Phishing-Attacken sind eigentlich ein alter Hut, erfreuen sich aber dank vieler naiver Menschen im Web großer Beliebtheit und dürften auch immer wieder funktionieren. Nicht selten versuchen sich Angreifer Zugriff auf den Google-Account der Nutzer zu erschleichen, in dem sie gefälschte Login-Seiten verbreiten. Derzeit macht eine Phishing-Attacke die Runde, die selbst für erfahrene Nutzer nicht ganz so ohne weiteres als solche zu erkennen ist.
Phishing-Attacken funktionieren nach einem ganz einfachen Prinzip: Die Angreifer verteilen Links zu gefälschten Login-Seiten der großen Netzwerke wie Google und Facebook oder früher häufiger auch zu Onlinebanking-Seiten. Der Nutzer gibt gutgläubig seine Daten ein, die Angreifer greifen diese ab, und verwenden diese dann um sich in den echten Account einzuloggen und im schlimmsten Falle den wahren Nutzer auszusperren.
Zur Zeit verbreitet sich eine solche Attacke rasend schnell unter GMail-Nutzern, die gleich auf mehrere Tricks setzen, um auch erfahrenen Nutzern das Erkennen dieser Mails zu erschweren. Die Mails stammen von Absendern aus dem Adressbuch des Nutzers und verwenden Betreffzeilen aus realen Konversationen aus der jüngeren Vergangenheit – somit wirken sie schon einmal echt. In der Mail befindet sich dann ein Foto, das exakt so aussieht wie die Anhang-Funktion von GMail, mit der der vermeintliche PDF-Anhang heruntergeladen oder im Drive gespeichert werden kann.
Klickt man dieses Bild an, öffnet sich ein neues Fenster mit einer gefälschen Login-Seite von Google. Auch dies dürfte einigen Nutzern noch nicht verdächtig vorkommen, da die Seite täuschend echt aussieht und mutmaßlich direkt von GMail geöffnet wurde. Schaut man sich dann die Adresszeile an, kann man auf den ersten Blick ebenfalls davon ausgehen dass es sich um eine echte Seite handelt. Tatsächlich handelt es sich um keine echte URL, sondern um eine text/html-Adresse, in der sich der gesamte Content der Webseite in der URL befindet. Durch viele Leerzeichen wird dies aber kaum ersichtlich (siehe zweiter Screenshot).
Haben die Angreifer dann Zugriff auf den Account, werden weitere Mails an alle GMail-Kontakte aus dem Adressbuch gesendet – mit denen sie sich dann wiederum Zugang zu weiteren Accounts sichern. Die ersten Angriffe mit dieser Methode soll es schon im Herbst 2016 gegeben haben, aber erst jetzt sollen sich diese stark häufen – was dafür spricht dass da wohl auch ein Script hinter steht, das für die schnelle Verbreitung sorgt.
Für Google dürfte es ein leichtes sein, solche Mails zu erkennen und direkt in den Spam-Ordner zu verschieben bzw. die Phishing-Warnung einzublenden. Da sich die Mails gerade rasend schnell verbreiten, dürfte es auch nicht mehr lange dauern bis die „Gefahr“ wieder gebannt ist. Wie immer gilt, das die Bestätigung in zwei Schritten gegen einen solchen Angriff helfen und diesen komplett verhindern kann.