Беларусский политик Юрий Губаревич, координатор инициативы «Кадровый резерв», глава движения «За свабоду» и член Координационного совета Беларуси, стал целью фишинговой атаки. Инцидент расследовала организация Resident.ngo, занимающаяся цифровой безопасностью НКО, медиа и активистов в Беларуси, Украине, Молдове и других странах Восточной Европы.
По данным исследователей, служба Google Threat Intelligence сопоставила инфраструктуру атаки с UNC1151, шпионской группировкой, связанной с Беларусью и имеющей отношение к деятельности Ghostwriter.
Инцидент произошел 29 мая. Губаревич получил электронное письмо на русском языке, замаскированное под уведомление Google о подозрительной активности в аккаунте. В сообщении утверждалось, что учетная запись будет удалена в течение 24 часов, если пользователь не пройдет проверку. Политик передал письмо специалистам по кибербезопасности.
Анализ показал, что ссылка из письма вела сначала на взломанный сторонний сайт, а затем перенаправляла жертву на поддельную страницу входа в Google. Фишинговый ресурс в режиме реального времени передавал злоумышленникам введенные пользователем данные, включая пароль и одноразовые коды двухфакторной аутентификации. Такая схема позволяет атакующим немедленно получить доступ к настоящему аккаунту жертвы.
В отчете отмечается, что письмо было отправлено с реального Gmail-аккаунта и успешно прошло стандартные проверки подлинности электронной почты. Имя отправителя визуально напоминало «Account Support», однако содержало кириллические символы, похожие на латинские буквы.
Эксперты подчеркивают, что подобные атаки способны обходить защиту, основанную на SMS-кодах и приложениях-аутентификаторах, поскольку коды перехватываются в режиме реального времени. Наиболее эффективной защитой от таких схем специалисты называют аппаратные ключи безопасности FIDO2 и технология passkey.
