanych przez zespół CERT Polska. Od wielu lat regularnie przeprowadza ona kampanie phishingowe w celu uzyskania dostępu do skrzynek pocztowych polskich obywateli. 

Przejęte skrzynki są następnie przeszukiwane pod kątem interesujących z punktu atakujących informacji, takich jak lista kontaktowa (do typowania dalszych celów kampanii), wrażliwe dokumenty czy powiązane konta (np. w mediach społecznościowych), które można przejąć z ich dalszym wykorzystaniem - pisze CERT Polska.

Kto jest celem cyberataków?

Szczególne zainteresowanie cyberprzestępców budzą osoby pełniące ważne funkcje publiczne oraz ich otoczenie. Jak wskazuje CERT Polska, grupa UNC1151 najczęściej atakuje polityków, dziennikarzy, naukowców, urzędników i funkcjonariuszy służb, a także członków ich rodzin i znajomych. Po przejęciu skrzynki pocztowej hakerzy szukają w niej kontaktów, poufnych dokumentów i informacji, które mogą posłużyć do kolejnych ataków.

Eksperci przypominają, że Google nie wysyła tego typu komunikatów z prywatnych adresów Gmail ani nie prosi o podawanie haseł czy kodów weryfikacyjnych za pomocą linków. Najlepszą ochronę zapewniają klucze sprzętowe takie, jak YubiKey czy Google Titan. Warto również dokładnie sprawdzać nadawcę wiadomości, unikać podejrzanych odnośników i zgłaszać incydenty do CERT Polska.