BEC
Google Collection wird für Phishing mißbraucht
Sicherheitsforscher von Check Point und Avanan untersuchen neue Methoden des E-Mail-Betrugs.
Check Point Research (CPR) hat herausgefunden, dass Hacker sich hinter Google Collection verstecken. Sie profitieren so einerseits von den Fähigkeiten des Tools, Links, Bilder und Videos zu speichern und mit anderen zu teilen, und andererseits von der Marke Google, die ihre Phishing-E-Mails legitim erscheinen lässt.
Die Security-Forscher beschreiben, wie Hacker die Google-Seiten missbrauchen, um Links zu gefälschten Krypto-Währungsseiten zu verschicken. Ein Beispiel:
Die E-Mail kommt im üblichen Stil zum Nutzer, sogar mit Google-Benachrichtigung, da der Hacker schlicht seine Collection mit dem Nutzer teilte. Die E-Mail wurde von einer no-reply(at)google.com-Adresse verschickt, die legitim ist. Der Link selbst ist ebenfalls nicht verseucht, denn er führt eben zu einer legitimen Google-Seite. Dort erscheint dann eine der bekannten Google-Collection-Karten:
Auf solchen Karten kann man Links zu Bildern, Videos, oder Websites hinterlegen. Diese Hacker-Karte führt zu folgendem Google-Formular:
Da es sich um ein Google-Forms-Formular handelt, das wiederum legitim ist, fallen hier keine der üblichen Phishing-Auffälligkeiten ins Gewicht, wie Rechtschreibfehler oder gefälschte Optik. Dieser letzte Link jedoch leitet dann zu der wirklich gefälschten Website für Krypto-Währungen, über die das Geld der Nutzer gestohlen werden soll.
Die Sicherheitsforscher möchten jedoch darauf hinweisen, dass weder Google noch einer seiner Dienste nun gefährlich oder illegitim wäre. Darauf verweist der kleine Zusatz unter dem Google Form: „This content is neither created nor endorsed by Google.“ Die Hacker missbrauchen schlicht Google Collection. Check Point hat Google am 5. Juli 2023 über diese Sicherheitslücke unterrichtet.
Die Sicherheitsforscher raten Unternehmen und Privat-Anwendern größte Vorsicht walten zu lassen. Außerdem empfehlen Sie, KI-gestützte IT-Sicherheitslösungen zu implementieren, die nach verschiedenen Indikatoren Ausschau halten können, eine E-Mail-Sicherheitslösung einzuführen, die Dokumente und Dateien prüft, sowie eine URL-Sicherheitslösung, die Websites prüft und emuliert.
