Kapade gmailadresser

Bland mina släktingar så kapas gmailadresser på löpande band. Det hela startar med att ett mail kommer skickat från någon av de kapade adresserna, med det vanliga begärandet om pengar för att man sitter fast i England och inte kan komma hem. Det är ovanligt välskrivet, utan stavfel och uppenbar google translate. Jag vet att lösenordet som satts på ett par av dessa adresser är långt ifrån enkelt, och mailadresserna kapas rätt omgående efter att man öppnat dessa phishingmail. När mailen blir kapad händer följande, efter vad jag kan se:

- En forward-adress läggs in som är snarlik den ordinarie adressen, t.ex. mot yahoo istället för gmail.
- En reply to-adress läggs in mot samma snarlika adress
- Alla mail i inkorgen tas bort, de går inte att återställa
- Språket ändras till arabiska, kinesiska eller liknande i Gmails webbportal.
- Slår på POP med inställningen att mail tas bort från servern när dom laddats ner.
- Ändrar country code
- Nya phishingmail skickas ut

När detta hände en släkting sist så lyckades jag återställa det mesta, utom de raderade mailen. Någon hade enligt loggen loggat in från Nigeria tidigare samma morgon. Jag tog bort alla forwarders och andra inställningar, gick igenom alla inställningar, stängde av PHP, IMAP, tvingade HTTPS osv (Släktingarna kör endast webbportalen). Ändå har det hänt igen, och det ganska direkt efter att nya phishingmail skickats ut.

Det lite underliga är att jag inte hittar något när jag googlar om detta. För mig känns det antingen som en bot installeras på datorn som sniffar lösenordet eller så känner någon till en bugg i Gmail. Ämnesraden i mailen har hittills varit "Jag hoppas detta når dig i tid", därefter har innehållet i mailet varierat en aning. Det var ett par veckor sen det hände första gången, så det borde ju ha drabbat rätt många, kan jag tycka.

Nån som känner till detta eller blivit drabbad av det?