Gefälschte Warnhinweise zur Google-G-Suite

Cyberkriminelle zielen auf IT-Administratoren mit gefälschten Benachrichtigungen von Google über angebliche Angriffe „staatlicher Akteure“ auf die Konten einzelner Nutzer der G-Suite ab. Sie wollen in Organisationen eindringen, indem sie deren G-Suite-Konten kompromittieren. Das Problem ist, dass diese Meldungen eher selten vorkommen. Google berichtete Anfang dieses Jahres, dass es im Laufe von 2019 fast 40.000 solcher Warnungen versendet hatte. Während Microsoft mit Office-365 und dem Outlook-E-Mail-Client in der Geschäftswelt nach wie vor führend ist, hat die G-Suite bereits sechs Millionen zahlende Kunden im April 2020 und wird dadurch für Cyberkriminelle immer interessanter.

An dem folgenden Beispiel zeigt sich, wie mögliche Angreifer diese Warnmeldungen einsetzen, um ihre Phishing-Kampagnen auszuführen.

Beispiel einer aktuellen G-Suite Alarmmeldung (Quelle: KnowBe4 2020)

Die visuelle Gestaltung und die Verwendung von Farben und Logos ahmen eine typische Sicherheitsmeldung von Google überzeugend nach. Der wichtigste Qualitätsaspekt dieser bösartigen E-Mail ist jedoch ihre Zurückhaltung und die einfache, unkomplizierte Direktheit.

Die gefälschte Warnung ist selbst angemessen kurz und direkt – wie Google-Benachrichtigungen in der Regel sind – und bietet spezifische Informationen, die sorgfältig qualifiziert sind und schließt mit einem Link, der Informationen und Anleitungen zum Umgang mit der Bedrohung bietet – genau das, was sich G-Suite-Administratoren in dieser Situation am meisten wünschen würden.

Schon allein diese Merkmale unterscheiden die E-Mail von den meisten anderen auf Furcht basierenden Social-Engineering-Schemata, die typischerweise von Cyberkriminellen eingesetzt werden, um Klicks zu motivieren. Der Link, welcher Admins mehr Informationen und Ratschläge bietet, führt unwissentliche Klicks zu einer Phishing-Webseite, die auf einer gefälschten, anonym registrierten, Gmail-ähnlichen Domain gehostet wird.

Wie die ursprüngliche E-Mail selbst, wird auch diese gefälschte Anmeldeseite ohne Fehlermeldung ausgeführt. Die Ironie liegt natürlich darin, dass IT-Administratoren, die auf den Trick hereinfallen, böswilligen Akteuren tatsächlich dabei helfen, ihre eigenen Google-Konten zu kompromittieren. Man könnte sogar argumentieren, dass die ursprüngliche E-Mail nicht völlig falsch ist. Es gibt tatsächlich Cyberkriminelle (staatlich oder nicht staatlich), die versuchen, das G-Suite-Konto eines Mitarbeiters zu kompromittieren. In der E-Mail wird einfach versäumt zu erwähnen, dass diese Gruppierungen genau diese E-Mail dazu verwenden.

Cyberkriminelle haben Probleme damit die richtige Person innerhalb bestimmter Organisationen herauszufinden, die sie mit dieser Art von bösartigen E-Mails ins Visier nehmen sollen. Mitglieder der IT-Abteilung einer anvisierten Organisation wären natürlich die offensichtlichen „Empfänger“ für diesen Phishing-Angriff. Selbst wenn diese bösartigen E-Mails nicht den richtigen Empfänger treffen und in den Posteingangsfächern anderer Mitarbeiter landen, können sie dennoch ihr Ziel finden. Denn besorgte Benutzer leiten die E-Mails an die IT-Abteilung oder den richtigen Administrator weiter, der für die Verwaltung des G-Suite-Kontos der Organisation verantwortlich ist.

Fazit

Eric Howes, leitender Sicherheitsforscher bei KnowBe4

Nicht zuletzt sollte diese Art von aufmerksamkeitsstarker Phishing-Kampagne als Erinnerung daran dienen, dass niemand vor Phishing-Angriffen sicher ist – nicht einmal die Leute, deren Aufgabe es ist, die Organisation vor Angriffen wie diesen zu schützen. Aus diesem Grund muss unbedingt sichergestellt werden, dass alle Benutzer und Mitarbeiter durch ein New-School-Security-Awareness-Training geschult und regelmäßig mit hochwertigen simulierten Phishing-E-Mails getestet werden.

Von Eric Howes, Principal Lab Researcher bei Knowbe4