Attack Lab: Phishing-Betrug mit Google Drive

Eine neue Phishing-Methode Arglose Opfer hereinlegen, damit sie wichtige Informationen zu sich selbst und zu ihren Konten offenlegen – Betrug durch Phishing ist so alt wie das Internet selbst. Phishing...
Nathan Coppinger
4 minute gelesen
Letzte aktualisierung 13. Oktober 2023

Eine neue Phishing-Methode

Arglose Opfer hereinlegen, damit sie wichtige Informationen zu sich selbst und zu ihren Konten offenlegen – Betrug durch Phishing ist so alt wie das Internet selbst. Phishing ist derart geläufig, dass E-Mail-Anbieter wie Gmail es auf sich genommen haben, ihre Benutzer zu schützen, indem sie solche verdächtigen E-Mails in Spam-Ordner herausfiltern. In den letzten Jahren sind sie auch relativ gut darin geworden. Dieses erhöhte Sicherheitsniveau zwingt Angreifer zu immer kreativeren Maßnahmen, um arglosen Opfern schädliche Links zu servieren. Und tatsächlich: viel kreativer als bei dieser neuen Form des Phishings geht es nicht. Den Betrügern ist aufgefallen, dass die Spam-Filter von Google Mail ziemlich gut darin sind, herkömmliche Phishing-E-Mails abzufangen, und dass sie ihre schädlichen Nachrichten nur selten vor die Augen ihres Ziels kriegen. Um diese Filter zu umgehen, haben besonders raffinierte Kriminelle begonnen, Dokumente über Google Drive direkt in den Drive des Opfers zu schicken. Diese Dokumente enthalten eine Notiz und einen Link. Das Opfer wird aufgefordert, den enthaltenen Link anzuklicken, um sich anzumelden und an einem Projekt mitzuarbeiten oder offizielle Formulare für die Personalabteilung auszufüllen.

Entdecken Sie Ihre Schwachstellen und stärken Sie Ihre Resilienz: Führen Sie einen kostenlosen Ransomware-Bereitschaftstest durch

Derzeit verfügt Google Drive nicht über die gleichen Spamfilter-Funktionen wie Gmail und bietet somit nicht die Möglichkeit, diese Dokumente von legitimen Dokumenten zu unterscheiden, die von vertrauenswürdigen Quellen gesendet werden. Zum Ziel solcher Angriffe werden dabei sowohl Einzelpersonen als auch Unternehmen. Wired berichtet von Fällen, in denen ein einzelnes Dokument aus einer russischen Quelle mehrfach kopiert und bearbeitet wurde, um mit jeder neuen Version weitere Opfer zu ködern.

Genau wie bei gewöhnlichen Phishing-Angriffen erstellen Hacker eine gefälschte E-Mail, in der sie sich als Mitarbeiter oder als Abteilungsvertreter des Unternehmens ausgeben, bei dem das Opfer arbeitet. Anstatt aber gewöhnliche E-Mails zu verschicken, die im Spamfilter landen, erstellen und teilen sie täuschende Dokumente mit ihrer Phishing-Nachricht in Google Docs. Bei weniger ausgefeilten Betrugsversuchen oder Betrügern, die es auf gewöhnliche Personen abgesehen haben, werden einfach Formulare von einem beliebigen, normalen Gmail-Konto aus versendet. Dabei werden die Benutzer in Nachrichten aufgefordert, an Umfragen teilzunehmen, um Preise zu gewinnen, oder andere ähnliche Behauptungen.

Gehen wir phishen

In dieser Anleitung geben wir uns als Yaki Faitelson, CEO von Varonis, aus. Wir wollen einen ahnungslosen Varonis-Mitarbeiter darum bitten, sich bei seinem Mitarbeiterkonto anzumelden, damit wir ihm bei einem wichtigen Projekt helfen können.

Bei der Freigabe dieser gefälschten Dokumente schaltet der Betrüger in der Regel die E-Mail-Freigabefunktion aus, und gibt sie nur direkt über Google Drive frei, um seine echte E-Mail-Adresse und Domain zu verbergen. Wenn das Dokument per E-Mail freigegeben wird, erscheint die offensichtlich gefälschte E-Mail-Adresse in der Nachricht und der Schwindel fliegt auf. Gmail fängt solche Benachrichtigungen auch durch seinen Spamfilter ab, so dass die Zielperson sie nicht einmal in ihrem Postfach sehen wird, wenn die Benachrichtigungen aktiviert bleiben.

