phishing
Stell dir vor, du erhältst eine E-Mail von Google: Darin heißt es, dass eine Behörde die Herausgabe deiner Kontoinhalte verlangt hat. Die Nachricht sieht aus, als sei sie von Google, und auch die Absenderadresse scheint in Ordnung: no-reply@accounts.google.com. Das klingt ein recht beunruhigend, meinst du nicht? Und man könnte sogar leicht die Nerven verlieren.
Aber zum Glück gibt es in der E-Mail einen Link zu einer Google-Supportseite, die alle Details zu diesem Vorfall enthält. Der Domänenname im Link sieht ebenfalls echt aus und scheint Google zu gehören …
Wenn du unseren Blog regelmäßig liest, hast du es wahrscheinlich schon erraten: Es geht eine neue Phishing-Methode. Stimmt genau. Diesmal haben die Betrüger mehrere echte Google-Dienste ausgenutzt, um ihre Opfer hereinzulegen und die E-Mails möglichst überzeugend wirken zu lassen. Das funktioniert so …
Wie Phishing-E-Mails eine offizielle Google-Benachrichtigung nachahmen
Der Screenshot unten zeigt die E-Mail, mit der dieser Angriff beginnt. Die Nachricht sieht absolut glaubwürdig aus, genau wie eine Warnung des Google-Sicherheitssystems. Der Nutzer wird darüber informiert, dass das Unternehmen ein Ersuchen erhalten hat, das den Zugriff auf die Daten in seinem Google-Konto verlangt.
Betrugs-E-Mail von no-reply@accounts.google.com, getarnt als Ersuchen einer Strafverfolgungsbehörde an Google LLC. Darin wird Google aufgefordert, eine Kopie der Inhalte eines bestimmten Google-Kontos zur Verfügung zu stellen.Quelle
Das Feld „from“ enthält eine echte Google-Adresse: no-reply@accounts.google.com. Genau von dieser Adresse kommen auch echte Google-Sicherheitsbenachrichtigungen. Außerdem enthält die E-Mail ein paar Details, die den Eindruck der Echtheit verstärken: eine Google-Konto-ID, eine Support-Ticket-Nummer und einen Link zu weiteren Informationen über den Vorfall. Und das Wichtigste: Der Empfänger wird darauf hingewiesen, dass er über einen Link mehr über den Fall erfahren oder Widerspruch gegen das Ersuchen einlegen kann.
Auch der Link selbst sieht ziemlich plausibel aus. Die Adresse enthält die offizielle Google-Domäne und die oben erwähnte Support-Ticket-Nummer. Nur ein versierter Nutzer erkennt, das hier etwas faul ist: Die Google-Supportseiten befinden sich unter support.google.com, dieser Link führt jedoch zu sites.google.com. Die Betrüger haben es natürlich auf Nutzer abgesehen, die von solchen technischen Details keine Ahnung haben oder die verdächtige Webadresse übersehen.
Wenn der Nutzer nicht angemeldet ist und auf den Link klickt, gelangt er zur echten Google-Anmeldeseite. Nach der Autorisierung landet er auf einer Seite bei sites.google.com, die der offiziellen Google-Support-Website täuschend ähnlich sieht.
So sieht die gefälschte Google-Supportseite aus, zu der ein Link aus der E-Mail führt.Quelle
Die Domäne sites.google.com gehört zu dem legitimen Google Sites-Dienst. Der Dienst wurde 2008 vorgestellt und ist ein recht praktischer Website-Builder. Soweit also nichts Außergewöhnliches. Ein wichtiger Aspekt bei Google Sites ist jedoch, dass alle Websites, die innerhalb der Plattform erstellt werden, automatisch in einer Subdomain von google.com gehostet werden: sites.google.com.
Angreifer können mit einer solchen Adresse sowohl die Wachsamkeit der Opfer beeinflussen als auch verschiedene Sicherheitssysteme austricksen. Denn sowohl Nutzer als auch Sicherheitslösungen neigen dazu, der Google-Domäne zu vertrauen. Kein Wunder also, dass Betrüger immer häufiger Google Sites verwenden, um Phishing-Seiten zu konzipieren.
