Gmail-Phishing, Ghostwriter

Gmail-Phishing: Ghostwriter umgeht 2FA und zielt auf Politiker

Veröffentlicht: 17.06.2026 um 09:08 Uhr, Redaktion boerse-global.de

Hackergruppe Ghostwriter attackiert europÀische Spitzenpolitiker und Journalisten mit Phishing-Mails, die sogar die Zwei-Faktor-Authentifizierung aushebeln.

Ghostwriter-Kampagne: Phishing-Angriffe umgehen Gmail-2FA
A shadowy hacker in a hoodie surrounded by computer screens displaying phishing emails and code, symbolizing cybercrime. Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de

Die Angreifer haben es auf Gmail-Konten abgesehen – und umgehen sogar die Zwei-Faktor-Authentifizierung.

So funktioniert die perfide Masche

Die TĂ€ter verschicken tĂ€uschend echte E-Mails, die wie offizielle Benachrichtigungen von Google aussehen. Darin wird der EmpfĂ€nger aufgefordert, sich aus SicherheitsgrĂŒnden erneut anzumelden. Wer auf den Link klickt, landet auf einer gefĂ€lschten Login-Seite.

Anzeige: Die Ghostwriter-Kampagne umgeht 2FA und bedroht gezielt hochrangige Nutzer. Wer sein Gmail-Konto schĂŒtzen will, findet in diesem Report konkrete Checklisten und einen Notfallplan. Jetzt kostenlosen Sicherheits-Report anfordern

Dort geben die Opfer nicht nur ihr Passwort preis. Die BetrĂŒger stehlen auch die Codes fĂŒr die Zwei-Faktor-Authentifizierung (2FA) – und knacken so das gesamte Konto. Besonders perfide: Die Nachrichten erzeugen kĂŒnstliche Dringlichkeit, damit die Nutzer unbedacht handeln.

CERT Polska hat die Kampagne analysiert und warnt vor der ausgefeilten Infrastruktur. Die Hacker nutzen Domains mit Endungen wie .icu, .digital oder .top, aber auch Subdomains auf der Plattform Netlify. Bekannte Adressen sind etwa mailverify.digital oder check-mail-verify.biz. Teilweise kaperten die Angreifer sogar kompromittierte polnische Webseiten.

Wer ist betroffen?

Die Liste der Zielpersonen liest sich wie ein Who's who der europĂ€ischen Öffentlichkeit: Politiker, Journalisten, Forscher und Beamte stehen ganz oben auf der Trefferliste. Die Kampagne lĂ€uft seit dem FrĂŒhjahr 2026 und ist weiterhin aktiv.

Die Absenderadressen sind bewusst gewĂ€hlt: mailsecurenotify@gmail.com, mailersupport@gmail.com oder monitoring.konta@gmail.com klingen tĂ€uschend seriös. Wer genau hinsieht, erkennt jedoch die Masche – denn Google selbst verschickt keine Sicherheitsmails von privaten Gmail-Adressen.

Parallel-AktivitÀten in der Ukraine

Die Gruppe, die auch unter dem Namen UNC1151 bekannt ist, schlÀgt parallel in der Ukraine zu. Dort nutzen die Hacker die Plattform Prometheus als Köder. Die Opfer erhalten PDF-Dokumente, die Schadsoftware wie OYSTERBLUES oder Cobalt Strike einschleusen.

Besonders alarmierend: Die Angreifer verschaffen sich oft ĂŒber bereits gekaperte E-Mail-Konten Zugang zu neuen Opfern. Einmal infiltriert, nutzen sie das VertrauensverhĂ€ltnis zwischen Absender und EmpfĂ€nger schamlos aus.

Die grĂ¶ĂŸere Bedrohungslage

Anzeige: Bereits gekaperte E-Mail-Konten werden genutzt, um neue Opfer zu infiltrieren. Mit unserem 2FA-Sicherheitsaudit und der Erkennungs-Checkliste bleiben Sie einen Schritt voraus. Sicherheits-Audit jetzt herunterladen

Ghostwriter ist kein Einzelfall. Die Sicherheitsforschung zeigt: Der Diebstahl von Authentifizierungsdaten hat sich zum bevorzugten Angriffsvektor entwickelt. Wer einmal die Kontrolle ĂŒber ein Konto hat, kann sich monatelang unbemerkt bewegen.

Google selbst warnte kĂŒrzlich vor einer chinesischen Spionagekampagne namens UNC6508, die seit September 2023 medizinische und militĂ€rische Forschungseinrichtungen in den USA und Kanada angreift. Und selbst Microsoft 365 Copilot hatte eine SicherheitslĂŒcke, die Angreifern den Zugriff auf 2FA-Codes ermöglichte – inzwischen geschlossen.

FĂŒr deutsche Nutzer gilt: Misstrauen ist angebracht. Wer eine unerwartete Sicherheitsmail erhĂ€lt, sollte niemals den Link anklicken, sondern direkt ĂŒber die offizielle Google-Seite sein Konto prĂŒfen. Die Kampagne lĂ€uft – und die nĂ€chste Welle kommt bestimmt.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wissenschaft | 69560123 |