Phishing-Angriffe nutzen Google-Infrastruktur für gefälschte E-Mails

MÜNCHEN (IT BOLTWISE) – In einer neuen Welle von Phishing-Angriffen nutzen Cyberkriminelle die Infrastruktur von Google, um gefälschte E-Mails zu versenden, die auf den ersten Blick legitim erscheinen. Diese Angriffe zielen darauf ab, die Anmeldedaten der Opfer zu stehlen, indem sie sie auf täuschend echte Nachahmungsseiten locken.

In einer als “extrem ausgeklügelten Phishing-Attacke” beschriebenen Kampagne haben Bedrohungsakteure eine ungewöhnliche Methode genutzt, um gefälschte E-Mails über die Infrastruktur von Google zu versenden. Diese E-Mails leiten die Empfänger auf betrügerische Websites weiter, die darauf abzielen, ihre Anmeldedaten zu stehlen. Nick Johnson, der leitende Entwickler des Ethereum Name Service (ENS), erklärte, dass diese E-Mails gültig und signiert seien, da sie tatsächlich von no-reply@google.com gesendet wurden. Sie bestehen die DKIM-Signaturprüfung, und Gmail zeigt sie ohne Warnungen an, was sie besonders gefährlich macht.

Die E-Mail informiert die potenziellen Ziele über eine angebliche Vorladung einer Strafverfolgungsbehörde und fordert sie auf, auf eine sites.google[.]com-URL zu klicken, um die Fallmaterialien zu prüfen oder Maßnahmen zur Einreichung eines Protests zu ergreifen. Die angegebene URL führt zu einer gefälschten Seite, die die legitime Google-Support-Seite imitiert und Schaltflächen zum Hochladen zusätzlicher Dokumente oder zur Ansicht des Falls enthält. Ein Klick auf eine dieser Optionen führt das Opfer zu einer nachgeahmten Google-Konto-Anmeldeseite, die auf Google Sites gehostet wird.

Ein cleverer Aspekt des Angriffs ist die Tatsache, dass die E-Mail den “Signed by”-Header auf “accounts.google[.]com” gesetzt hat, obwohl der “Mailed by”-Header eine völlig andere Domain enthält. Diese Aktivität wurde als DKIM-Replay-Angriff charakterisiert, bei dem der Angreifer zunächst ein Google-Konto für eine neu erstellte Domain erstellt und dann eine Google OAuth-Anwendung mit dem Namen, der den gesamten Inhalt der Phishing-Nachricht enthält. Dies erzeugt eine “Sicherheitswarnung” von Google, die an ihre eigene E-Mail-Adresse gesendet wird.

Der Angreifer leitet dann dieselbe Nachricht von einem Outlook-Konto weiter, wobei die DKIM-Signatur intakt bleibt, was dazu führt, dass die Nachricht die E-Mail-Sicherheitsfilter umgeht. Die Nachricht wird dann über einen benutzerdefinierten SMTP-Dienst namens Jellyfish weitergeleitet und von der PrivateEmail-Infrastruktur von Namecheap empfangen, die das Weiterleiten von E-Mails an das Ziel-Gmail-Konto erleichtert. Auf diese Weise erreicht die E-Mail das Postfach des Opfers und sieht wie eine gültige Nachricht von Google aus, wobei alle Authentifizierungsprüfungen bestehen.

Google hat auf diese Bedrohung reagiert und Maßnahmen ergriffen, um den Missbrauchspfad zu schließen. Das Unternehmen betont, dass es niemals nach Kontodaten wie Passwörtern oder Einmalpasswörtern fragt oder Benutzer direkt anruft. Google empfiehlt Nutzern, die Zwei-Faktor-Authentifizierung und Passkeys zu verwenden, um sich gegen solche Phishing-Kampagnen zu schützen.

Diese Enthüllung erfolgt fast neun Monate nach der Entdeckung einer nun behobenen Fehlkonfiguration in den E-Mail-Sicherheitsmaßnahmen eines Anbieters, die von Bedrohungsakteuren ausgenutzt wurde, um Millionen von Nachrichten zu senden, die verschiedene bekannte Unternehmen wie Best Buy, IBM, Nike und Walt Disney imitieren. Gleichzeitig gibt es einen Anstieg von Phishing-Kampagnen, die Anhänge im SVG-Format verwenden, um die Ausführung von HTML-Code auszulösen, der Benutzer zu gefälschten Anmeldeseiten weiterleitet.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!