CERT Polska opublikował ostrzeżenie dotyczące intensywnej kampanii phishingowej prowadzonej przeciwko użytkownikom Gmaila z Polski. Za działaniami stoi grupa UNC1151, znana również jako Ghostwriter, która od wielu lat pozostaje jedną z najaktywniejszych grup zajmujących się cyberatakami wymierzonymi w polskich internautów.
Dotychczas działania grupy koncentrowały się przede wszystkim na klientach polskich dostawców poczty elektronicznej, takich jak Onet, Interia czy Wirtualna Polska. Od marca 2026 roku atakujący wyraźnie zmienili jednak kierunek swoich działań i rozpoczęli szeroko zakrojone kampanie wymierzone w użytkowników Gmaila. Według CERT Polska skala aktywności jest bardzo duża, a nowe domeny wykorzystywane do oszustw pojawiają się niemal codziennie.
Polscy użytkownicy Gmaila na celowniku białoruskiej grupy hakerskiej
Grupa kieruje swoje działania do bardzo szerokiego grona odbiorców. Wśród potencjalnych celów znajdują się politycy, urzędnicy, dziennikarze, naukowcy, przedstawiciele służb mundurowych, osoby aktywne społecznie oraz ich współpracownicy, znajomi i członkowie rodzin. Co istotne, nie wszystkie wiadomości trafiają do rzeczywistych celów. Cyberprzestępcy często próbują odgadywać adresy e mail, przez co fałszywe komunikaty mogą trafiać także do przypadkowych ludzi.
CERT Polska opublikował ostrzeżenie dotyczące intensywnej kampanii phishingowej prowadzonej przeciwko użytkownikom Gmaila z Polski. Za działaniami stoi grupa UNC1151, znana również jako Ghostwriter, która od wielu lat pozostaje jedną z najaktywniejszych grup zajmujących się cyberatakami wymierzonymi w polskich internautów.
Źródło: CERT Polska
Ataki rozpoczynają się od wiadomości podszywających się pod komunikaty bezpieczeństwa Google. Fałszywe e-maile informują między innymi o podejrzanych logowaniach, wykrytej nietypowej aktywności lub rzekomym naruszeniu zasad korzystania z usług. Wiadomości są przygotowane w języku polskim i zwykle nie zawierają oczywistych błędów, dzięki czemu mogą wyglądać wiarygodnie dla wielu odbiorców.
Jak działają cyberprzestępcy
Po kliknięciu w link użytkownik trafia na stronę imitującą panel logowania Gmaila. Tam ofiara proszona jest najpierw o podanie adresu e mail oraz hasła. Najbardziej niepokojącym elementem kampanii jest jednak fakt, iż przestępcy nauczyli się skutecznie wyłudzać również drugi składnik uwierzytelniania. Jeśli podczas przejęcia konta wymagany jest dodatkowy kod zabezpieczający, fałszywa strona automatycznie wyświetla kolejne formularze, pozwalające przejąć zarówno kody SMS, jak i kody generowane przez aplikacje uwierzytelniające.
Źródło: CERT Polska
CERT Polska zwraca uwagę, że cyberprzestępcy bardzo często wielokrotnie ponawiają próby ataku na te same osoby. Zdarza się, że w ciągu kilku dni wysyłanych jest kilka niemal identycznych wiadomości, których celem jest wywołanie presji i skłonienie odbiorcy do szybkiego działania.
Do prowadzenia kampanii wykorzystywane są zarówno specjalnie rejestrowane domeny internetowe, jak i subdomeny tworzone w popularnych usługach hostingowych. W niektórych przypadkach przestępcy wykorzystują także przejęte strony internetowe należące do legalnie działających podmiotów, ukrywając fałszywe formularze logowania w mniej widocznych częściach serwisu.
Spodobało Ci się? Podziel się ze znajomymi!
Pokaż / Dodaj komentarze do:
Trwa intensywna kampania wymierzona w użytkowników Gmaila