Google Groups
Check Point entdeckt weiteres Google-Tool für Phishing-Versuche
Über die letzten Monate hat Check Point Research (CPR) wiederholt beobachtet, wie Hacker die Online-Dienste bekannter Hyperscaler ausnutzten, um Phishing-Mails legitim erscheinen zu lassen. Zu den missbrauchten Services gehörten PayPal, Microsoft SharePoint, AWS, Facebook Ads und diverse Google-Dienste wie Google Looker, Google Collection und Google Ads. Mit Google Groups hat CPR nun eine weitere Applikation des globalen Tech-Unternehmens identifiziert, die für Phishing-Spoofs zweckentfremdet wird.
Google-Tools sind aus der Sicht von Hackern für den Datenklau besonders einladend, da Google-Dienste kostenlos und einfach zu benutzen sind. Zudem verfügt Google über eine Vielzahl von Tools: Von Docs bis Sheets über (das bereits für Phishing verwendete) Google Collection bis hin zu Gmail oder Forms gibt es unzählige Dienste des Alphabet-Unternehmens. Das ist praktisch für die Nutzer, macht es aber auch den Hackern leichter, Social Engineering- und BEC 3.0-Angriffe (Business E-Mail Compromise 3.0) zu orchestrieren. Mit den verfügbaren Tools sind sie in der Lage, legitime Nachrichten über Google-Domains direkt an die Posteingänge der Nutzer zu senden und darin bösartige Inhalte einzubetten.
Die Forscher von Check Point Harmony Email haben nun beobachtet, wie Hacker auch Google Groups ausnutzen, um gefälschte E-Mails, in diesem Fall im Namen des IT-Sicherheitsanbieter McAfee, zu versenden. Der Angriff beginnt mit einer Mail von Google, führt aber auf eine gefälschte Website, auf der Anmeldedaten gestohlen werden.
Die Mail ist sicher nicht der überzeugendste Phishing-Versuch: Sie ist voller Fehler, Ungereimtheiten und einer Menge deplatzierter Gleichheitszeichen. Sie zeugt aber dennoch vom konstant hohen Einfallsreichtum der Cyberkriminellen. Zudem darf man einen wichtigen Aspekt nicht vergessen: Die Ausnutzung von Google Groups erhöht die Wahrscheinlichkeit drastisch, dass die Phishing-Mail ihren Weg ins Postfach potenzieller Opfer findet, da die Mail von einer Google-Domäne versendet wird und E-Mail-Sicherheitslösungen daher geneigt sind, diese als vertrauenswürdig einzustufen. Sicherheitsadministratoren können Google zudem nicht blockieren, da dessen Tools in vielen Organisationen und Unternehmen für die tägliche Arbeit verwendet werden. Es reicht letztlich aus, wenn auch nur eine einzige Person einen verseuchten Link anklickt, damit der Betrugsversuch für die Drahtzieher profitabel war.
Um sich vor diesen Angriffen zu schützen, können Sicherheitsexperten folgende Technologien einsetzen:
- KI-gestützte Sicherheitsabwehr, die zahlreiche Phishing-Indikatoren analysieren und identifizieren kann, um komplexe Angriffe proaktiv zu vereiteln.
- Umfassende Sicherheitslösungen, die Funktionen zum Scannen von Dateien und Dokumenten umfasst.
- Ein robustes URL-Schutzsystem, das gründliche Scans durchführt und Webseiten für mehr Sicherheit emuliert.
