Znana grupa hakerska UNC1151, funkcjonująca także jako Ghostwriter, w ostatnich tygodniach prowadzi intensywne ataki skierowane w stronę polskich użytkowników poczty Gmail. Schemat oszustwa jest stosunkowo prosty, ale działa bezbłędnie i pomaga cyberprzestępcom pozyskiwać nasze poufne informacje.
Ustaw naTemat jako preferowane medium w GoogleInternet to dziś ogromne pole do popisu dla wszelkiej maści oszustów. Przestępczość cyfrowa rozwija się w dość szybkim tempie, a metody złodziei stają się na tyle różnorodne, że coraz trudniej odróżnić prawdę od kłamstwa. Z tego względu zespół CERT Polska w najnowszym komunikacie ostrzega o szeroko zakrojonej kampanii phishingowej prowadzonej przez znaną białoruską grupę hakerską, która jest powiązana z reżimem Łukaszenki, a także podaje dokładne szczegóły ich działalności.
Ataki grupy UNC1151. Dlaczego hakerzy wzięli na celownik Gmaila?
Jak informuje CERT Polska, ugrupowanie UNC1151 to jedna z najbardziej aktywnych i niebezpiecznych grup przestępczych, jakie obecnie obserwują. Hakerzy ci od lat prowadzą kampanie, których zadaniem jest przełamanie zabezpieczeń polskich użytkowników poczty elektronicznej. Po zdobyciu dostępu do konta dokładnie je przeszukują. Ich głównym celem jest znalezienie wrażliwych dokumentów służbowych, przejęcie powiązanych profili w mediach społecznościowych oraz zdobycie nowych list kontaktów, które posłużą do typowania kolejnych ofiar. Skutki takich wycieków bywają dotkliwe.
Do tej pory przestępcy skupiali się na użytkownikach rodzimych platform, takich jak Onet, Wirtualna Polska czy Interia. Od marca 2026 roku sytuacja jednak mocno się zmieniła, a grupa przeniosła swój cel na posiadaczy skrzynek w domenie Gmail. Jak podaje CERT, ataki są niezwykle intensywne i przeprowadzane głównie w dni robocze.
Oszuści mają szerokie zainteresowania – na celowniku znajdują się politycy, pracownicy administracji, naukowcy, dziennikarze, biegli sądowi i funkcjonariusze służb. Często jednak przestępcy strzelają na oślep, próbując po prostu odgadnąć dany adres e-mail, w wyniku czego szkodliwe wiadomości trafiają do zupełnie przypadkowych osób o podobnych imionach i nazwiskach.
Zobacz także
Groźba blokady konta. Tak wygląda skuteczny schemat oszustwa
Sposób działania hakerów jest przemyślany i opiera się na wywoływaniu paniki. Przestępcy rozsyłają wiadomości mailowe, które udają oficjalne powiadomienia od administracji Gmaila. Co ciekawe, wiadomości te nierzadko są wysyłane z użyciem opcji ukrytej kopii (UDW), by trafić od razu do wielu celów. Komunikaty są napisane poprawną polszczyzną i informują ofiarę o rzekomym naruszeniu regulaminu, wykryciu podejrzanego logowania lub innej aktywności łamiącej zasady. Aby zmusić użytkownika do działania, w mailu pojawia się groźba szybkiego i nieodwracalnego usunięcia konta, jeśli problem nie zostanie zweryfikowany pod załączonym linkiem. Podobny schemat już znamy – opisaliśmy m.in. perfidne oszustwo na infolinię, gdzie przestępcy podszywają się pod polski rząd.
Odnośnik ten przenosi użytkownika na fałszywą stronę, która niemal idealnie imituje prawdziwy panel logowania Google. Nowością w działaniach tej grupy jest zaawansowany system omijania zabezpieczeń. Witryna nie tylko wykrada adres i hasło, ale potrafi także poprosić o podanie kodu dwuskładnikowego uwierzytelniania (z wiadomości SMS lub aplikacji Authenticator).
Gdy ofiara wpisze kod, atakujący automatycznie zyskują wejście na jej prawdziwy profil. Mechanizm bywa równie błyskawiczny jak w innych atakach – pisaliśmy niedawno, że jeden klik wystarczy, by stracić konto, bo złodzieje wymyślili nowe oszustwo na WhatsAppie. Co więcej, grupa bywa bardzo natarczywa. Jeśli internauta nie zareaguje, potrafią ponawiać wiadomości z coraz krótszym czasem na podjęcie rzekomej reakcji, co ma maksymalnie zwiększyć presję.
Jak zachować bezpieczeństwo i nie nabrać się na sztuczki oszustów?
Podstawą bezpieczeństwa w sieci jest chłodna głowa i brak pośpiechu. Prawdziwi administratorzy usług internetowych raczej nigdy nie grożą całkowitym usunięciem konta w ciągu kilku godzin. Zawsze należy uważnie weryfikować pełny adres e-mail nadawcy, a nie tylko jego nazwę wyświetlaną w skrzynce. Pod żadnym pozorem nie wolno klikać w linki znajdujące się w alarmujących wiadomościach. Warto też odświeżyć podstawy (w naTemat wyjaśnialiśmy, czym jest phishing i jak się przed nim ustrzec), bo świadomość mechanizmu to najlepsza ochrona.
Znacznie bezpieczniejszym rozwiązaniem jest ręczne wpisanie adresu poczty w przeglądarce i samodzielne sprawdzenie stanu bezpieczeństwa z poziomu ustawień własnego konta. Warto także zawsze spoglądać na pasek adresu (URL) – fałszywe witryny nigdy nie znajdują się na autentycznych domenach należących do Google.
To, przed czym ostrzega dziś CERT Polska, idealnie wpisuje się w czarne statystyki, które niedawno prezentowaliśmy w naTemat na podstawie raportu CERT Orange Polska za ubiegły rok 2025. Pisaliśmy wówczas, że cyberprzestępcy są w natarciu, fałszywe inwestycje to plaga, a oszuści polubili AI. Dane są porażające i pokazują skalę problemu, z jakim mierzy się polski internet. Dominującym zagrożeniem wciąż pozostaje phishing, czyli właśnie wyłudzanie danych i pieniędzy podstępem. Stanowił on ponad 47 proc. wszystkich incydentów, które musiał zneutralizować operator.
Nie przegap żadnej ważnej wiadomości i obserwuj nas w Google News!