Vor wenigen Tagen gab es einen großen Phishing-Angriff auf Google-Nutzer der innerhalb von nur einer Stunde bis zu 1 Million Nutzer betroffen hat. Möglich wurde dies durch ein ausgeklügeltes System dass auf den ersten Blick keinen Anlass für Misstrauen gegeben hat. Damit so etwas nicht noch einmal passiert hat Google nun eine Reihe von Maßnahmen angekündigt, die man im Laufe der nächsten Zeit umsetzen möchte.
Der Phishing-Angriff in dieser Woche hat zwar keine direkten Zugangsdaten der Nutzer abgegriffen, hat sich dafür aber mit einfachsten Mitteln den Zugriff auf eine Million Google-Accounts gesichert. Umgesetzt wurde dies einfach durch eine App mit der Bezeichnung „Google Docs“, die ein Dokument in Aussicht gestellt und dafür eine Zugangsberechtigung zum Google-Account verlangt hat. Hat der Nutzer dies abgenickt, wurden weitere Phishing-Mails an alle Kontakte verschickt, die wiederum auf das Formular verlinkt haben.
Google trägt teilweise eine Mitschuld daran dass der Angriff so erfolgreich verlaufen und sich so extrem schnell verbreiten konnte. Der Hauptgrund dürfte es wohl gewesen sein, dass sich die App „Google Docs“ nennen durfte und sich so als die bekannte App von Google ausgegeben hat. In Kombination mit dem Google-Login, der ja tatsächlich auf dem echten Google-Server stattgefunden hat und so jedem kritischen Blick standgehalten hätte, war das Vertrauen der Nutzer da und der Button für den Zugriff schnell gedrückt.
In Zukunft soll dies durch folgende Maßnahmen nicht mehr so einfach möglich sein:
- Die Regeln für den Zugriff von Apps von Drittanbietern auf den Google-Account werden schon bald verschärft
- Die Spamfilter von GMail sollen verbessert werden und solche gefälschten Formulare in Zukunft zuverlässiger erkennen
- Apps die Zugriff auf die Daten eines Google-Accounts verlangen sollen in Zukunft besser kontrolliert werden
Vermutlich dürfen Apps in Zukunft dann nicht mehr die Bezeichnung „Google“ im Namen tragen, was schon ein großer Schritt hin mehr zu Sicherheit wäre. Außerdem kann GMail als Übertragungsweg vermutlich bald nicht mehr genutzt werden und Apps dürften die Zugriffe begründen oder der Nutzer diese einzeln abnicken müssen.
Natürlich lassen sich Phishing-Attacken auch mit solchen Maßnahmen nicht komplett verhindern, denn am Ende sitzt das größte Problem noch immer vor dem Bildschirm und kann trotz aller Warnungen nicht komplett beeinflusst werden. Wer sich nicht sicher ist, ob er selbst schon fahrlässigerweise einer nicht vertrauenswürdigen App Zugriff auf den Google-Account gegeben hat, dem ist der Security Check-Up ans Herz zu legen, der schnell nach Auffälligkeiten durchsucht werden kann.
Als weitere Sicherheitsmaßnahme sollte auch die Bestätigung in zwei Schritten aktiviert werden, mit der sicher gestellt ist dass niemand fremdes Zugriff auf den eigenen Account hat, selbst wenn die Zugangsdaten bereits weitergegeben worden sind. Erst Anfang des Jahres gab es einen weitern Phishing-Angriff auf GMail-Nutzer, bei dem dann tatsächlich die Zugangsdaten auf einem fremden Server gelandet sind. Auch damals haben sich die Phisher viel Arbeit gemacht um die Login-Seite und die Verlinkung dorthin so täuschend echt wie möglich zu gestalten.
» Ankündigung im Google Security Blog