Fake-E-Mails erkennen: Der Teufel steckt im Detail
Das erste Anzeichen für eine zweifelhafte E-Mail haben wir bereits genannt: Es ist die Adresse der gefälschten Supportseite, die sich unter sites.google.com befindet. Weitere Warnsignale finden sich in der E-Mail-Kopfzeile:
So erkennst du die Fälschung: Schau dir die Felder „to“ und „mailed-by“ in der Kopfzeile an.Quelle
Wichtig sind hier die Felder „from„, „to“ und „mailed-by„. Die Angabe „from“ scheint in Ordnung zu sein: Der Absender ist die offizielle Google-E-Mail-Adresse no-reply@accounts.google.com.
Das Feld „to“ direkt darunter zeigt jedoch die tatsächliche Empfängeradresse an, und diese sieht wirklich verdächtig aus: me[@]googl-mail-smtp-out-198-142-125-38-prod[.]net. Hier wurde versucht, eine „technische“ Google-Adresse zu imitieren, aber der „Tippfehler“ im Domänennamen ist ein untrügliches Zeichen. Darüber hinaus hat eine solche Adresse hier gar nichts zu suchen. Dieses Feld soll nämlich die Empfängeradresse enthalten.
Weiter geht’s: Die Kopfzeile enthält noch eine verdächtige Adresse im Feld „mailed-by„. Und diese Adresse hat eindeutig nichts mit Google zu tun: fwd-04-1.fwd.privateemail[.]com. Solcher Unsinn gehört nicht in eine authentische E-Mail. Nur zum Vergleich, in einer echten Google-Sicherheitswarnung sehen diese Felder so aus:
Die Felder „to“ und „mailed-by“ in einer echten Google-Sicherheitswarnung
Es überrascht kaum, dass so subtile Hinweise dem durchschnittlichen Nutzer vermutlich entgehen. Insbesondere, da zuvor auf rechtliche Probleme hingewiesen wurde und das Stresslevel ohnehin erhöht ist. Zusätzliche Verwirrung stiftet die Tatsache, dass die gefälschte E-Mail tatsächlich von Google signiert ist: Im Feld „signed-by“ steht accounts.google.com. Wie ist den Kriminellen dieser Coup gelungen? Über diese Frage und mögliche Abwehrmaßnahmen sprechen wir im nächsten Abschnitt.
Schrittweise Rekonstruktion des Angriffs
Wie haben es die Betrüger geschafft, eine solche E-Mail zu versenden, und welches Ziel hatten sie? Um das herauszufinden, haben Cybersicherheitsforscher den Angriff nachgestellt. Die Untersuchung ergab, dass die Angreifer Namecheap verwendeten, um die (inzwischen widerrufene) Domäne googl-mail-smtp-out-198-142-125-38-prod[.]net zu registrieren.
Dann nutzten sie denselben Dienst erneut, um ein kostenloses E-Mail-Konto auf dieser Domäne einzurichten: me[@]googl-mail-smtp-out-198-142-125-38-prod[.]net. Darüber hinaus registrierten die Kriminellen eine kostenlose Testversion von Google Workspace auf derselben Domäne. Und schließlich registrierten die Betrüger eine eigene Webanwendung im Google OAuth-System und gewährten der App Zugriff auf ihr Google Workspace-Konto.
Die Technologie Google OAuth ermöglicht Drittanbieter-Webanwendungen, Google-Kontodaten zu verwenden, um Nutzer mit deren Erlaubnis zu authentifizieren. Das Google OAuth-System wird immer benutzt, wenn du auf die Schaltfläche „Mit Google anmelden“ klickst und dich damit bei Drittanbieterdiensten authentifizierst. Darüber hinaus können Anwendungen Google OAuth beispielsweise einsetzen, wenn eine Erlaubnis zum Speichern von Dateien auf deinem Google Drive erforderlich ist.
