Masz Gmaila? Fałszywy alert może kosztować cię konto

CERT Polska ostrzega przed kampanią phishingową wymierzoną w użytkowników Gmaila. Atak polega na wysyłaniu wiadomości, które wyglądają jak alerty bezpieczeństwa od administratorów poczty, ale prowadzą do fałszywych stron logowania. Celem jest przejęcie hasła oraz drugiego składnika logowania.

Według CERT Polska kampanię prowadzi grupa UNC1151/Ghostwriter, od lat łączona z atakami na skrzynki pocztowe polskich użytkowników. Wcześniej celem były przede wszystkim konta u polskich dostawców poczty, między innymi Onetu, Wirtualnej Polski i Interii. Od marca 2026 r. obserwowane są ataki ukierunkowane na użytkowników Gmaila.

Jak wygląda fałszywy alert

Mechanizm jest oparty na pośpiechu i zaufaniu do komunikatów bezpieczeństwa. Użytkownik otrzymuje wiadomość, która może sugerować problem z kontem, potrzebę weryfikacji albo konieczność potwierdzenia aktywności. Link w takiej wiadomości nie prowadzi jednak do prawdziwego panelu Google, lecz do strony przygotowanej przez atakujących.

Na fałszywej stronie użytkownik jest proszony o wpisanie loginu i hasła. W kolejnym kroku przestępcy mogą próbować przechwycić również kod weryfikacji dwuetapowej. To ważne, ponieważ sama weryfikacja dwuetapowa nie chroni przed sytuacją, w której użytkownik sam wpisze kod na podstawionej stronie.

CERT Polska informuje, że wiadomości są wysyłane głównie ze specjalnie zakładanych kont Gmail. W niektórych przypadkach atakujący wykorzystują także przejęte skrzynki i zmieniają nazwę wyświetlaną nadawcy, aby wiadomość wyglądała bardziej wiarygodnie. Kampanie mają być prowadzone z dużą intensywnością, przede wszystkim w dni robocze.

Jak zabezpieczyć konto Google

Najważniejsza zasada bezpieczeństwa jest prosta: nie należy logować się do konta Google po kliknięciu linku z wiadomości e-mail. Jeżeli użytkownik dostaje alert bezpieczeństwa, powinien samodzielnie otworzyć przeglądarkę, wejść na konto Google i tam sprawdzić ostatnie zdarzenia związane z bezpieczeństwem. Google wskazuje, że podejrzane wiadomości wyglądające jak alerty od firmy należy weryfikować bezpośrednio na stronie konta.

Przed wpisaniem hasła trzeba sprawdzić adres strony. Prawdziwe logowanie do konta Google odbywa się w domenie Google. Fałszywe strony często używają podobnych nazw, dodatkowych członów, literówek albo adresów, które mają wyglądać wiarygodnie tylko na pierwszy rzut oka.

Warto sprawdzić ustawienia bezpieczeństwa konta. Użytkownik powinien zobaczyć, na jakich urządzeniach konto jest zalogowane, czy nie pojawiła się nieznana aktywność oraz czy metody odzyskiwania dostępu są poprawne. Jeżeli w ustawieniach widoczne jest obce urządzenie, należy je wylogować i zmienić hasło.

Hasło do konta Google powinno być unikalne. Nie należy używać tego samego hasła w innych serwisach, sklepach internetowych, mediach społecznościowych ani aplikacjach firmowych. Jeśli jedno hasło działa w wielu miejscach, wyciek lub przejęcie jednego konta może ułatwić dostęp do kolejnych usług.

Google zaleca używanie weryfikacji dwuetapowej, ale wskazuje też, że bezpieczniejszą metodą logowania mogą być klucze dostępu, czyli passkeys. Klucz dostępu pozwala potwierdzić logowanie za pomocą urządzenia, na przykład przez PIN, odcisk palca albo rozpoznawanie twarzy. Dane biometryczne pozostają na urządzeniu i nie są przekazywane Google.

Osoby szczególnie narażone na ataki ukierunkowane mogą skorzystać z Programu ochrony zaawansowanej Google. To rozwiązanie jest przeznaczone między innymi dla dziennikarzy, osób publicznych, polityków, aktywistów, pracowników administracji i osób, których konta mogą być celem działań szpiegowskich lub dezinformacyjnych. Program wymaga silniejszego potwierdzania tożsamości przy logowaniu.

Co zrobić, jeśli dane zostały wpisane na fałszywej stronie

Jeżeli użytkownik podejrzewa, że wpisał dane na fałszywej stronie, powinien działać od razu. Należy zmienić hasło z zaufanego urządzenia, wylogować nieznane sesje, sprawdzić metody odzyskiwania konta i usunąć obce numery telefonu lub adresy pomocnicze. Trzeba też skontrolować filtry i przekierowania w Gmailu, ponieważ po przejęciu skrzynki atakujący mogą próbować ukrywać część wiadomości albo przekierowywać pocztę.

Podejrzaną wiadomość można zgłosić w Gmailu jako phishing. Incydent można również przekazać do CERT Polska przez oficjalny formularz zgłoszeniowy. Jeśli konto zostało przejęte, należy skorzystać z procedury odzyskiwania konta Google.

Atak działa wtedy, gdy użytkownik uwierzy, że fałszywy alert jest prawdziwym komunikatem bezpieczeństwa. Dlatego przy każdej wiadomości wymagającej logowania najbezpieczniejsze działanie jest takie samo: nie klikać linku z e-maila, nie wpisywać hasła na stronie otwartej z wiadomości i sprawdzić konto bezpośrednio w ustawieniach Google.

Źródło: CERT Polska, Google Account Help, Google Advanced Protection Program