Jasne, oto przepisany i przetłumaczony na polski artykuł, zgodnie z podanymi wytycznymi:
Fałszywe alerty o zagrożonym koncie, perfekcyjnie podrobione strony logowania i wyłudzanie kodów 2FA – tak działa białoruska grupa hakerska UNC1151. To jedna z najaktywniejszych grup cyberprzestępczych monitorowanych w Polsce, która od lat atakuje użytkowników poczty elektronicznej. Teraz na celowniku znaleźli się także użytkownicy Gmaila. Sprawdź, jak przebiegają te ataki, kto jest najbardziej narażony i jak skutecznie się przed nimi chronić.
Jak działa UNC1151/Ghostwriter
UNC1151/Ghostwriter od lat pozostaje jedną z najaktywniejszych grup APT monitorowanych przez CERT Polska, jak informuje w swoim raporcie. Advanced Persistent Threat (zaawansowane trwałe zagrożenie) to określenie odnoszące się zarówno do rodzaju cyberataków, jak i do grup, które je przeprowadzają. Mianem grupy APT określa się zorganizowany zespół cyberprzestępców czy hakerów prowadzących długotrwałe, ukierunkowane działania przeciwko konkretnym celom. Najczęściej są to grupy powiązane z państwami lub działające w ich interesie, choć termin ten bywa stosowany również wobec bardzo zaawansowanych grup przestępczych.
Jednym z podstawowych elementów działalności UNC1151/Ghostwriter są od lat regularnie prowadzone kampanie phishingowe, których celem jest przejęcie skrzynek e-mail należących do obywateli Polski. Po uzyskaniu dostępu hakerzy analizują poczty, poszukując danych przydatnych w dalszych działaniach. Szczególną uwagę zwracają na listy kontaktów, które umożliwiają identyfikację kolejnych potencjalnych ofiar, dokumenty zawierające informacje wrażliwe oraz inne usługi powiązane z przejętym adresem e-mail. Dotyczy to m.in. kont w serwisach społecznościowych, które po przejęciu mogą zostać wykorzystane do realizacji kolejnych etapów operacji.
W poprzednich latach działania grupy były skoncentrowane głównie na użytkownikach korzystających z usług pocztowych oferowanych przez największych polskich dostawców, takich jak Onet, Wirtualna Polska i Interia. Jednak sytuacja uległa zmianie w marcu 2026 r., kiedy rozpoczęto kampanie phishingowe wymierzone również w użytkowników Gmaila. Aktywność ta charakteryzuje się dużą skalą i jest szczególnie widoczna w dni robocze. Istotnym elementem tych ataków jest to, że przestępcy nie ograniczają się wyłącznie do pozyskania samego hasła. Celem jest także zdobycie drugiego składnika uwierzytelniania dwuetapowego (2FA), co pozwala skuteczniej przełamywać zabezpieczenia kont. W ciągu ostatnich tygodni zespół CERT Polska niemal każdego dnia identyfikował nowe domeny wykorzystywane do prowadzenia opisanych kampanii.
Krąg osób znajdujących na liście UNC1151 jest bardzo szeroki i nie ogranicza się do jednej grupy zawodowej czy społecznej. Wśród główny celów znajdują się:
- osoby zaangażowane w działalność polityczną
- uczestnicy życia społecznego
- osoby zajmujące eksponowane stanowiska
- przedstawiciele środowiska naukowego
- dziennikarze
- pracownicy administracji publicznej
- funkcjonariusze służb mundurowych
- osoby pozostające z nimi w relacjach rodzinnych lub towarzyskich.
Nie w każdym przypadku atakujący dysponują jakąś wiedzą dotyczącą właściciela skrzynki pocztowej, do której kierowana jest wiadomość phishingowa. Zdarza się, że czasami próbują też samodzielnie odgadnąć adres e-mail osoby stanowiącej właściwy cel operacji. W rezultacie wiadomości zawierające złośliwe treści mogą trafiać także do przypadkowych odbiorców, jeśli ich imię i nazwisko są takie same lub podobne do danych osoby, którą sprawcy chcieli zaatakować.
Obserwacje wskazują również, że część kampanii jest jednak przygotowywana z myślą o konkretnych grupach odbiorców. Dotyczy to zarówno organizacji funkcjonujących na określonym obszarze kraju, jak i osób wykonujących wybrane zawody lub pełniących określone funkcje, przykładowo tłumaczy czy biegłych sądowych.
