Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Attack Lab: Phishing-Betrug mit Google Drive

Eine neue Phishing-Methode Arglose Opfer hereinlegen, damit sie wichtige Informationen zu sich selbst und zu ihren Konten offenlegen – Betrug durch Phishing ist so alt wie das Internet selbst. Phishing...
Nathan Coppinger
4 minute gelesen
Veröffentlicht 24. August 2021
Letzte aktualisierung 13. Oktober 2023

Eine neue Phishing-Methode

Arglose Opfer hereinlegen, damit sie wichtige Informationen zu sich selbst und zu ihren Konten offenlegen – Betrug durch Phishing ist so alt wie das Internet selbst. Phishing ist derart geläufig, dass E-Mail-Anbieter wie Gmail es auf sich genommen haben, ihre Benutzer zu schützen, indem sie solche verdächtigen E-Mails in Spam-Ordner herausfiltern. In den letzten Jahren sind sie auch relativ gut darin geworden. Dieses erhöhte Sicherheitsniveau zwingt Angreifer zu immer kreativeren Maßnahmen, um arglosen Opfern schädliche Links zu servieren. Und tatsächlich: viel kreativer als bei dieser neuen Form des Phishings geht es nicht. Den Betrügern ist aufgefallen, dass die Spam-Filter von Google Mail ziemlich gut darin sind, herkömmliche Phishing-E-Mails abzufangen, und dass sie ihre schädlichen Nachrichten nur selten vor die Augen ihres Ziels kriegen. Um diese Filter zu umgehen, haben besonders raffinierte Kriminelle begonnen, Dokumente über Google Drive direkt in den Drive des Opfers zu schicken. Diese Dokumente enthalten eine Notiz und einen Link. Das Opfer wird aufgefordert, den enthaltenen Link anzuklicken, um sich anzumelden und an einem Projekt mitzuarbeiten oder offizielle Formulare für die Personalabteilung auszufüllen.

Entdecken Sie Ihre Schwachstellen und stärken Sie Ihre Resilienz: Führen Sie einen kostenlosen Ransomware-Bereitschaftstest durch

Derzeit verfügt Google Drive nicht über die gleichen Spamfilter-Funktionen wie Gmail und bietet somit nicht die Möglichkeit, diese Dokumente von legitimen Dokumenten zu unterscheiden, die von vertrauenswürdigen Quellen gesendet werden. Zum Ziel solcher Angriffe werden dabei sowohl Einzelpersonen als auch Unternehmen. Wired berichtet von Fällen, in denen ein einzelnes Dokument aus einer russischen Quelle mehrfach kopiert und bearbeitet wurde, um mit jeder neuen Version weitere Opfer zu ködern.

Genau wie bei gewöhnlichen Phishing-Angriffen erstellen Hacker eine gefälschte E-Mail, in der sie sich als Mitarbeiter oder als Abteilungsvertreter des Unternehmens ausgeben, bei dem das Opfer arbeitet. Anstatt aber gewöhnliche E-Mails zu verschicken, die im Spamfilter landen, erstellen und teilen sie täuschende Dokumente mit ihrer Phishing-Nachricht in Google Docs. Bei weniger ausgefeilten Betrugsversuchen oder Betrügern, die es auf gewöhnliche Personen abgesehen haben, werden einfach Formulare von einem beliebigen, normalen Gmail-Konto aus versendet. Dabei werden die Benutzer in Nachrichten aufgefordert, an Umfragen teilzunehmen, um Preise zu gewinnen, oder andere ähnliche Behauptungen.

Gehen wir phishen

In dieser Anleitung geben wir uns als Yaki Faitelson, CEO von Varonis, aus. Wir wollen einen ahnungslosen Varonis-Mitarbeiter darum bitten, sich bei seinem Mitarbeiterkonto anzumelden, damit wir ihm bei einem wichtigen Projekt helfen können.

Bei der Freigabe dieser gefälschten Dokumente schaltet der Betrüger in der Regel die E-Mail-Freigabefunktion aus, und gibt sie nur direkt über Google Drive frei, um seine echte E-Mail-Adresse und Domain zu verbergen. Wenn das Dokument per E-Mail freigegeben wird, erscheint die offensichtlich gefälschte E-Mail-Adresse in der Nachricht und der Schwindel fliegt auf. Gmail fängt solche Benachrichtigungen auch durch seinen Spamfilter ab, so dass die Zielperson sie nicht einmal in ihrem Postfach sehen wird, wenn die Benachrichtigungen aktiviert bleiben.

Da die Betrüger die E-Mail-Freigabe deaktivieren, werden sie ihre Angel für eine Weile im Wasser lassen müssen, da sie darauf setzen, dass die Nutzer beim nächsten Besuch in ihrem Google Drive darauf stoßen. In unserem Beispiel können Sie erkennen, dass das betrügerische Dokument direkt unter „Mein Drive“ des arglosen Opfers erscheint und nur den Namen des Absenders anzeigt. Die gefälschte E-Mail-Adresse ist nicht zu sehen.

