Phishing-Angriffe sind für uns kein Neuling. Hierbei handelt es sich um Cyber-Betrügereien, bei denen sich Angreifer über E-Mails, SMS oder Anrufe als vertrauenswürdige Entitäten ausgeben, um Benutzer dazu zu verleiten, vertrauliche Daten wie Passwörter, Kreditkarteninformationen und andere preiszugeben. In einem solchen Fall wurden vertrauenswürdige Google-Dienste erneut zum Mittelpunkt einer Phishing-Betrugskampagne. Es verleitet Benutzer dazu, auf schädliche Links zu klicken und ihre Anmeldedaten preiszugeben.
Neue Phishing-Betrugskampagne täuscht vertrauenswürdige Google-Dienste vor
In einem neuen Bericht enthüllen Cybersicherheitsforscher von Check Point, dass Betrüger innerhalb von zwei Wochen fast 9.400 E-Mails verschickten, die sich an etwa 3.200 Unternehmen richteten. Alle diese Nachrichten wurden Berichten zufolge vom E-Mail-Konto „(email protected)“ gesendet. Dies bedeutet, dass die Angreifer die Integration von Google Cloud Application missbraucht haben.
Für diejenigen, die es nicht wissen: Dies ist ein verwalteter Google Cloud-Dienst, der Anwendungen, APIs und Datenquellen verbindet, ohne dass benutzerdefinierter Code geschrieben werden muss. Dadurch können Unternehmen Arbeitsabläufe zwischen Cloud-Diensten, SaaS-Apps und internen Systemen mithilfe vorgefertigter Konnektoren, Trigger und Aktionen automatisieren. Durch die Google Cloud Application-Integration generierte E-Mails stammen aus der Google-eigenen Infrastruktur und Domänen.
Bei Phishing-Betrügereien können Bedrohungsakteure ein Google Cloud-Projekt erstellen oder kompromittieren und einen Integrationsworkflow konfigurieren, der E-Mails über Gmail-APIs oder andere verbundene E-Mail-Dienste sendet. Vereinfacht ausgedrückt handelt es sich dabei eher um einen Missbrauch als um einen Verstoß gegen die Infrastruktur von Google.
Die meisten Opfer befanden sich in den USA
Um die E-Mails glaubwürdiger zu machen, stellten die Angreifer offenbar sicher, dass die Nachrichten dem Stil, der Sprache und sogar der Formatierung von Google folgten. Diese E-Mails lockten Benutzer mit ausstehenden Voicemail-Nachrichten oder Benachrichtigungen über den Erhalt eines Dokuments (Beispiel für echte Phishing-E-Mails unten). Die Links in diesen E-Mails führen zu storage.cloud.google.com, einem vertrauenswürdigen Google Cloud-Dienst. Anschließend wird auf googleusercontent.com weitergeleitet, wo Benutzer ein gefälschtes CAPTCHA übergeben müssen, das Sicherheitsscanner blockieren soll.
Schließlich führt der Link zu einer gefälschten Microsoft-Anmeldeseite und verleitet sie dazu, ihre Anmeldedaten preiszugeben. Angreifer erfassen alle Anmeldeinformationen, die Benutzer in dieser Phase eingeben, und vervollständigen so die Phishing-Kette. Berichten zufolge befand sich die Mehrheit der Opfer in den USA – 48,6 %. Rund 19,6 % von ihnen arbeiteten im verarbeitenden Gewerbe/Industrie, 18,9 % im Technologie-/SaaS-Bereich und 14,8 % im Finanz-/Bank-/Versicherungsbereich. Nach den USA folgten Asien-Pazifik (20,7 %) und Europa (19,8 %).
Wie dem auch sei, Google teilte Check Point mit, dass „mehrere Phishing-Kampagnen“, die die Integration von Google Cloud Application missbrauchten, bereits blockiert wurden. „Wichtig ist, dass diese Aktivität auf den Missbrauch eines Workflow-Automatisierungstools zurückzuführen war und nicht auf eine Beeinträchtigung der Google-Infrastruktur. Obwohl wir Schutzmaßnahmen implementiert haben, um Benutzer vor diesem speziellen Angriff zu schützen, empfehlen wir weiterhin Vorsicht, da böswillige Akteure häufig versuchen, vertrauenswürdige Marken zu fälschen. Wir ergreifen zusätzliche Maßnahmen, um weiteren Missbrauch zu verhindern“, sagte der Technologieriese Berichten zufolge.
