Atak na konta Gmail. CERT Polska alarmuje i ostrzega przed hakerami

Polscy użytkownicy poczty Gmail znaleźli się na celowniku niebezpiecznej kampanii phishingowej. Eksperci z CERT Polska alarmują, iż za atakami stoi powiązana z białoruskim rządem grupa UNC1151, znana również jako Ghostwriter. Cyberprzestępcy podszywają się pod komunikaty bezpieczeństwa Google, próbując przejąć hasła, dane ze skrzynek, a choćby kody do dwuskładnikowego uwierzytelniania (2FA)

Mężczyzna w bluzie z kapturem, zasłaniającym twarz, z czerwoną kartką. Fot. Pixabay

Scenariusz ataku jest precyzyjnie zaplanowany. Do polskich użytkowników trafiają wiadomości e-mail, które na pierwszy rzut oka wyglądają jak oficjalne alerty bezpieczeństwa wysyłane przez administrację Google. W treści znajduje się link, który rzekomo ma pomóc w zabezpieczeniu skrzynki lub weryfikacji danych.

Po kliknięciu w odnośnik ofiara zostaje przekierowana na fałszywą witrynę, która niemal idealnie imituje prawdziwy panel logowania Google. jeżeli użytkownik wpisze tam swój login i hasło, dane natychmiast trafiają w ręce przestępców. Co gorsza, z ustaleń CERT Polska wynika, iż napastnicy na podstawionej stronie próbują na bieżąco przechwytywać także kody dwuskładnikowego uwierzytelniania (2FA).

„Po uzyskaniu dostępu do skrzynki atakujący sprawdzają treści przydatne z ich punktu widzenia. Interesują ich m.in. lista kontaktów, wrażliwe dokumenty oraz konta powiązane z mailem, na przykład profile w mediach społecznościowych” – ostrzegają eksperci CERT Polska. Przejęta skrzynka staje się dla hakerów bazą do atakowania kolejnych osób.

Głównym celem grupy Ghostwriter jest szpiegostwo oraz zdobywanie poufnych informacji. Po wejściu na konto napastnicy przeszukują wiadomości pod kątem prywatnych i służbowych dokumentów. Przejęta lista kontaktów pozwala im na wysyłanie kolejnych fałszywych wiadomości do znajomych ofiary, co zwiększa wiarygodność oszustwa.

Eksperci ds. cyberbezpieczeństwa podkreślają, iż przed tak zaawansowanym atakiem tradycyjne kody SMS czy aplikacje uwierzytelniające mogą okazać się niewystarczające, jeżeli sami wpiszemy je na fałszywej stronie. Najskuteczniejszą obroną w tym przypadku jest sprzętowy klucz bezpieczeństwa (np. YubiKey), który fizycznie uniemożliwia zalogowanie się na podstawionej witrynie.

Jak rozpoznać fałszywą wiadomość?

CERT Polska opublikował listę przykładowych adresów, z których wysyłane są niebezpieczne wiadomości. Hakerzy korzystają z adresów takich jak: [email protected] lub serwis.pomoc[email protected]. To najważniejszy błąd techniczny ze strony przestępców i najważniejszy sygnał ostrzegawczy dla użytkowników. Oficjalne komunikaty techniczne od Google nigdy nie są wysyłane ze zwykłych, darmowych adresów w domenie @gmail.com.

Jeżeli w Twojej skrzynce pojawi się podejrzany mail dotyczący bezpieczeństwa, pod żadnym pozorem nie klikaj w zawarte w nim linki. CERT Polska zaleca bezwzględne ignorowanie takich wiadomości oraz dokładne weryfikowanie adresu URL w oknie przeglądarki przed wpisaniem jakichkolwiek danych logowania.