Attack Lab: Phishing-Betrug mit Google Drive

Datensicherheit

Eine neue Phishing-Methode

Arglose Opfer hereinlegen, damit sie wichtige Informationen zu sich selbst und zu ihren Konten offenlegen – Betrug durch Phishing ist so alt wie das Internet selbst. Phishing ist derart geläufig, dass E-Mail-Anbieter wie Gmail es auf sich genommen haben, ihre Benutzer zu schützen, indem sie solche verdächtigen E-Mails in Spam-Ordner herausfiltern. In den letzten Jahren sind sie auch relativ gut darin geworden. Dieses erhöhte Sicherheitsniveau zwingt Angreifer zu immer kreativeren Maßnahmen, um arglosen Opfern schädliche Links zu servieren. Und tatsächlich: viel kreativer als bei dieser neuen Form des Phishings geht es nicht. Den Betrügern ist aufgefallen, dass die Spam-Filter von Google Mail ziemlich gut darin sind, herkömmliche Phishing-E-Mails abzufangen, und dass sie ihre schädlichen Nachrichten nur selten vor die Augen ihres Ziels kriegen. Um diese Filter zu umgehen, haben besonders raffinierte Kriminelle begonnen, Dokumente über Google Drive direkt in den Drive des Opfers zu schicken. Diese Dokumente enthalten eine Notiz und einen Link. Das Opfer wird aufgefordert, den enthaltenen Link anzuklicken, um sich anzumelden und an einem Projekt mitzuarbeiten oder offizielle Formulare für die Personalabteilung auszufüllen.

Derzeit verfügt Google Drive nicht über die gleichen Spamfilter-Funktionen wie Gmail und bietet somit nicht die Möglichkeit, diese Dokumente von legitimen Dokumenten zu unterscheiden, die von vertrauenswürdigen Quellen gesendet werden. Zum Ziel solcher Angriffe werden dabei sowohl Einzelpersonen als auch Unternehmen. Wired berichtet von Fällen, in denen ein einzelnes Dokument aus einer russischen Quelle mehrfach kopiert und bearbeitet wurde, um mit jeder neuen Version weitere Opfer zu ködern.

Genau wie bei gewöhnlichen Phishing-Angriffen erstellen Hacker eine gefälschte E-Mail, in der sie sich als Mitarbeiter oder als Abteilungsvertreter des Unternehmens ausgeben, bei dem das Opfer arbeitet. Anstatt aber gewöhnliche E-Mails zu verschicken, die im Spamfilter landen, erstellen und teilen sie täuschende Dokumente mit ihrer Phishing-Nachricht in Google Docs. Bei weniger ausgefeilten Betrugsversuchen oder Betrügern, die es auf gewöhnliche Personen abgesehen haben, werden einfach Formulare von einem beliebigen, normalen Gmail-Konto aus versendet. Dabei werden die Benutzer in Nachrichten aufgefordert, an Umfragen teilzunehmen, um Preise zu gewinnen, oder andere ähnliche Behauptungen.

Gehen wir phishen

In dieser Anleitung geben wir uns als Yaki Faitelson, CEO von Varonis, aus. Wir wollen einen ahnungslosen Varonis-Mitarbeiter darum bitten, sich bei seinem Mitarbeiterkonto anzumelden, damit wir ihm bei einem wichtigen Projekt helfen können.

Bei der Freigabe dieser gefälschten Dokumente schaltet der Betrüger in der Regel die E-Mail-Freigabefunktion aus und gibt sie nur direkt über Google Drive frei, um seine echte E-Mail-Adresse und Domain zu verbergen. Wenn das Dokument per E-Mail freigegeben wird, erscheint die offensichtlich gefälschte E-Mail-Adresse in der Nachricht und der Schwindel fliegt auf. Gmail fängt solche Benachrichtigungen auch durch seinen Spamfilter ab, so dass die Zielperson sie nicht einmal in ihrem Postfach sehen wird, wenn die Benachrichtigungen aktiviert bleiben.

Da die Betrüger die E-Mail-Freigabe deaktivieren, werden sie ihre Angel für eine Weile im Wasser lassen müssen, da sie darauf setzen, dass die Nutzer beim nächsten Besuch in ihrem Google Drive darauf stoßen. In unserem Beispiel können Sie erkennen, dass das betrügerische Dokument direkt unter „Mein Drive“ des arglosen Opfers erscheint und nur den Namen des Absenders anzeigt. Die gefälschte E-Mail-Adresse ist nicht zu sehen.

Sobald die Benutzerin oder der Benutzer das freigegebene Dokument öffnet, wird ihr oder ihm ein großer, verlockender, blauer Link präsentiert. Er behauptet, dass man durch Klick darauf zu einem wichtigen Dokument von Yaki selbst gelangt, man wird jedoch stattdessen zu einer externen Seite oder einem externen Dokument geführt.

