Angriff auf Docs-Nutzer: Google hat groß angelegte und täuschend echte Phishing-Attacke gestoppt [Video]

 

Google sorgt sich seit vielen Jahren um die Sicherheit der Daten der eigenen Nutzer und hat viele Schutzmaßnahmen ergriffen um Phishing-Angriffe zu verhindern, doch eine simple App hat alle diese Mechanismen nun umgangen und hat knapp eine Million Nutzer betroffen. In der heutigen Nacht lief vor allem in den USA eine große Phishing-Attacke auf Google Docs-Nutzer, die aber mittlerweile von Google gestoppt wurde und wohl Konsequenzen nach sich ziehen dürfte.

Selbst nicht ganz so aufmerksame Internetnutzer dürften schon von dem Wörtchen „Phishing“ gehört haben, bei dem es sich in den meisten Fällen um täuschend echt aussehende Login-Seiten für diverse große Internetunternehmen oder auch Banken handelt, die einzig und allein das Ziel haben die Zugangsdaten der Nutzer abzugreifen. Am gestrigen Abend gab es eine sehr ähnliche Attacke auf Docs-Nutzer, bei denen aber glücklicherweise keine Zugangsdaten entwendet wurde.

@zeynep Just got this as well. Super sophisticated. pic.twitter.com/l6c1ljSFIX

— Zach Latta (@zachlatta) 3. Mai 2017

Seit dem gestrigen späten Abend machte eine E-Mail die Runde, die vorgab direkt von Google Docs zu stammen und dem Nutzer Zugriff auf ein Dokument innerhalb von Google Docs zu geben. Der in der Mail enthaltene Link führte dann auch tatsächlich zu einer echten Google-Seite, allerdings gab man auf dieser Seite der App „Google Docs“ den vollen Zugriff auf die Kontakte und die Möglichkeit, E-Mails zu versenden. Hatte man dies abgenickt, wurde direkt an alle Kontakte aus dem eigenen Adressbuch die exakt gleiche Mail versendet, mit der dann wieder neue Nutzer gewonnen wurden.

Es gibt gleich mehrere Gründe warum diese Attacke so erfolgreich war:
– Die Mail stammt direkt von einem bekannten Kontakt und ist somit in erster Linie für die meisten Nutzer einmal vertrauenswürdig
– Der Link in der Mail führt zu einer echten Google-Webseite
– Die Phishing-App im Hintergrund trägt den Namen „Google Docs“ und ist somit ebenfalls für viele Nutzer vertrauenswürdig

Wer keine Erfahrung mit dieser Art von E-Mails hat, dem dürfte gar nicht auffallen dass er kein Dokument öffnet, sondern gerade einer fremden App Zugriff auf seine Daten gibt.

Schon nach etwa einer Stunde hatte Google die Attacke gestoppt und hat eine Reihe von Maßnahmen ergriffen. Die App wurde gelöscht, die ursprünglichen Absender wurden gesperrt und innerhalb von GMail werden diese Mails mittlerweile als Spam erkannt und der Nutzer per Safebrowsing gewarnt. Damit ist die Attacke nun komplett im Keim erstickt worden, dennoch konnten in dieser einen Stunde fast 1 Million Nutzer zum Klicken auf den Link aufgefordert werden.

We have taken action to protect users against an email impersonating Google Docs, and have disabled offending accounts. We’ve removed the fake pages, pushed updates through Safe Browsing, and our abuse team is working to prevent this kind of spoofing from happening again. We encourage users to report phishing emails in Gmail.

Google betont dass es keinen weiteren Zugriff auf Daten gegeben hat und dass „nur“ die Kontaktdaten abgefragt wurden, an die die Betreiber der App nach dem löschen auch nicht mehr herankommen dürften. Auf Googles Seite ist allerdings der große Fehler passiert, dass sich eine App „Google Docs“ nennen darf und somit solche Angriffe erst möglich gemacht haben. Daran sollte man in Zukunft arbeiten, damit solche und ähnliche Dinge nicht mehr passieren.

We realize people are concerned about their Google accounts, and we’re now able to give a fuller explanation after further investigation. We have taken action to protect users against an email spam campaign impersonating Google Docs, which affected fewer than 0.1% of Gmail users. We protected users from this attack through a combination of automatic and manual actions, including removing the fake pages and applications, and pushing updates through Safe Browsing, Gmail, and other anti-abuse systems. We were able to stop the campaign within approximately one hour. While contact information was accessed and used by the campaign, our investigations show that no other data was exposed. There’s no further action users need to take regarding this event; users who want to review third party apps connected to their account can visit Google Security Checkup.

Falls ihr euch nicht sicher seid ob ihr ebenfalls Opfer dieser oder eine ähnlichen Attacke geworden seid, empfiehlt es sich jetzt – und auch regelmäßig – den Google Security Checkup zu besuchen, mit dem in wenigen Schritten verdächtige Zugriffe auf den eigenen Account festgestellt werden können. Dort sind eure eigenen Daten verzeichnet, es werden alle Geräte aufgelistet die Zugriff auf den Account hatten und es gibt eine Liste aller Apps von Drittanbietern, denen ebenfalls der Zugriff auf bestimmte Daten im Account gewährt worden ist.

Schon Anfang des Jahres gab es einen großen Phishing-Angriff auf GMail-Nutzer, der ebenfalls Mechanismen und Möglichkeiten einsetzte um täuschend echt zu wirken, und den Nutzer vorgegaukelt hat dass einen Anhang aus einer E-Mail herunterladen würde. Durch klug eingebundene Bilder und konstruierte URLs war es auch hier auf den ersten Blick nicht ganz so einfach zu erkennen, dass es sich dabei um einen Angriff handelt.

Da Googles Sicherheits-Team auf Zack ist und solche Angriffe meist innerhalb weniger Stunden beendet, kann man sich dennoch einigermaßen sicher fühlen. Dennoch sollte man immer wachsam sein, egal von wem die E-Mail kommt und um welche App es angeblich geht.

[9to5Google]

---

---