Беларусский политик Юрий Губаревич, координатор инициативы «Кадровый резерв», глава движения «За свабоду» и член Координационного совета Беларуси, стал целью фишинговой атаки. Инцидент расследовала организация Resident.ngo, занимающаяся цифровой безопасностью НКО, медиа и активистов в Беларуси, Украине, Молдове и других странах Восточной Европы.
По данным исследователей, служба Google Threat Intelligence сопоставила инфраструктуру атаки с UNC1151, шпионской группировкой, связанной с Беларусью и имеющей отношение к деятельности Ghostwriter.
Инцидент произошел 29 мая. Губаревич получил электронное письмо на русском языке, замаскированное под уведомление Google о подозрительной активности в аккаунте. В сообщении утверждалось, что учетная запись будет удалена в течение 24 часов, если пользователь не пройдет проверку. Политик передал письмо специалистам по кибербезопасности.
Политик рассказал Reform.news, что фишинговые письма получает регулярно, и в большинстве случаев их нетрудно распознать. Кроме того, почтовые фильтры обычно эффективно отсеивают такие сообщения, отправляя их в папку со спамом. Однако в этот раз внимание привлекло то, что письмо попало во входящие. По мнению собеседника, это может свидетельствовать о более целенаправленном характере атаки и о том, что злоумышленники могли адаптировать свои настройки под конкретный почтовый ящик.
«Я решил передать исходники письма специалистам для анализа и выработки дополнительных рекомендаций для других пользователей», — отметил он.
При этом Губаревич подчеркнул, что почтовый ящик не был взломан, а злоумышленники не достигли своих целей.
Он также призвал пользователей сохранять спокойствие в подобных ситуациях и не переходить по подозрительным ссылкам, даже если в сообщениях содержатся угрозы о «блокировке аккаунта» или другие попытки давления.
«Такие атаки рассчитаны именно на поспешные и необдуманные действия», — добавил собеседник.
Анализ Resident.ngo показал, что ссылка из письма вела сначала на взломанный сторонний сайт, а затем перенаправляла жертву на поддельную страницу входа в Google. Фишинговый ресурс в режиме реального времени передавал злоумышленникам введенные пользователем данные, включая пароль и одноразовые коды двухфакторной аутентификации. Такая схема позволяет атакующим немедленно получить доступ к настоящему аккаунту жертвы.
В отчете отмечается, что письмо было отправлено с реального Gmail-аккаунта и успешно прошло стандартные проверки подлинности электронной почты. Имя отправителя визуально напоминало «Account Support», однако содержало кириллические символы, похожие на латинские буквы.
Эксперты подчеркивают, что подобные атаки способны обходить защиту, основанную на SMS-кодах и приложениях-аутентификаторах, поскольку коды перехватываются в режиме реального времени. Наиболее эффективной защитой от таких схем специалисты называют аппаратные ключи безопасности FIDO2 и технология passkey.