Jak rozpoznać wyłudzenie
Grupa rozsyła fałszywe wiadomości e-mail podszywając się pod administratorów lub obsługę Gmaila. Najczęściej wysyłane są z utworzonych w tym celu kont Gmail z mylącym aliasem, rzadziej z przejętych skrzynek, w których zmieniono nazwę nadawcy. Do tego atakujący wykorzystują mechanizm UDW (Ukryte Do Wiadomości), żeby ukryć adresy pozostałych odbiorców wiadomości.
Wiadomości wyglądem do złudzenia przypominają te na wysłane przez Gmaila, napisane poprawną polszczyzną i informują o rzekomej podejrzanej aktywności, nieautoryzowanym logowaniu lub naruszeniu regulaminu. Odbiorca jest informowany o konieczności pilnej weryfikacji pod groźbą blokady lub usunięcia konta.
Wiadomości zawierają link, który prowadzi do fałszywej strony weryfikacji konta i logowania do Gmail. Fałszywa witryna, dostępna w języku polskim, doskonale imituje panel logowania Gmaila i całego Konto Google, gdzie prosi o podanie adresu e-mail, a następnie hasła, które w ten sposób trafiają na serwery hakerów.
W przeciwieństwie do wcześniejszych kampanii wymierzonych w użytkowników polskich dostawców poczty, umożliwia także przechwycenie kodów uwierzytelniania dwuskładnikowego. Po wprowadzeniu danych logowania atakujący próbują zalogować się na konto ofiary, a jeśli użytkownik ma włączoną weryfikację 2FA, strona wyświetla dodatkowy formularz. Dzięki temu mogą pozyskać od właściciela konta zarówno kody SMS, jak i generowane przez aplikacje, np. Google Authenticator.
Ataki są często ponawiane wobec tych samych kont, niezależnie od reakcji użytkownika. Wiadomości mogą być wysyłane z dużą częstotliwością, aby zwiększyć presję. Kolejne e-maile bywają niemal identyczne, różniąc się jedynie coraz krótszym terminem na reakcję przed rzekomą blokadą konta. Jeśli mimo zdobycia danych logowania atakującym nie uda się uzyskać dostępu do konta, wysyłają kolejne spreparowane wiadomości.
Z obserwacji wynika, że wykorzystywane w kampanii przeciw użytkownikom Gmaila wysyłane linki zwykle nie są unikalne dla poszczególnych ofiar, a wiadomości zazwyczaj nie zawierają mechanizmów śledzenia ich otwarcia.
Jak przeciwdziałać przejęciu konta
W przypadku ataków phishingowych, najważniejszym sposobem przeciwdziałania jest ostrożność. Należy:
- zwracać uwagę na nadawcę maila
- weryfikować adres po przekierowaniu
Poza tym pamiętaj:
- zmieniaj hasła regularnie i nie powtarzaj ich na różnych stronach! Sprawdź, czy żadne z twoich haseł nie zostało przejęte, jest unikalne i nie jest słabe: https://passwords.google.com/checkup/start
- włącz 2FA, jeżeli się jeszcze nie jest włączone: https://support.google.com/accounts/answer/185839
- dodaj inne metody potwierdzenia drugiego etapu 2FA: https://myaccount.google.com/signinoptions/twosv
- dodaj opcje odzyskiwania: pomocniczy numer telefonu oraz pomocniczy adres email (ważne, żeby miał inne hasło, niż konto Google): https://myaccount.google.com/signinoptions/recoveryoptions
- sprawdź, czy masz aktywne wszystkie zabezpieczenia: Sprawdzanie zabezpieczeń
- sprawdź aktywność związaną z bezpieczeństwem: Ostatnia aktywność związana z bezpieczeństwem (Google.com)
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Bądź na bieżąco! Obserwuj nas w Google.
Wyniki Biznes Fakty:
Grupa UNC1151/Ghostwriter stanowi poważne zagrożenie dla bezpieczeństwa cyfrowego, szczególnie w Polsce. Ich zaawansowane techniki phishingowe, skierowane obecnie również na użytkowników Gmaila, wymagają od internautów stałej czujności. Skuteczne przeciwdziałanie opiera się na podstawowych zasadach higieny cyfrowej: weryfikacji nadawców, ostrożności przy klikaniu w linki, silnych i unikalnych hasłach oraz obligatoryjnym stosowaniu uwierzytelniania dwuskładnikowego (2FA). W kontekście e-commerce i usług online, udane przejęcie konta może prowadzić do strat finansowych, kradzieży danych osobowych i podważenia zaufania do marki.
Według danych portalu: businessinsider.com.pl