Cyber-Kriminelle machen sich die Funktionen der Google-Cloud-Plattform zu Nutze, um ihre Phishing-Kampagnen voranzutreiben und Konto-Daten zu erbeuten. Check Point Research kam den Hackern auf die Spur.
Laut des Research Team von Check Point Software Technologies beginnt der Angriff mit einem PDF-Dokument, welches von den Betrügern auf den Google Cloud-Speicherort ‚Google Drive‘ geladen wird. Dieses PDF enthält einen Link zu einer Phishing-Seite, welche sich als angeblicher Internet-Auftritt von Office-365 maskiert und mit einem gefälschten Login-Fenster aufwartet. Geben die Nutzer dort ihre Zugangsdaten ein, werden Sie an den Server der Hacker geschickt. So weit, so das bekannte Vorgehen bei Phishing-Attacken. Das gefährliche hier jedoch: Da der Prozess über die Google-Cloud-Plattform läuft, wird der Anwender nicht durch eindeutige Signale, wie das Fehlen der üblichen Webseiten-Zertifikate oder des grünen Vorhängeschlosses in der Adressleiste, gewarnt. Außerdem wird der Nutzer, nach Eingabe seiner Anmelde-Daten tatsächlich zu einem Bericht einer renommierten Unternehmensberatung in Form eines PDF-Dokuments geleitet. Das täuscht ihn also nach dem erfolgreichen Diebstahl seiner Informationen zusätzlich und wiegt ihn in Sicherheit.
Um die böswilligen Absichten bei dieser Kampagne zu erkennen, müsste man einen Blick in den Quellcode der Phishing-Seite werfen. Dieser offenbart, dass die meisten Inhalte von einer externen Adresse geladen werden – die wohl den Kriminellen gehört. Diese setzen als Werkzeug jedoch Google-Cloud-Functions ein, einen Dienst von Google zur Ausführung von Code in der Google-Cloud. Die Verbrecher sind somit in der Lage, den eigentlichen Ursprung dieser externen und betrügerischen Inhalte zu verschleiern.
Lotem Finkelsteen, Manager of Threat Intelligence bei Check Point Software Technologies, warnt: „Hacker konzentrieren sich zunehmend auf die Cloud-Storage-Dienste, denen wir vertrauen. Das macht es viel schwieriger, einen Phishing-Angriff zu erkennen. Herkömmliche ‚rote Flaggen‘ eines Phishing-Angriffs, wie ähnliche klingende Domäne-Namen oder Webseiten ohne erforderliche Zertifikate, helfen hier kaum. Nutzer der Google-Cloud-Plattform, sogar AWS- und MS-Azure-Nutzer, sollten sich vor diesem schnell wachsenden Trend in Acht nehmen und lernen, sich zu schützen. Es beginnt bereits damit, dass die Anwender zweimal über die Dateien nachdenken sollten, die über eine E-Mail erhalten und öffnen möchten.“
Alle Informationen rund um Phishing mittels der Google-Cloud-Plattform: https://blog.checkpoint.com/2020/07/21/how-scammers-are-hiding-their-phishing-trips-in-public-clouds/
Alle Berichte des Check Point Research Teams finden sich unter: https://research.checkpoint.com/
Google-Cloud-Statement vom 22.07.2020
Statement von Google Cloud: „…. wir haben Ihren Artikel Google-Cloud wird als Phishing-Werkzeug missbraucht gelesen und möchten Sie noch einmal auf das Zitat aus dem Original Research Report aufmerksam machen.
Google suspended this particular hacker project in January 2020 for phishing abuse, which subsequently suspended the URL as well as all URLs associated with that project since that time. Google investigates and suspends phishing pages when we become aware of them through Safe Browsing data feeds and other direct reports.
Es ist mittlerweile KEIN Issue Thema mehr.“