Sobald die Benutzerin oder der Benutzer das freigegebene Dokument öffnet, wird ihr oder ihm ein großer, verlockender, blauer Link präsentiert. Er behauptet, dass man durch Klick darauf zu einem wichtigen Dokument von Yaki selbst gelangt, man wird jedoch stattdessen zu einer externen Seite oder einem externen Dokument geführt.

In diesem Beispiel leitet „Yakis“ Link Benutzer, die darauf klicken, auf eine sehr überzeugende gefälschte Varonis-Landingpage, auf der man seine Anmeldedaten eingeben muss, um Zugriff auf das freigegebene Dokument zu erhalten. In echten Fällen dieser Masche führen die in diesen Formularen enthaltenen Links die Benutzer zu einer Reihe von verschiedenen Orten – je nachdem, welches Ziel die Betrüger verfolgen. Benutzer könnten eine ähnlich gut gefälschte Landingpage sehen, auf der sie nach Anmeldedaten für einen bekannten Dienst gefragt werden. Andere Benutzer können zu einem Google-Formular weitergeleitet werden, in dem sie eine Umfrage ausfüllen sollen. So wird versucht, sie dazu zu bringen, sensible Details preiszugeben, beispielsweise Antworten auf gängige Sicherheitsfragen.

Sobald der Benutzer auf „Anmelden“ klickt, speichern die Angreifer seine Anmeldedaten, und die Schaltfläche bringt ihn wieder auf die Varonis-Homepage (oder auf eine andere Seite, die der Hacker mit der Login-Schaltfläche verknüpft hat). Jetzt wurde das Konto unseres Opfers kompromittiert, und es versteht nicht, warum es nicht zu dem wichtigen Dokument weitergeleitet wurde, bei dessen Bearbeitung Yaki Hilfe brauchte.

Vorsicht ist besser als Nachsicht

Zurzeit ist es oft schwierig, sich gegen solche Betrugsmaschen zu wehren. Google tut sein Bestes, um die Situation zu bekämpfen, aber der Anbieter hat es noch nicht geschafft, einen Spam-Filter in Google Drive zu implementieren. Solche Dokumente können also nicht abgefangen werden, und so ist es die Aufgabe der betroffenen Personen und Unternehmen.  Wie bei allen Phishing-Maschen – ob herkömmlich oder neuartig – ist Aufklärung die wichtigste Verteidigung. Ihre Mitarbeiter über die Anzeichen von Phishing-Betrugsmaschen per Google Drive aufzuklären ist für den Schutz der Nutzer und ihrer sensiblen Daten unerlässlich. Benutzer sollten Bescheid wissen, dass sie keine verdächtigen Links anklicken oder persönliche Informationen eingeben sollten, falls diese nicht aus den offiziellen Kommunikationskanälen Ihres Unternehmens kommen.

Unternehmen können auch aktiv gegen diese Betrüger vorgehen, indem sie strengere Kontrollen darüber einrichten, welche Arten von externen Anbietern und Benutzern E-Mails an interne Benutzer versenden und Dokumente sie freigeben können. Wenn Sie die Liste der externen Anbieter auf vertrauenswürdige Anbieter beschränken, können Sie verhindern, dass solche schädlichen Dokumente in den Drive-Ordnern der Benutzer auftauchen. Sicherheitsteams können auch Whitelists einrichten, damit nur bestimmte externe Kontakte Nachrichten an Benutzer in Ihrem Netzwerk senden können. Die Einrichtung einer umfassenden Whitelist ist jedoch oftmals mühselig und schwierig aufrechtzuerhalten. Whitelists können sich nachteilig auf Ihr Unternehmen auswirken. Wenn etwa externe Anbieter, die nicht auf Ihrer Liste stehen, versuchen, Sie zu kontaktieren, werden diese dadurch herausgefiltert.

Diese Schritte zum Schutz Ihres Unternehmens sind von zentraler Bedeutung für Ihre Sicherheit, aber auch sie haben ihre Grenzen. Die Implementierung von Bedrohungserkennungs- und Reaktionssoftware von Drittanbietern zum Schutz vor Bedrohungen und zur Überwachung der Google-Drive-Konten ihrer Nutzer ist ein äußerst effektiver Schritt gegen Phishing-Betrug. Lösungen wie Polyrize und Varonis können bei verdächtigen Aktivitäten, sowohl lokal als auch in der Cloud, Alarm schlagen, verdächtige freigegebene Dokumente und E-Mail-Adressen markieren und Sicherheitsteams benachrichtigen, um Maßnahmen zu ergreifen, wenn Daten kompromittiert wurden. Angenommen, ein Benutzer fällt unglücklicherweise auf eine solche Masche herein und gibt seine Anmeldedaten oder sensible Informationen ein. In diesem Fall kann Varonis das Netzwerk auf ungewöhnliche Aktivitäten hin überwachen und jedes ungewöhnliche Verhalten automatisch markieren. Ebenso kann es Benutzer-Sitzungen beenden und Passwörter ändern, um potenziellen Schaden durch einen Angriff zu verhindern.

 

 

 

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?