Białoruscy hakerzy atakują konta Gmail Polaków. Jak ochronić swoją pocztę?

Jak podaje Sekurak, nawiązując do komunikatu opublikowanego przez CERT Polska, polscy użytkownicy poczty Gmail znaleźli się na celowniku powiązanej z rządem Białorusi grupy hakerskiej UNC1151, znanej szerzej jako Ghostwriter. Eksperci ostrzegają przed niebezpieczną kampanią phishingową, której celem jest przejęcie pełnej kontroli nad skrzynkami e-mail. Cyberprzestępcy polują na wrażliwe dokumenty, listy kontaktów oraz konta w mediach społecznościowych.

Skrzynki Gmaila na celowniku białoruskich hakerów

Atak rozpoczyna się od otrzymania wiadomości e-mail, która do złudzenia przypomina oficjalne komunikaty techniczne. Kampania realizowana jest przy użyciu adresów mających uśpić czujność ofiary, takich jak np. „monitoring.konta@gmail.com” albo „serwis.pomoc.techniczna@gmail.com”. Wysyłane z nich wiadomości często noszą też zachęcające do podjęcia działania tytuły pokroju „Wykryto próbę logowania z nowego urządzenia” lub też „Możemy zablokować konto”.

W treści wiadomości znajduje się przycisk przekierowujący na podstawioną, fałszywą stronę logowania. Jeśli użytkownik da się nabrać i wpisze tam swoje dane, przestępcy przejmą jego login oraz hasło. Co niezwykle istotne, hakerzy potrafią w ten sposób przechwytywać również tradycyjne kody weryfikacji dwuetapowej (2FA).

Jaki jest cel ataku?

Przejęcie skrzynki to dopiero początek procederu. Jak donosi CERT Polska, napastnicy natychmiast przeszukują zawartość konta pod kątem interesujących ich materiałów. W kręgu ich zainteresowań znajdują się przede wszystkim:

• Listy kontaktów – służące jako baza do typowania kolejnych celów i rozszerzania skali kampanii.
• Wrażliwe dokumenty – mogące zawierać cenne z punktu widzenia wywiadowczego informacje.
• Powiązane konta – w tym profile w mediach społecznościowych, które po przejęciu mogą zostać wykorzystane do działań dezinformacyjnych.

CERT podkreśla, że w kampanii wykorzystywane są domeny pokroju „mailverify.digital”, „check-mail-verify.biz” oraz „monitoring-google-konta.netlify.app”. Oczywiście jest ich o wiele więcej, więc powinniśmy unikać wszelkich stron niepodlegających bezpośrednio pod Google.

Jak zabezpieczyć się przed atakiem?

Aby skutecznie zabezpieczyć się przed utratą dostępu do konta, CERT Polska zaleca wdrożenie podstawowych zasad ostrożności, a mianowicie:

1. Ignoruj podejrzane wiadomości – jeśli otrzymasz maila o rzekomych problemach z kontem z adresu w domenie @gmail.com, od razu go zignoruj. Google nie używa standardowych skrzynek klienckich do wysyłania oficjalnych powiadomień.
2. Dokładnie weryfikuj adresy URL – nigdy nie wprowadzaj swoich danych uwierzytelniających na stronach zewnętrznych, które nie są bezpośrednio związane z Google/Gmailem.
3. Zainwestuj w sprzętowe 2FA – eksperci podkreślają, że przed tym konkretnym rodzajem wyłudzenia (wraz z przechwytywaniem kodów autoryzacyjnych) w pełni chronią wyłącznie sprzętowe klucze bezpieczeństwa. Dla osób korzystających z fizycznych kluczy ten atak nie stanowi zagrożenia.