ТОПТЕМИ:

Хакери навчилися обходити двофакторний захист Gmail - ось як не стати жертвою

Угруповання Ghostwriter запустило фішингову кампанію проти користувачів пошти - зловмисники крадуть паролі та коди двофакторки в реальному часі

Ольга Палій
Ольга Палій Редактор
фішинг Gmail хакери
Шахрайський лист Фото: Google

Двофакторна автентифікація більше не гарантує безпеку поштової скриньки Gmail - хакерське угруповання навчилося перехоплювати одноразові коди прямо під час входу. Раніше Google давав поради, як захистити пошту від шахраїв, проте нова схема атаки обходить навіть ці рекомендації. Зловмисники маскуються під офіційні сповіщення сервісу і діють миттєво - поки жертва вводить код, акаунт уже скомпрометовано.

Фото: Кіберполіція
Фото: Кіберполіція

Нову фішингову кампанію виявила команда CERT-PL - польська урядова служба кібербезпеки. За висновками дослідників, за атакою стоїть угруповання UNC1151, також відоме як Ghostwriter і Storm-0257. Воно пов'язане з білоруськими державними спецслужбами та залишається активним проти польських цілей з початку повномасштабного вторгнення Росії в Україну.

З березня 2026 року угруповання проводить фішингові кампанії проти користувачів Gmail - переважно у будні дні та з дуже високою інтенсивністю. Атаки послідовно спрямовані на осіб, які обіймають помітні посади, - політиків, науковців, журналістів, державних службовців. Під удар потрапляють також їхні родичі та знайомі.

Як працює схема захоплення акаунту

Схема атаки складається з кількох чітких кроків:

  • Фішинговий лист - жертва отримує "терміновий" лист про підозрілий вхід або загрозу видалення акаунту. Повідомлення написані без очевидних помилок і попереджають про підозрілу активність або порушення умов сервісу. Тиск зводиться до формули "вирішіть негайно, інакше акаунт заблокують".
  • Фейкова сторінка входу - посилання з листа веде на точну копію панелі входу Gmail. Підроблений сайт зчитує адресу електронної пошти та пароль жертви.
  • Перехоплення 2FA - після введення даних зловмисники автоматично намагаються зайти в акаунт жертви. Якщо система запитує другий фактор, фейкова сторінка одразу показує форму для введення коду. Це дає змогу перехопити як SMS-коди, так і коди з додатків на кшталт Google Authenticator.
  • Захоплення акаунту та розвідка - отримавши доступ, зловмисники шукають цінну інформацію: список контактів для вибору нових жертв, чутливі документи або пов'язані акаунти в соцмережах - щоб захопити й їх.

Угруповання використовує гнучку інфраструктуру з постійною зміною доменів: реєструє фішингові домени під зонами .icu, .digital та .top, а також субдомени на платформах на кшталт *.netlify.app. Хакери нерідко атакують одні й ті самі акаунти повторно. У деяких випадках надсилають кілька листів за два дні поспіль - щоб посилити тиск і примусити жертву відреагувати.

Що зробити, щоб захистити пошту

Фахівці з кібербезпеки радять дотримуватись таких правил:

  • Ігноруйте штучний поспіх. Якщо лист вимагає "вирішити проблему за 24 години, інакше бан" - це майже напевно фішинг.
  • Перевіряйте адресний рядок. Жодних сторонніх символів і дивних доменів у URL бути не повинно.
  • Не переходьте за посиланнями з листів. Повідомлення про безпеку акаунту перевіряйте виключно всередині самого додатка або через офіційні налаштування Google.
  • Розгляньте апаратний ключ безпеки. Ключовою відмінністю нової кампанії є здатність перехоплювати коди двофакторної автентифікації. Апаратні ключі (наприклад, YubiKey) таку атаку не пропускають.

Ghostwriter - давня загроза для регіону

Атаки на акаунти Gmail у такому масштабі є відносно новим кроком для UNC1151. Проте вже протягом кількох років угруповання послідовно проводить фішингові кампанії з метою отримати доступ до поштових скриньок польських громадян. У сервісі тим часом з'явилася нова ШІ-функція на базі Gemini, яка автоматично узагальнює довгі листи - але жодна вбудована функція не замінить уважність самого користувача.

Фішингові атаки з використанням іменитих сервісів набувають дедалі більших масштабів і в Україні. Зокрема, шахраї маскували атаки під сертифікати платформи Prometheus, розсилаючи листи українським держустановам. Нещодавно зловмисники запустили масову розсилку, що імітувала офіційні листи Національного банку України - щоб змусити отримувача завантажити шкідливе програмне забезпечення для віддаленого доступу до комп'ютера.

Слідкуйте за нами у Telegram

Image
Оперативні новини та разбори: Україна, світ, війна

Зараз читають на Інформаторі

Кримський півострів стане для окупантів островом, а потім - могилою. Що для цього потрібно
ЧС-2026 – розклад матчів 13-го дня, прогнози букмекерів та шанс Роналду на рекорд

ЄС всерйоз перегляне правила для українських біженців-чоловіків - обговорення стартують у липні

НБУ оштрафував "Укрпошту" на 2,5 млн грн - перелік порушень

Знову винна України - у Навроцького намагаються перекласти на Київ провину за кризу двосторонніх відносин

В Україні немає війни з Росією – у День Конституції у Межигір'я повернуться зірки з таким світоглядом

Головна Актуально Україна на часі Youtube
Інформатор у
телефоні 👉 Завантажити