In diesem Beispiel leitet „Yakis“ Link Benutzer, die darauf klicken, auf eine sehr überzeugende gefälschte Varonis-Landingpage, auf der man seine Anmeldedaten eingeben muss, um Zugriff auf das freigegebene Dokument zu erhalten. In echten Fällen dieser Masche führen die in diesen Formularen enthaltenen Links die Benutzer zu einer Reihe von verschiedenen Orten – je nachdem, welches Ziel die Betrüger verfolgen. Benutzer könnten eine ähnlich gut gefälschte Landingpage sehen, auf der sie nach Anmeldedaten für einen bekannten Dienst gefragt werden. Andere Benutzer können zu einem Google-Formular weitergeleitet werden, in dem sie eine Umfrage ausfüllen sollen. So wird versucht, sie dazu zu bringen, sensible Details preiszugeben, beispielsweise Antworten auf gängige Sicherheitsfragen.

Sobald der Benutzer auf „Anmelden“ klickt, speichern die Angreifer seine Anmeldedaten, und die Schaltfläche bringt ihn wieder auf die Varonis-Homepage (oder auf eine andere Seite, die der Hacker mit der Login-Schaltfläche verknüpft hat). Jetzt wurde das Konto unseres Opfers kompromittiert, und es versteht nicht, warum es nicht zu dem wichtigen Dokument weitergeleitet wurde, bei dessen Bearbeitung Yaki Hilfe brauchte.

Vorsicht ist besser als Nachsicht

Zurzeit ist es oft schwierig, sich gegen solche Betrugsmaschen zu wehren. Google tut sein Bestes, um die Situation zu bekämpfen, aber der Anbieter hat es noch nicht geschafft, einen Spam-Filter in Google Drive zu implementieren. Solche Dokumente können also nicht abgefangen werden, und so ist es die Aufgabe der betroffenen Personen und Unternehmen.  Wie bei allen Phishing-Maschen – ob herkömmlich oder neuartig – ist Aufklärung die wichtigste Verteidigung. Ihre Mitarbeiter über die Anzeichen von Phishing-Betrugsmaschen per Google Drive aufzuklären ist für den Schutz der Nutzer und ihrer sensiblen Daten unerlässlich. Benutzer sollten Bescheid wissen, dass sie keine verdächtigen Links anklicken oder persönliche Informationen eingeben sollten, falls diese nicht aus den offiziellen Kommunikationskanälen Ihres Unternehmens kommen.

Unternehmen können auch aktiv gegen diese Betrüger vorgehen, indem sie strengere Kontrollen darüber einrichten, welche Arten von externen Anbietern und Benutzern E-Mails an interne Benutzer versenden und Dokumente sie freigeben können. Wenn Sie die Liste der externen Anbieter auf vertrauenswürdige Anbieter beschränken, können Sie verhindern, dass solche schädlichen Dokumente in den Drive-Ordnern der Benutzer auftauchen. Sicherheitsteams können auch Whitelists einrichten, damit nur bestimmte externe Kontakte Nachrichten an Benutzer in Ihrem Netzwerk senden können. Die Einrichtung einer umfassenden Whitelist ist jedoch oftmals mühselig und schwierig aufrechtzuerhalten. Whitelists können sich nachteilig auf Ihr Unternehmen auswirken. Wenn etwa externe Anbieter, die nicht auf Ihrer Liste stehen, versuchen, Sie zu kontaktieren, werden diese dadurch herausgefiltert.

Diese Schritte zum Schutz Ihres Unternehmens sind von zentraler Bedeutung für Ihre Sicherheit, aber auch sie haben ihre Grenzen. Die Implementierung von Bedrohungserkennungs- und Reaktionssoftware von Drittanbietern zum Schutz vor Bedrohungen und zur Überwachung der Google-Drive-Konten ihrer Nutzer ist ein äußerst effektiver Schritt gegen Phishing-Betrug. Lösungen wie Polyrize und Varonis können bei verdächtigen Aktivitäten, sowohl lokal als auch in der Cloud, Alarm schlagen, verdächtige freigegebene Dokumente und E-Mail-Adressen markieren und Sicherheitsteams benachrichtigen, um Maßnahmen zu ergreifen, wenn Daten kompromittiert wurden. Angenommen, ein Benutzer fällt unglücklicherweise auf eine solche Masche herein und gibt seine Anmeldedaten oder sensible Informationen ein. In diesem Fall kann Varonis das Netzwerk auf ungewöhnliche Aktivitäten hin überwachen und jedes ungewöhnliche Verhalten automatisch markieren. Ebenso kann es Benutzer-Sitzungen beenden und Passwörter ändern, um potenziellen Schaden durch einen Angriff zu verhindern.

 

 

 

Nathan Coppinger

Nathan Coppinger

Nathan hat es schon immer geliebt, etwas über Spitzentechnologie zu lernen, aber er hatte nicht die Geduld für das Programmieren. So fand er seinen Weg als Stimme für die talentierten Personen hinter dem Code.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990