Über die letzten Monate wurde wiederholt beobachtet, wie Hacker die Online-Dienste bekannter Hyperscaler wie Google ausnutzten, um Phishing-Mails legitim erscheinen zu lassen.
Zu den missbrauchten Services gehörten PayPal, Microsoft SharePoint, AWS, Facebook Ads und diverse Google-Dienste wie Google Looker, Google Collection und Google Ads. Mit Google Groups hat CPR nun eine weitere Applikation des globalen Tech-Unternehmens identifiziert, die für Phishing-Spoofs zweckentfremdet wird. Google-Tools sind aus der Sicht von Hackern für den Datenklau besonders einladend, da Google-Dienste kostenlos und einfach zu benutzen sind.
Zudem verfügt Google über eine Vielzahl von Tools: Von Docs bis Sheets über (das bereits für Phishing verwendete) Google Collection bis hin zu Gmail oder Forms gibt es unzählige Dienste des Alphabet-Unternehmens. Das ist praktisch für die Nutzer, macht es aber auch den Hackern leichter, Social Engineering- und BEC 3.0-Angriffe (Business E-Mail Compromise 3.0) zu orchestrieren. Mit den verfügbaren Tools sind sie in der Lage, legitime Nachrichten über Google-Domains direkt an die Posteingänge der Nutzer zu senden und darin bösartige Inhalte einzubetten.
Hacker nutzen Google Groups für Phishing
Die Forscher von Check Point Harmony Email haben nun beobachtet, wie Hacker auch Google Groups ausnutzen, um gefälschte E-Mails, in diesem Fall im Namen des IT-Sicherheitsanbieter McAfee, zu versenden. Der Angriff beginnt mit einer Mail von Google, führt aber auf eine gefälschte Website, auf der Anmeldedaten gestohlen werden. Oftmals sind die Phishing-Versuche nicht sehr überzeugend: Sie sind voller Fehler, Ungereimtheiten und einer Menge deplatzierter Gleichheitszeichen, zeugen aber dennoch vom konstant hohen Einfallsreichtum der Cyberkriminellen.
Zudem darf man einen wichtigen Aspekt nicht vergessen: Die Ausnutzung von Google Groups erhöht die Wahrscheinlichkeit drastisch, dass die Phishing-Mail ihren Weg ins Postfach potenzieller Opfer findet, da die Mail von einer Google-Domäne versendet wird und E-Mail-Sicherheitslösungen daher geneigt sind, diese als vertrauenswürdig einzustufen. Sicherheitsadministratoren können Google zudem nicht blockieren, da dessen Tools in vielen Organisationen und Unternehmen für die tägliche Arbeit verwendet werden. Es reicht letztlich aus, wenn auch nur eine einzige Person einen verseuchten Link anklickt, damit der Betrugsversuch für die Drahtzieher profitabel war.
Um sich vor diesen Angriffen zu schützen, können Sicherheitsexperten folgende Technologien einsetzen:
- KI-gestützte Sicherheitsabwehr, die zahlreiche Phishing-Indikatoren analysieren und identifizieren kann, um komplexe Angriffe proaktiv zu vereiteln.
- Umfassende Sicherheitslösungen, die Funktionen zum Scannen von Dateien und Dokumenten umfasst.
- Ein robustes URL-Schutzsystem, das gründliche Scans durchführt und Webseiten für mehr Sicherheit emuliert.
Über Check Point Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.