2026 tavaszától új, nagyszabású adathalász‑kampány célozza a lengyel Gmail felhasználókat, amelyet a Ghostwriter APT‑csoportnak tulajdonít a CERT Polska. A korábban főként helyi szolgáltatókat (Onet, Wirtualna Polska, Interia) támadó csoport most a Google ökoszisztémára helyezte a fókuszt, miközben a kampány intenzitása láthatóan nagyobb, mint az előző hullámoknál. A kampányt nagy mennyiségű adathalász e‑mail jellemzi, és a támadók szinte naponta regisztrálnak új domaineket a detekció és blokkolás megnehezítésére. A Ghostwriter néven ismert csoport több éve célozza Közép‑ és Kelet‑Európa politikai és társadalmi szereplőit, elsősorban adathalász‑támadásokkal.

A mostani kampány elsődleges célpontjai közé tartoznak a politikailag aktív személyek, közéleti szereplők, újságírók, akadémikusok, közigazgatási dolgozók, biztonsági szervezetek munkatársai, valamint közvetlen családi, baráti kapcsolataik. A cél nem csak a postafiókok kompromittálása, hanem a bizalmas információkhoz, kapcsolati hálókhoz és további fiókokhoz (közigazgatási rendszerek, közösségi média, felhőszolgáltatások) való hozzáférés megszerzése, amely későbbi befolyásolási vagy dezinformációs műveletek alapjául szolgálhat.

Az adathalász levelek tipikusan hivatalosnak tűnő Gmail biztonsági értesítésként jelennek meg, „gyanús aktivitásról”, sikertelen bejelentkezési próbálkozásról vagy a fiók közeli felfüggesztéséről szólva. A felhasználót sürgető hangnemmel ráveszik, hogy egy „fiókellenőrzéshez” szükséges linkre kattintson, amely egy látszólag Google‑szerű, valójában azonban a támadók által kontrollált hamis bejelentkezési oldalra vezet. A lengyel sajtó és a CERT példái alapján a támadók formailag olyan feladó címeket használnak, mint például a „monitoring[.]konta@gmail[.]com” vagy hasonló, technikai vagy biztonsági funkciót sugalló címeket.

A kampány egyik kulcsa, hogy a támadók nemcsak a felhasználónevet és jelszót, hanem a kétfaktoros hitelesítéshez használt egyszer használatos kódokat is megpróbálják megszerezni. A hamis Gmail bejelentkezési oldal a jelszó megadása után egy második képernyőn kéri a 2FA‑kódot, amely lehet SMS‑ben érkező kód vagy authenticator alkalmazás által generált token, így gyakorlatilag valós időben tudják kijátszani az MFA‑t.

A Ghostwriter műveletek célja már korábban sem állt meg az account‑takeovernél: több dokumentált esetben politikusok és kormányzati tisztviselők e‑mail fiókjainak feltörése után kiszivárogtatott leveleket használtak fel politikai destabilizációt célzó információs kampányokhoz. A mostani Gmail kampány ennek a hosszú távú stratégiai mintázatnak az új fejezete, amely a Google ökoszisztémára való átállással még értékesebb hozzáférésekre ad lehetőséget (felhő‑dokumentumok, megosztott drive‑ok, naptárak, kapcsolattartó‑listák).

Bár a dokumentált kampány jelenleg elsősorban lengyel Gmail‑felhasználókat érint, a Ghostwriter műveletek korábban sem álltak meg egyetlen ország határainál, és a technikák könnyen új célországokra adaptálhatók. A régió más országainak (köztük Magyarországnak) számolnia kell azzal, hogy hasonló, politikailag motivált phishing kampányok bármikor átcsaphatnak a saját közösségi és közigazgatási ökoszisztémájukra is.