8 липня 2026 року члени Громадянської мережі ОПОРА отримали фішинговий лист із темою «Вимога про усунення плагіату», нібито від юридичного відділу відомого українського видання «ГОРДОН». Лист був частиною ретельно підготовленої кампанії, спрямованої на викрадення доступу до поштових скриньок Google співробітників організації.

Ключова особливість атаки — зловмисники не крали паролі у класичному розумінні. Замість цього вони застосували техніку OAuth consent phishing: жертву переконували авторизувати підставний застосунок через справжній механізм входу Google, надаючи зловмисникам постійний токен доступу до Gmail із правами читання, надсилання та видалення листів. Такий токен не анулюється зміною пароля і залишається дійсним, доки жертва вручну не відкличе дозвіл.

Розслідування Лабораторії цифрової безпеки виявило добре сплановану, багатошарову інфраструктуру: домен-двійник відправника з повністю налаштованою автентифікацією пошти (яка проходила SPF, DKIM і DMARC), проміжний домен-фільтр із hCaptcha для відсіювання автоматичних сканерів, підроблену сторінку Google Drive на React, і ланцюжок доменів для генерації та перехоплення OAuth-токена. Усі домени зареєстровано в один день — за два тижні до атаки, через чотирьох різних реєстраторів, що свідчить про свідому підготовку до протидії виявленню та блокуванню.

Ця кампанія повторює тактику, задокументовану CyberHUB-AM у березні 2026 року щодо спрямованого фішингу проти вірменського громадянського суспільства і вписується у ширшу тенденцію атак на правозахисні та громадські організації регіону. 

Повний звіт розслідування читайте тут.

Аналіз вказує на організованого, ресурсного та добре підготовленого актора з чітким таргетингом на українське громадянське суспільство:

  • Ретельна підготовка інфраструктури за два тижні, з диверсифікацією реєстраторів і CDN-фронтингом.
  • Легітимна поштова автентифікація (M365 + SPF/DKIM/DMARC) для гарантованої доставки у Вхідні.
  • Продумана соціальна інженерія з реальними деталями (справжня стаття 2020 року, реальне видання для прикриття).
  • Технічно складніший OAuth-consent вектор, що обходить двофакторну автентифікацію та зміну пароля.
  • Фільтрація за країною, орієнтована на українських користувачів.

На основі наявних даних ми поки не можемо приписати кампанію конкретному угрупованню. Атрибуція потребує подальшого дослідження.

Рекомендації

Для персональних Google акаунтів:

  1. Перевірте налаштування своїх Google акаунтів (персональні та корпоративні). Відкрийте myaccount.google.com/permissions і видаліть невідомі додатки.
  2. В налаштуваннях Gmail перевірте правила фільтрів та пересилання пошти.
  3. Налаштуйте Google Advanced Protection за допомогою ключів безпеки.

Для організацій з Google Workspace:

  1. Перевірте Connected Apps в Google Workspace Admin Console.
  2. Увімкніть App Access Control (Security -> API Controls): обмежте OAuth-доступ сторонніх застосунків, дозволивши лише перевірені.
  3. Забороніть пересилання пошти для всієї організації або окремих Organizational Units.
  4. Налаштуйте Google Advanced Protection для high-risk членів організації.