Máte Gmail? Nový podvod obchází i dvoufázové ověření, stačí pár vteřin nepozornosti

Dne 12. června 2026 zveřejnil CERT Polska podrobnou analýzu phishingové kampaně, kterou od března vede skupina UNC1151, známá také pod názvem Ghostwriter. Cílem jsou přímo účty na Gmailu. Nejde přitom o žádnou díru v zabezpečení Googlu. Celý trik spočívá v tom, že oběť sama předá útočníkovi všechno, heslo i jednorázový kód z SMS nebo autentizační aplikace. Vše proběhne v jedné relaci, prakticky v reálném čase. A právě proto běžné dvoufázové ověření tentokrát nestačí.

Jak útok vypadá krok za krokem

Všechno začíná e-mailem. Zpráva vypadá jako bezpečnostní upozornění, varuje před podezřelou aktivitou, novým zařízením nebo hrozbou smazání účtu. Odesílatel bývá obyčejná gmailová adresa nebo kompromitovaný účet s upraveným zobrazovaným jménem. CERT Polska popisuje, že maily jsou typicky v polštině a rozesílané přes skrytou kopii.

Po kliknutí na odkaz se otevře stránka, která věrně napodobuje přihlášení do Googlu. Jenže doména není google.com; útočníci používají domény typu .digital, .top nebo subdomény na netlify.app, případně kompromitované polské weby. V posledních týdnech před zveřejněním alertu registrovali analytici nové phishingové domény téměř denně.

Samotný útok pak probíhá takto:

1. Oběť zadá e-mail a heslo na falešné stránce.
2. Útočníkův server je okamžitě přepošle na skutečný Google login.
3. Google vyžádá druhý faktor, SMS kód nebo kód z aplikace.
4. Falešná stránka zobrazí odpovídající formulář a oběť kód opíše.
5. Útočník kód použije na skutečném přihlášení. Je uvnitř.

Celý proces trvá sekundy. Microsoft ve své analýze AiTM technik mluví o přístupu v reálném čase; útočník získá přístup v okamžiku, kdy oběť dokončí ověření. V širších AiTM kampaních se navíc kradou i session cookies, takže útočník zůstane přihlášený i po vypršení jednorázového kódu.

Proč běžné 2FA tentokrát nestačí

Tady je klíčový detail, který si zaslouží pozornost: ne každá forma dvoufázového ověření chrání stejně. SMS kódy a jednorázové kódy z autentizačních aplikací typu Google Authenticator jsou proti tomuto typu útoku zranitelné. Důvod je prostý: kód zadáváte vy, a pokud ho zadáte na falešné stránce, útočník ho má.

Google sám ve svém červnovém přehledu bezpečnostních hrozeb popisuje AiTM jako aktuální trend a potvrzuje, že útočníci umějí zrcadlit legitimní přihlašovací toky. Zároveň ve vlastní dokumentaci označuje SMS za zranitelnější metodu a doporučuje přechod na silnější alternativy.

Co drží výrazně lépe:

• Passkeys – kryptografický klíč vázaný na konkrétní doménu. Falešná stránka ho nemůže vyvolat, protože nemá správnou doménu. Nastavíte je přímo v Google účtu.
• Hardwarové klíče (FIDO2) – fyzický token, který funguje na stejném principu. David Pecl ze Security Avengers jim přisuzuje nejvyšší bezpečnostní úroveň ze všech běžně dostupných metod.
• Advanced Protection Program – Googlův program pro vysoce rizikové uživatele, který hardwarový klíč nebo passkey vyžaduje povinně.

Rozdíl je zásadní. Kód z SMS můžete opsat kamkoli. Passkey nebo hardwarový klíč komunikuje přímo s ověřenou doménou, a falešný web prostě ignoruje.

Kdo je UNC1151 a koho primárně ohrožuje

Skupina UNC1151 není nováček. Mandiant ji už v roce 2021 s vysokou mírou jistoty propojil s běloruskou vládou. Dlouhodobě cílí na vládní instituce, média, opozici a výzkumníky v Polsku, Pobaltí, na Ukrajině a v Německu. Aktuální kampaň podle CERT Polska míří na polské občany: politiky, novináře, státní úředníky, policisty a jejich sociální okolí.

A co Česko? K 23. červnu 2026 se nepodařilo dohledat veřejné potvrzení, že by UNC1151 aktivně cílila přímo na české uživatele Gmailu. NÚKIB ve svém čtvrtletním přehledu hrozeb za první kvartál 2026 zmiňuje spear-phishing proti evropským státům obecně, samostatné varování k této kampani ale nevydal. To ovšem neznamená nulové riziko. CERT Polska výslovně uvádí, že útočníci adresy někdy jen odhadují nebo jedou regionální vlny, a zpráva tak může dopadnout i do schránky, která nebyla primárním cílem.

Co dělat hned, a co preventivně

Pokud jste na podezřelé stránce zadali heslo nebo kód, jednejte okamžitě:

1. Přihlaste se přímo na myaccount.google.com a změňte heslo.
2. Zkontrolujte nedávné bezpečnostní události a cizí zařízení.
3. Ověřte recovery telefon, e-mail a nastavené metody 2FA.
4. V Gmailu projděte přeposílání, delegaci, filtry a odeslané zprávy.
5. Pokud se přihlásit nedokážete, použijte Google account recovery.

Preventivně platí jedno pravidlo nad všemi ostatními: nikdy se nepřihlašujte do Google účtu přes odkaz z e-mailu. Pokud vám přijde bezpečnostní upozornění, otevřete prohlížeč, ručně zadejte adresu a ověřte událost přímo tam. A pokud to myslíte s ochranou vážně, přejděte z SMS kódů na passkey nebo hardwarový klíč. Nastavení zabere pár minut, a právě ty minuty dělají rozdíl mezi účtem, který padne, a účtem, do kterého se útočník nedostane.

Phishing se posunul. Heslo a jednorázový kód už nejsou hradba, jsou jen zpomalení. Skutečná ochrana dnes stojí na tom, aby nebylo co opsat.