Aber kommen wir zurück zu unseren Betrügern. Sobald eine Google OAuth-Anwendung registriert wurde, kann eine Benachrichtigung an die E-Mail-Adresse gesendet werden, die mit der verifizierten Domäne verknüpft ist. Interessanterweise kann der Administrator der Webanwendung manuell einen beliebigen Text als „App-Name“ festlegen. Das haben die Kriminellen anscheinend ausgenutzt.
Das zeigt auch der folgende Screenshot: Die Forscher haben eine App registriert als „Any Phishing Email Text Inject Here with Phishing URLs …“.
Registrierung einer Web-App mit einem beliebigen Namen in Google OAuth: Als Name kann auch der Text einer betrügerischen E-Mail mit einem Phishing-Link eingegeben werden.Quelle
Anschließend sendet Google von seiner offiziellen Adresse aus eine Sicherheitswarnung, die diesen Phishing-Text enthält. Diese Nachricht wird an die E-Mail-Adresse des Betrügers in der über Namecheap registrierten Domäne geschickt. Mit diesem Dienst können empfangene Benachrichtigungen von Google an beliebige Adressen weitergeleitet werden. Dazu reicht es, in den Einstellungen eine entsprechende Weiterleitungsregel einzurichten und die E-Mail-Adressen potenzieller Opfer anzugeben.
] Einrichtung einer Weiterleitungsregel in den Einstellungen. Mit der Regel kann eine gefälschte E-Mail an mehrere Empfänger gesendet werden.Quelle
So schützt du dich vor solchen Phishing-Angriffen
Was die Angreifer mit dieser Phishing-Kampagne erreichen wollten, ist nicht ganz klar. Wenn Google OAuth zur Authentifizierung verwendet wird, werden die Anmeldeinformationen des angegriffenen Google-Kontos nicht unbedingt an die Betrüger weitergegeben. Es wird ein Token generiert, das nur eingeschränkten Zugriff auf die Kontodaten des Nutzers gewährt. Der Zugriff hängt davon ab, welche Berechtigungen der Nutzer zugelassen hat und welche Einstellungen die Betrüger verwenden.
Welchen Zweck hatte die gefälschte Google-Supportseite, auf die der betrogene Nutzer gelangt? Möglicherweise sollte der Nutzer von dort „juristische Dokumente“ herunterladen, die sich angeblich auf seinen Fall bezogen. Welche Art von Dokumenten dies war, ist unbekannt. Aber gut möglich, dass sie bösartigen Code enthielten.
Die Forscher haben diese Phishing-Kampagne an Google gemeldet. Das Unternehmen hat den Vorfall als potenzielles Risiko für Nutzer eingestuft und arbeitet derzeit an einem Fix für die OAuth-Schwachstelle. Wie lange die Problembehebung dauern wird, bleibt abzuwarten.
Die folgenden Ratschläge helfen dir dabei, nicht zum Opfer dieses und ähnlich verzwickter Phishing-Angriffe zu werden.
- Immer mit der Ruhe, wenn du eine solche E-Mail erhältst! Nimm erst einmal die E-Mail-Kopfzeile unter die Lupe und vergleiche die Daten mit echten E-Mails von Google. Wahrscheinlich sind einige davon in deinem Posteingang. Bei verdächtigen Abweichungen klickst du einfach auf „Löschen“.
- Vorsicht bei Websites der Domäne google.com, die mit Google Sites erstellt wurden! Dieser Dienst wird von Betrügern zunehmend für verschiedene Phishing-Methoden ausgenutzt.
- Faustregel: Klicke nicht auf Links in E-Mail-Nachrichten!
- Verwende eine robuste Sicherheitslösung, die dich rechtzeitig vor Gefahren warnt und Phishing-Links blockiert!
Hier sind fünf weitere Beispiele für ungewöhnliche Phishing-Angriffe:
Tipps