ТОПТЕМЫ:

Хакеры научились обходить двухфакторную защиту Gmail – вот как не стать жертвой

Группировка Ghostwriter запустила фишинговую кампанию против пользователей почты - злоумышленники воруют пароли и коды двухфактора в реальном времени

Ольга Палий
Ольга Палий Редактор
фишинг Gmail хакеры
Мошенническое письмо Фото: Google

Двухфакторная аутентификация больше не гарантирует безопасность почтового ящика Gmail – хакерская группировка научилась перехватывать одноразовые коды прямо во время входа. Ранее Google давал советы, как оградить почту от мошенников, однако новая схема атаки обходит даже эти рекомендации. Злоумышленники маскируются под официальные уведомления сервиса и действуют мгновенно – пока жертва вводит код, аккаунт уже скомпрометирован.

Фото: Киберполиция
Фото: Киберполиция

Новую фишинговую кампанию обнаружила команда CERT-PL – польская правительственная служба кибербезопасности. По выводам исследователей, за атакой стоит группировка UNC1151, также известная как Ghostwriter и Storm-0257. Оно связано с белорусскими государственными спецслужбами и остается активным против польских целей с начала полномасштабного вторжения России в Украину.

С марта 2026 года группировка проводит фишинговые кампании против пользователей Gmail – преимущественно в будние дни и с очень высокой интенсивностью. Атаки последовательно направлены на лиц, занимающих заметные должности – политиков, ученых, журналистов, государственных служащих. Под удар попадают их родственники и знакомые.

Как работает схема захвата аккаунта

Схема атаки состоит из нескольких четких шагов:

  • Фишинговое письмо - жертва получает "срочное" письмо о подозрительном входе или угрозе удаления аккаунта. Сообщения написаны без очевидных ошибок и предупреждают о подозрительной активности или нарушении условий сервиса. Давление сводится к формуле "решите немедленно, иначе аккаунт заблокируют".
  • Фейковая страница входа – ссылка из письма ведет на точную копию панели входа Gmail. Поддельный сайт считывает адрес электронной почты и пароль жертвы.
  • Перехват 2FA – после ввода данных злоумышленники автоматически пытаются зайти в аккаунт жертвы. Если система запрашивает второй фактор, фейковая страница сразу показывает форму для ввода кода. Это позволяет перехватить как SMS-коды, так и коды из приложений типа Google Authenticator.
  • Захват аккаунта и разведка – получив доступ, злоумышленники ищут ценную информацию: список контактов для выбора новых жертв, чувствительные документы или связанные аккаунты в соцсетях – чтобы захватить и их.

Группировка использует гибкую инфраструктуру с постоянной сменой доменов: регистрирует фишинговые домены под зонами .icu, .digital и .top, а также субдомены на платформах типа *.netlify.app. Хакеры нередко атакуют одни и те же аккаунты повторно. В некоторых случаях посылают несколько писем за два дня подряд – чтобы усилить давление и заставить жертву отреагировать.

Что сделать, чтобы защитить почту

Специалисты по кибербезопасности советуют придерживаться следующих правил:

  • Игнорируйте искусственную спешку. Если письмо требует "решить проблему за 24 часа, иначе бан" – это почти наверняка фишинг.
  • Проверяйте адресную строку. Никаких посторонних символов и странных доменов в URL не должно быть.
  • Не переходите по ссылкам из писем. Сообщения о безопасности аккаунта проверяйте исключительно внутри самого приложения или через официальные настройки Google.
  • Ознакомьтесь с аппаратным ключом безопасности. Ключевым отличием новой кампании есть способность перехватывать коды двухфакторной аутентификации. Аппаратные ключи (к примеру, YubiKey) такую ​​атаку не пропускают.

Ghostwriter – давняя угроза для региона

Атаки на аккаунты Gmail в таком масштабе являются относительно новым шагом для UNC1151. Однако уже несколько лет группировка последовательно проводит фишинговые кампании с целью получить доступ к почтовым ящикам польских граждан. В сервисе тем временем появилась новая ИИ-функция на базе Gemini, которая автоматически обобщает длинные листы – но ни одна встроенная функция не заменит внимательность самого пользователя.

Фишинговые атаки с использованием именитых сервисов приобретают все большие масштабы и в Украине. В частности, мошенники маскировали атаки под сертификаты платформы Prometheus, рассылая письма украинским госучреждениям. Недавно злоумышленники запустили массовую рассылку, имитировавшую официальные письма Национального банка Украины - чтобы заставить получателя загрузить вредоносное программное обеспечение для удаленного доступа к компьютеру.

Следите за нами в Telegram

Image
Оперативные новости и разборы: Украина, война, мир

Сейчас читают на Информаторе

Крымский полуостров станет для оккупантов островом, а затем - могилой. Что для этого нужно
ЧМ-2026 – расписание матчей 13-го дня, прогнозы букмекеров и шанс Роналду на рекорд

ЕС всерьез пересмотрит правила для украинских беженцев-мужчин – обсуждения стартуют в июле

НБУ оштрафовал "Укрпочту" на 2,5 млн грн – перечень нарушений

Вновь виновата Украина - у Навроцкого пытаются переложить на Киев вину за кризис двусторонних отношений

В Украине нет войны с Россией - в День Конституции в Межигорье вернутся звезды с таким мировоззрением

Главная Актуально Україна на часі Youtube
Информатор в
телефоне 👉 Скачать