Angreifer versenden sehr überzeugende gefälschte „Google“-E-Mails, die Spam-Filter umgehen, die Opfer über mehrere vertrauenswürdige Google-Dienste leiten und schließlich zu einer gefälschten Microsoft 365-Anmeldeseite führen, die dazu dient, Benutzernamen und Passwörter zu sammeln.
Forscher stellte fest, dass Cyberkriminelle Google Cloud-AnwendungsintegrationDie E-Mail-Funktion von , um Phishing-E-Mails von einer legitimen Google-Adresse zu versenden: noreply-application-integration@google[.]com.
Mit Google Cloud Application Integration können Nutzer Geschäftsprozesse automatisieren, indem sie beliebige Anwendungen mit Point-and-Click-Konfigurationen verbinden. Neukunden erhalten derzeit kostenlose Gutschriften, was die Einstiegshürde senkt und einige Cyberkriminelle anziehen könnte.
Die erste E-Mail kommt von einer Adresse, die echt aussieht, und bezieht sich auf etwas Routinemäßiges und Vertrautes, wie eine Voicemail-Benachrichtigung, eine zu erledigende Aufgabe oder Berechtigungen für den Zugriff auf ein Dokument. Die E-Mail enthält einen Link, der auf eine echte Google Cloud Storage-URL verweist, sodass die Webadresse zu Google zu gehören scheint und nicht offensichtlich gefälscht wirkt.
Nach dem ersten Klick werden Sie zu einer anderen Google-bezogenen Domain weitergeleitet (googleusercontent[.]com) mit einem CAPTCHA oder einer Bildüberprüfung. Sobald Sie die Überprüfung „Ich bin kein Roboter“ bestanden haben, gelangen Sie auf eine Seite, die wie eine normale Anmeldeseite für Microsoft 365 aussieht, aber bei genauerer Betrachtung stellt sich heraus, dass die Webadresse keine offizielle Microsoft-Domain ist.
Alle auf dieser Website angegebenen Anmeldedaten werden von den Angreifern erfasst.
Die Nutzung der Google-Infrastruktur verschafft den Phishern ein höheres Maß an Vertrauen sowohl seitens der E-Mail-Filter als auch seitens der empfangenden Nutzer. Dabei handelt es sich nicht um eine Schwachstelle, sondern lediglich um einen Missbrauch der von Google angebotenen Cloud-basierten Dienste.
Antwort von Google
Google gab bekannt, dass es Maßnahmen gegen diese Aktivitäten ergriffen hat:
„Wir haben mehrere Phishing-Kampagnen blockiert, bei denen eine E-Mail-Benachrichtigungsfunktion innerhalb von Google Cloud Application Integration missbraucht wurde. Wichtig ist, dass diese Aktivität auf den Missbrauch eines Tools zur Workflow-Automatisierung zurückzuführen ist und nicht auf eine Kompromittierung der Infrastruktur von Google. Wir haben zwar Schutzmaßnahmen implementiert, um Nutzer vor diesem spezifischen Angriff zu schützen, empfehlen jedoch weiterhin Vorsicht, da böswillige Akteure häufig versuchen, vertrauenswürdige Marken zu imitieren. Wir ergreifen zusätzliche Maßnahmen, um weiteren Missbrauch zu verhindern.“
Wir haben mehrere Phishing-Kampagnen beobachtet, die vertrauenswürdige Workflows von Unternehmen wie Google, PayPal, DocuSign und anderen Cloud-basierten Dienstleistern missbrauchen, um Phishing-E-Mails glaubwürdig erscheinen zu lassen und die Empfänger auf ihre Websites umzuleiten, wo sie deren Zugangsdaten abgreifen.
Wie man sicher bleibt
Kampagnen wie diese zeigen, dass ein Teil der Verantwortung für das Erkennen von Phishing-E-Mails nach wie vor beim Empfänger liegt. Neben der ständigen Information gibt es noch einige weitere Tipps, die Sie befolgen können, um sicher zu bleiben.
- Überprüfen Sie immer die tatsächliche Webadressejeder Anmeldeseite. Wenn es sich nicht um eine echte Microsoft-Domain handelt, geben Sie keine Anmeldedaten ein. Die Verwendung eines Passwort-Managers ist hilfreich, da dieser Ihre Daten nicht automatisch auf gefälschten Websites ausfüllt.
- Seien Sie vorsichtig bei „dringenden“ E-Mails zu Voicemails, freigegebenen Dokumenten oder Berechtigungen, auch wenn diese scheinbar von Google oder Microsoft stammen. Das Erzeugen von Dringlichkeit ist eine gängige Taktik von Betrügern und Phishern.
- Gehen Sie nach Möglichkeit direkt zum Dienst. Anstatt auf Links in E-Mails zu klicken, öffnen Sie OneDrive, Teams oder Outlook über Ihr normales Lesezeichen oder Ihre normale App.
- Verwenden Sie eine Multi-Faktor-Authentifizierung (MFA), damit gestohlene Passwörter allein nicht ausreichen, und überprüfen Sie regelmäßig, welche Apps Zugriff auf Ihr Konto haben, und entfernen Sie alle, die Sie nicht kennen.
Profi-Tipp:Malwarebytes Guard kann E-Mails wie diese als Betrugsversuche erkennen. Siekönnen verdächtige Texte, E-Mails, Anhänge und andere Dateien hochladen und um eine Bewertung bitten. Das Programm ist wirklich sehr gut darin, Betrugsversuche zu erkennen.
Wir berichten nicht nur über Betrugsfälle - wir helfen, sie aufzudecken
Cybersicherheitsrisiken sollten niemals über eine Schlagzeile hinausgehen. Wenn Ihnen etwas verdächtig erscheint, überprüfen Sie mit Malwarebytes Guard, ob es sich um einen Betrug handelt. Senden Sie einen Screenshot, fügen Sie verdächtige Inhalte ein oder teilen Sie einen Link, einen Text oder eine Telefonnummer, und wir sagen Ihnen, ob es sich um einen Betrug handelt oder nicht. Verfügbar mit Malwarebytes Premium für alle Ihre Geräte und in der Malwarebytes für iOS Android.
