Thought Leadership
Cyberkriminelle entwickeln ständig neue Methoden, um Sicherheitsmechanismen zu umgehen – selbst etablierte Plattformen wie Google bleiben davon nicht verschont. Ein aktueller Angriff zeigt eindrucksvoll, wie perfide Phishing-Kampagnen inzwischen gestaltet sind und welche Risiken sich daraus für Nutzer und Unternehmen ergeben.
Vertrauen als Schwachstelle: Wie Angreifer seriöse Absenderadressen ausnutzen
In der heutigen digitalen Welt verlassen sich viele Nutzer auf große Plattformen wie Google, wenn es um Sicherheit und Vertrauenswürdigkeit geht. Doch genau dieses Vertrauen machen sich Cyberkriminelle zunehmend zunutze. Eine neue Methode macht aktuell dem Weltkonzern Google zu schaffen: täuschend echte E-Mails, die angeblich von [email protected] stammen und eine offizielle Vorladung oder dringende Benachrichtigung vortäuschen. Was auf den ersten Blick legitim wirkt, entpuppt sich bei genauerem Hinsehen als raffinierte Phishing-Falle – mit gravierenden Folgen für die Nutzer.
Melissa Bischoping, Head of Security Research bei Tanium, erklärt die Situation folgendermaßen:
Bei diesen Angriffen werden legitim wirkende Google-Funktionen genutzt, um manipulierte E-Mails zu versenden, die einige herkömmliche Überprüfungen umgehen. Außerdem werden Google Sites verwendet, um gefälschte Seiten zu hosten und Anmeldedaten zu sammeln. Die E-Mails nutzen eine OAuth-Anwendung in Kombination mit einer kreativen DKIM-Umgehungslösung, um genau die Sicherheitsvorkehrungen auszuschalten, die vor dieser Art von Phishing-Versuchen schützen sollen. Was diese Taktik besonders gefährlich macht, ist nicht nur die technische Raffinesse, sondern auch die gezielte Nutzung vertrauenswürdiger Dienste, um sowohl Nutzer als auch Erkennungswerkzeuge zu umgehen.
Einige Komponenten dieses Angriffs sind zwar neu – und mittlerweile von Google behoben -, doch Angriffe, die vertrauenswürdige Unternehmensdienste ausnutzen, sind keine Einzelfälle. Immer mehr Angreifer entscheiden sich bewusst dafür, Dienste zu nutzen, die legitime Anwendungsfälle in Unternehmen haben. Dies unterstreicht den Trend, dass Angreifer mit zunehmender Leistungsfähigkeit der Erkennungstools nach Möglichkeiten suchen, diese vollständig zu umgehen, anstatt sie mit teuren Exploits zu überlisten. Sie konzentrieren sich auf die Tools, Websites und Funktionen, die Unternehmen in ihrer täglichen Arbeit verwenden. Indem sie sich in den normalen Datenverkehr einfügen und davon ausgehen, dass ein typischer Empfänger eine vertrauenswürdige Domain wie „google.com“ nicht genauer unter die Lupe nimmt, erzielen Angreifer eine hohe Erfolgsquote, ohne nennenswerte Investitionen in neue TTPs tätigen zu müssen.
Wie können Unternehmen also in Zukunft damit umgehen? Mehrschichtige Abwehrmaßnahmen und die Schulung der Benutzer sollten immer priorisiert werden. Schulungen zur Sensibilisierung sollten mit der Bedrohungslage Schritt halten und sowohl neue als auch weiterhin wirksame Techniken behandeln. Gleichzeitig sind technische Schutzmaßnahmen wie Link-Sandboxing und die Erkennung von Anomalien in heruntergeladenen Inhalten zur Suche nach Ausreißern und potenziellen Indikatoren für die frühzeitige Erkennung und Vertiefung der Verteidigungsebenen von entscheidender Bedeutung. Wie immer ist eine robuste Multi-Faktor-Authentifizierung unerlässlich, da der Diebstahl und Missbrauch von Anmeldedaten auch weiterhin ein attraktives Ziel bleiben wird.
