Hakerzy atakują użytkowników Gmaila

CERT Polska ostrzega przed nasilającą się kampanią cyberataków wymierzoną w użytkowników poczty Gmail. Za działaniami ma stać grupa UNC1151, określana jako powiązana z białoruskim reżimem. Eksperci alarmują, że cyberprzestępcy potrafią już przechwytywać nie tylko hasła, ale także kody uwierzytelniania dwuskładnikowego.

Według informacji przekazanych przez CERT Polska grupa UNC1151 od marca prowadzi intensywne kampanie phishingowe wymierzone w użytkowników Gmaila. Wcześniej hakerzy koncentrowali się głównie na kontach prowadzonych przez polskie serwisy pocztowe, jednak obecnie zmienili kierunek działań.

UNC1151, znana również pod nazwą Ghostwriter, była wcześniej łączona z operacjami cybernetycznymi prowadzonymi przeciwko instytucjom publicznym oraz organizacjom w Europie Środkowo-Wschodniej. Według ustaleń ekspertów grupa ma działać z terytorium Białorusi i być powiązana z tamtejszymi strukturami wojskowymi.

Największe obawy specjalistów budzi fakt, że cyberprzestępcy udoskonalili swoje metody. Jak podkreśla CERT Polska, hakerzy są w stanie wyłudzać zarówno hasła do kont, jak i kody uwierzytelniania dwuskładnikowego przesyłane SMS-em lub generowane przez aplikacje uwierzytelniające.

Oznacza to, że sama aktywacja dodatkowego zabezpieczenia nie zawsze wystarczy, jeśli użytkownik sam poda kod na fałszywej stronie internetowej przygotowanej przez oszustów.

Na liście potencjalnych ofiar znajdują się między innymi osoby zaangażowane w działalność publiczną, politycy, dziennikarze, naukowcy, urzędnicy, funkcjonariusze służb mundurowych oraz ich współpracownicy i bliscy. CERT zaznacza jednak, że niektóre wiadomości trafiają również do przypadkowych osób, gdy cyberprzestępcy próbują odgadnąć adresy e-mail swoich potencjalnych ofiar.

Eksperci odnotowali także kampanie wymierzone w konkretne grupy zawodowe oraz organizacje działające w wybranych regionach kraju.

Przestępcy podszywają się pod administratorów Gmaila i wysyłają wiadomości informujące o rzekomej podejrzanej aktywności na koncie, naruszeniu regulaminu lub próbie nieautoryzowanego logowania. W treści znajdują się linki prowadzące do stron łudząco przypominających oficjalny panel logowania Google.

Po wpisaniu loginu i hasła ofiara proszona jest o podanie kodu uwierzytelniającego. Dane trafiają bezpośrednio do cyberprzestępców, którzy w tym samym czasie podejmują próbę zalogowania się na prawdziwe konto użytkownika.

Aby zwiększyć skuteczność ataków, oszuści często wysyłają kilka wiadomości w krótkich odstępach czasu, wywierając presję i sugerując pilną konieczność działania.

Eksperci przypominają, że użytkownicy nie powinni logować się do swoich kont za pośrednictwem linków otrzymanych w wiadomościach e-mail. Zalecają również dokładne sprawdzanie adresów stron internetowych oraz zgłaszanie podejrzanych wiadomości i witryn.

CERT Polska podkreśla, że grupa UNC1151 stale rozwija swoje narzędzia i techniki działania, dlatego skuteczna ochrona wymaga nie tylko rozwiązań technicznych, ale również czujności samych użytkowników.