Phishing-Angriffe auf Nutzer von Google Docs

Angreifern ist es in großem Umfang gelungen, Nutzer zu täuschen und sich über den Anmeldedienst OAuth zu verschaffen. Mit Phishing-Mails gaben sie vor, ein den Empfängern bekannter Absender habe ein bei Google Docs angelegtes Textdokument mit ihnen geteilt. Eine legitim wirkende Schaltfläche fordert sie dann zum “Öffnen in Google Docs” auf, wie ArsTechnica berichtet.

Ein Klick führte zu OAuth, das es Nutzern erlaubt, sich bei Diensten und Apps anzumelden. Statt jedoch ein separates Konto anzulegen, können sie per OAuth ein vorhandenes Konto eines anderen Anbieters wie Google oder Facebook verwenden. Eine App fragt dann beispielsweise ab, ob die eingegebenen Anmeldedaten den bei Google hinterlegten Informationen entsprechen, das dann einen Log-in-Token übermittelt, mit dem die eigentliche Anmeldung bei der App erfolgt.

Die Angreifer setzten hier aber eine bösartige Web-App ein, die sich als Google Docs ausgab. Ihr Zweck bestand aber allein darin, Token für Nutzerkonten zu bekommen, auf die E-Mails zuzugreifen und die Phishing-Attacke dann auf alle Kontakte dieses Nutzers auszuweiten – was schnell zu einer lawinenartigen Verbreitung führte. Sie nutzten dabei aus, dass vielen Anwendern nicht bewusst ist, dass das echte Google Docs und Google Drive OAuth nicht für den Zugang zu ihrem Google-Konto benötigen. So ließen sich Opfer dazu verleiten, der vorgeblichen Google-Docs-Anwendung Zugriff auf von ihnen benutzte Google-Dienste zu gewähren.

Trend Micro spricht von einer besonders ausgeklügelten Angriffstechnik, da die E-Mail selbst keine Schadsoftware transportiert. Außerdem konnte die benutzte URL nicht automatisch durch Sicherheitslösungen blockiert werden, da es es sich tatsächlich um eine legitime Domain handelte, die Google gehörte. In einem solchen Fall kann den Angriff nur ein aufgeklärter Nutzer abwenden.

“Anders bei einer typischen Phishing-Attacke ist das Ziel hier nicht, das System des Nutzers zu kompromittieren”, schreiben die Sicherheitsforscher. “Das Ziel ist vielmehr, ihr Google-Konto zu kompromittieren.”

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Eine ähnliche Kampagne führte zuvor schon die Gruppe Pawn Storm durch, die mit einer bösartigen Anwendung namens “Google Defender” vorgab, die Konten der Opfer schützen zu wollen. Sie nutze ebenfalls eine OAuth-Verbindung, um Nutzerdaten abzugreifen. Grundsätzlich schwierig sei es, Angriffe zu verhindern und zu erkennen, wenn deren Ziel das Google-Konto ist.

Google hat inzwischen reagiert und die Konten gesperrt, von denen der Angriff ausging. Außerdem wurden die gefälschten Seiten entfernt und Updates durch Safe Browsing verteilt. Beim Verdacht, auf eine betrügerische E-Mail hereingefallen zu sein, empfiehlt sich die Überprüfung auf Apps und Websites, denen Zugriff auf das Google-Konto gestattet wurde.

Redaktion

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

16 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

21 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

22 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago