In der vergangenen Woche gab es einen großen Phishing-Angriff auf Google-Nutzer, die mit Hilfe einer gefälschten Einladung für ein angeblichen Dokument aus Google Docs geködert wurden. An dem Erfolg dieses Angriffs war Google aufgrund fehlender Schutzmechanismen nicht ganz unschuldig, und jetzt wurden erste Änderungen umgesetzt, mit denen verhindert werden soll dass so etwas in Zukunft nicht noch einmal passiert.
Alles ist innerhalb von nur einer Stunde passiert, aber die Nachwirkungen sind dennoch groß und langfristig: Vor 10 Tagen waren gefälschte E-Mails für eine angebliche Google Docs-Einladung im Umlauf, die täuschend echt aussahen. Das fatale daran war, dass der Link auch tatsächlich auf einen echten Google-Login geführt hat und der Nutzer in den Glauben versetzt wurde, sich tatsächlich bei Docs einzuloggen. Tatsächlich hat man aber einer gleichnamigen App Zugriff auf den E-Mail-Account gegeben, woraufhin die Mail an weitere Kontakte verschickt wurde.
Damit solche Angriffe in Zukunft nicht mehr passieren, hatte Google schon kurz darauf einige Maßnahme angekündigt, die nun nach und nach umgesetzt werden. Die ersten beiden sind ab sofort aktiv und bieten schon einen guten Schutz gegen eventuelle Nachahmer dieser Attacke.
Strengere Richtlinien für die App-Bezeichnung
Apps müssen ab sofort eigene Bezeichnungen haben und dürfen nicht mehr genau so wie bereits bestehende Apps benannt werden oder gar Markennamen verwenden. Um dies umzusetzen gibt es automatische Prozesse die den Namen prüfen und auch eine weitere mögliche Kontrolle durch einen Menschen. Bei dem Angriff trug eine App tatsächlich problemlos den Namen „Google Docs“.
Ausgiebiger Prüfungsprozess
Apps, die Zugriff auf bestimmte Bereiche des Google-Accounts haben möchten, werden ab sofort strenger überprüft – oder überhaupt überprüft – und können so nicht mehr einfach direkt nach dem Anlegen auf Kontakte und andere Dinge zugreifen. Das kann dann zwischen 3 bis 7 Werktagen dauern, sorgt aber für mehr Sicherheit. Entwickler können ihre Apps dennoch nutzen und testen, aber Nutzer sehen bei einer möglichen Freigabe während des Prüfungsprozesses nur eine Fehlermeldung.
Allein schon die erste Änderung, nämlich die Restriktionen für die App-Bezeichnung hätten dabei helfen können, dass ein solcher Angriff sich nicht innerhalb kürzester Zeit so schnell verbreiten kann. Da viele Nutzer im guten Glauben tatsächlich an Google Docs geglaubt hatten, sprangen die inneren Alarmsirenen nicht an und die Menschen gaben gutgläubig Zugriff auf ihre Daten. Aber auch der zweite Schritt kann zukünftig solche Angriffe verhindern und schon im Keim ersticken.
Damit dürften dann praktisch schon alle Sofortmaßnahmen umgesetzt worden sein, denn als letztes fehlt nur noch die Anpassung des Spamfilters von GMail, der solche Mails besser und schneller herausfiltern soll. Da dieser Filter einer ständigen Verbesserung unterliegt und dieser schon wenige Stunden nach der Attacke angepasst wurde, kann auch dahinter ein Häkchen gemacht werden.
Ganz verhindern lassen sich solche Angriffe natürlich nicht, aber durch solche Maßnahmen wird es immerhin nicht mehr ganz so einfach wie bisher.
» Ankündigung im Google Developers Blog