Hakerzy z grupy UNC1151/Ghostwriter, najprawdopodobniej powiązani z białoruskim reżimem, prowadzą masowe ataki phishingowe (to rodzaj oszustwa, w którym cyberprzestępca podszywa się np. pod zaufaną instytucję). Zespół CERT Polska - działający w ramach NASK - ostrzega, że hakerzy w ostatnim czasie zmienili cel i atakują użytkowników poczty Gmail. Co gorsza, potrafią omijać też weryfikację dwuetapową.
- Grupa hakerska UNC1151 od marca masowo atakuje użytkowników poczty Gmail.
- Cyberprzestępcy wyłudzają też kody logowania dwuetapowego.
- CERT Polska apeluje o ostrożność i zgłaszanie prób oszustwa.
- Bądź na bieżąco! Wejdź na RMF24.pl.
Grupa UNC1151 to - według ustaleń ukraińskiego zespołu reagowania na incydenty komputerowe - hakerzy operujący z Mińska na Białorusi, powiązani z tamtejszym wojskiem. Ukraińcy ustalili, że to właśnie ci cyberprzestępcy stali za cyberatakiem na ich siły zbrojne w 2022 r.
Choć przez lata skupiali się na kontach w polskich serwisach pocztowych, od marca 2026 r. hakerzy uderzają w użytkowników poczty Gmail. Ataki są niezwykle intensywne, prowadzone przede wszystkim w dni robocze.
Co ważne, cyberprzestępcy zaktualizowali swoje narzędzia i potrafią już skutecznie wyłudzać kody uwierzytelniania dwuskładnikowego. Zarówno te wysyłane SMS-em, jak i generowane w aplikacjach typu Google Authenticator.
Lista potencjalnych ofiar jest długa. Cyberprzestępcy atakują osoby zaangażowane w politykę czy działalność społeczną. Hakerzy celują też w ofiary na eksponowanych stanowiskach, naukowców, dziennikarzy, urzędników administracji publicznej i funkcjonariuszy służb mundurowych, a także ich bliskich.
Czasami przestępcy nie wiedzą do kogo należy skrzynka, na którą wysyłają wiadomości phishingowe - podkreśla CERT. Próbują więc po prostu odgadnąć adres e-mail swojej ofary, przez co groźne wiadomości - z powodu zbieżności imion i nazwisk - trafiają do przypadkowych osób. Analitycy zespołu działającego w ramach NASK odnotowali też ataki ukierunkowane na organizacje z konkretnych rejonów kraju czy osoby pełniące wybrane funkcje, np. tłumaczy lub biegłych sądowych.
Przejęte konta hakerzy przeszukują w poszukiwaniu cennych dla nich informacji. Kradną więc listy kontaktowe, wrażliwe dokumenty i przejmują powiązane z adresem konta, np. w mediach społecznościowych.
Oszuści podszywają się pod oficjalnych administratorów poczty Gmail. Wysyłają poprawne językowo wiadomości informujące o rzekomej podejrzanej aktywności, nieuprawnionym logowaniu lub naruszeniu regulaminu. Nakłaniają adresata do weryfikacji problemu, grożąc blokadą lub trwałym usunięciem konta - tłumaczy CERT. Zamiast adresować wiadomości bezpośrednio do ofiary, często korzystają z ukrytej kopii do wiadomości (UDW).
Link zamieszczony w mailu przenosi ofiarę na fałszywą polskojęzyczną witrynę, która imituje prawdziwy panel logowania Google. Gdy ofiara poda tam swoje dane, przestępcy automatycznie podejmują próbę wejścia na jej konto.
Jeśli logowanie jest chronione dwuetapowo, sfałszowana strona natychmiast wyświetla stosowny formularz, prosząc o podanie kodu. Mechanizm pozwala na wyłudzenie zarówno kodów przesyłanych na numer telefonu, jak i generowanych w aplikacji typu Google Authenticator - ostrzega CERT.
Aby wywrzeć na ofierze jeszcze większą presję i utrudnić zignorowanie sprawy, hakerzy potrafią wysyłać wiadomości wielokrotnie w krótkim czasie (kilka razy w czasie dwóch dni), za każdym razem skracając czas na reakcję.
Grupa UNC1151 stale zmienia swoje techniki działania. Do dystrybucji szkodliwych linków przestępcy wykorzystują specjalnie rejestrowane domeny (często z rozszerzeniami takimi jak .icu, .digital, .top), a także darmowe subdomeny (np. *.netlify.app).
Co więcej, hakerzy niekiedy ukrywają swoje fałszywe panele logowania na przejętych, stronach internetowych polskich podmiotów. Przestępcy robią to na tyle sprytnie, że nie podmieniają stron głównych, przez co incydent bardzo długo pozostaje niezauważony zarówno przez zwykłych użytkowników, jak i właścicieli zaatakowanych witryn.
CERT Polska przypomina, że choć starsze ataki na konta polskich serwisów osłabły, to jednak nadal się zdarzają. Grupa UNC1151 nieustannie udoskonala swoje metody, dlatego nie da się ich zablokować wyłącznie przy użyciu rozwiązań technicznych.
Eksperci apelują o czujność, zapoznanie się z poradnikiem bezpiecznego korzystania z poczty oraz zgłaszanie wszelkich podejrzanych stron. CERT Polska to zespół działający w strukturach NASK - Państwowego Instytutu Badawczego. Został powołany w 1996 r. w celu reagowania na incydenty bezpieczeństwa komputerowego.
