Gmail-Phishing: Ghostwriter umgeht 2FA und zielt auf Politiker
17.06.2026 - 09:08:35 | boerse-global.de
Die Angreifer haben es auf Gmail-Konten abgesehen – und umgehen sogar die Zwei-Faktor-Authentifizierung.
So funktioniert die perfide Masche
Die Täter verschicken täuschend echte E-Mails, die wie offizielle Benachrichtigungen von Google aussehen. Darin wird der Empfänger aufgefordert, sich aus Sicherheitsgründen erneut anzumelden. Wer auf den Link klickt, landet auf einer gefälschten Login-Seite.
Anzeige: Die Ghostwriter-Kampagne umgeht 2FA und bedroht gezielt hochrangige Nutzer. Wer sein Gmail-Konto schützen will, findet in diesem Report konkrete Checklisten und einen Notfallplan. Jetzt kostenlosen Sicherheits-Report anfordern
Dort geben die Opfer nicht nur ihr Passwort preis. Die Betrüger stehlen auch die Codes für die Zwei-Faktor-Authentifizierung (2FA) – und knacken so das gesamte Konto. Besonders perfide: Die Nachrichten erzeugen künstliche Dringlichkeit, damit die Nutzer unbedacht handeln.
CERT Polska hat die Kampagne analysiert und warnt vor der ausgefeilten Infrastruktur. Die Hacker nutzen Domains mit Endungen wie .icu, .digital oder .top, aber auch Subdomains auf der Plattform Netlify. Bekannte Adressen sind etwa mailverify.digital oder check-mail-verify.biz. Teilweise kaperten die Angreifer sogar kompromittierte polnische Webseiten.
Wer ist betroffen?
Die Liste der Zielpersonen liest sich wie ein Who's who der europäischen Öffentlichkeit: Politiker, Journalisten, Forscher und Beamte stehen ganz oben auf der Trefferliste. Die Kampagne läuft seit dem Frühjahr 2026 und ist weiterhin aktiv.
Die Absenderadressen sind bewusst gewählt: mailsecurenotify@gmail.com, mailersupport@gmail.com oder monitoring.konta@gmail.com klingen täuschend seriös. Wer genau hinsieht, erkennt jedoch die Masche – denn Google selbst verschickt keine Sicherheitsmails von privaten Gmail-Adressen.
Parallel-Aktivitäten in der Ukraine
Die Gruppe, die auch unter dem Namen UNC1151 bekannt ist, schlägt parallel in der Ukraine zu. Dort nutzen die Hacker die Plattform Prometheus als Köder. Die Opfer erhalten PDF-Dokumente, die Schadsoftware wie OYSTERBLUES oder Cobalt Strike einschleusen.
Besonders alarmierend: Die Angreifer verschaffen sich oft über bereits gekaperte E-Mail-Konten Zugang zu neuen Opfern. Einmal infiltriert, nutzen sie das Vertrauensverhältnis zwischen Absender und Empfänger schamlos aus.
Die größere Bedrohungslage
Anzeige: Bereits gekaperte E-Mail-Konten werden genutzt, um neue Opfer zu infiltrieren. Mit unserem 2FA-Sicherheitsaudit und der Erkennungs-Checkliste bleiben Sie einen Schritt voraus. Sicherheits-Audit jetzt herunterladen
Ghostwriter ist kein Einzelfall. Die Sicherheitsforschung zeigt: Der Diebstahl von Authentifizierungsdaten hat sich zum bevorzugten Angriffsvektor entwickelt. Wer einmal die Kontrolle über ein Konto hat, kann sich monatelang unbemerkt bewegen.
Google selbst warnte kürzlich vor einer chinesischen Spionagekampagne namens UNC6508, die seit September 2023 medizinische und militärische Forschungseinrichtungen in den USA und Kanada angreift. Und selbst Microsoft 365 Copilot hatte eine Sicherheitslücke, die Angreifern den Zugriff auf 2FA-Codes ermöglichte – inzwischen geschlossen.
Für deutsche Nutzer gilt: Misstrauen ist angebracht. Wer eine unerwartete Sicherheitsmail erhält, sollte niemals den Link anklicken, sondern direkt über die offizielle Google-Seite sein Konto prüfen. Die Kampagne läuft – und die nächste Welle kommt bestimmt.