Da die Betrüger die E-Mail-Freigabe deaktivieren, werden sie ihre Angel für eine Weile im Wasser lassen müssen, da sie darauf setzen, dass die Nutzer beim nächsten Besuch in ihrem Google Drive darauf stoßen. In unserem Beispiel können Sie erkennen, dass das betrügerische Dokument direkt unter „Mein Drive“ des arglosen Opfers erscheint und nur den Namen des Absenders anzeigt. Die gefälschte E-Mail-Adresse ist nicht zu sehen.

Sobald die Benutzerin oder der Benutzer das freigegebene Dokument öffnet, wird ihr oder ihm ein großer, verlockender, blauer Link präsentiert. Er behauptet, dass man durch Klick darauf zu einem wichtigen Dokument von Yaki selbst gelangt, man wird jedoch stattdessen zu einer externen Seite oder einem externen Dokument geführt.

In diesem Beispiel leitet „Yakis“ Link Benutzer, die darauf klicken, auf eine sehr überzeugende gefälschte Varonis-Landingpage, auf der man seine Anmeldedaten eingeben muss, um Zugriff auf das freigegebene Dokument zu erhalten. In echten Fällen dieser Masche führen die in diesen Formularen enthaltenen Links die Benutzer zu einer Reihe von verschiedenen Orten – je nachdem, welches Ziel die Betrüger verfolgen. Benutzer könnten eine ähnlich gut gefälschte Landingpage sehen, auf der sie nach Anmeldedaten für einen bekannten Dienst gefragt werden. Andere Benutzer können zu einem Google-Formular weitergeleitet werden, in dem sie eine Umfrage ausfüllen sollen. So wird versucht, sie dazu zu bringen, sensible Details preiszugeben, beispielsweise Antworten auf gängige Sicherheitsfragen.

Sobald der Benutzer auf „Anmelden“ klickt, speichern die Angreifer seine Anmeldedaten, und die Schaltfläche bringt ihn wieder auf die Varonis-Homepage (oder auf eine andere Seite, die der Hacker mit der Login-Schaltfläche verknüpft hat). Jetzt wurde das Konto unseres Opfers kompromittiert, und es versteht nicht, warum es nicht zu dem wichtigen Dokument weitergeleitet wurde, bei dessen Bearbeitung Yaki Hilfe brauchte.

Vorsicht ist besser als Nachsicht

Zurzeit ist es oft schwierig, sich gegen solche Betrugsmaschen zu wehren. Google tut sein Bestes, um die Situation zu bekämpfen, aber der Anbieter hat es noch nicht geschafft, einen Spam-Filter in Google Drive zu implementieren. Solche Dokumente können also nicht abgefangen werden, und so ist es die Aufgabe der betroffenen Personen und Unternehmen.  Wie bei allen Phishing-Maschen – ob herkömmlich oder neuartig – ist Aufklärung die wichtigste Verteidigung. Ihre Mitarbeiter über die Anzeichen von Phishing-Betrugsmaschen per Google Drive aufzuklären ist für den Schutz der Nutzer und ihrer sensiblen Daten unerlässlich. Benutzer sollten Bescheid wissen, dass sie keine verdächtigen Links anklicken oder persönliche Informationen eingeben sollten, falls diese nicht aus den offiziellen Kommunikationskanälen Ihres Unternehmens kommen.

Unternehmen können auch aktiv gegen diese Betrüger vorgehen, indem sie strengere Kontrollen darüber einrichten, welche Arten von externen Anbietern und Benutzern E-Mails an interne Benutzer versenden und Dokumente sie freigeben können. Wenn Sie die Liste der externen Anbieter auf vertrauenswürdige Anbieter beschränken, können Sie verhindern, dass solche schädlichen Dokumente in den Drive-Ordnern der Benutzer auftauchen. Sicherheitsteams können auch Whitelists einrichten, damit nur bestimmte externe Kontakte Nachrichten an Benutzer in Ihrem Netzwerk senden können. Die Einrichtung einer umfassenden Whitelist ist jedoch oftmals mühselig und schwierig aufrechtzuerhalten. Whitelists können sich nachteilig auf Ihr Unternehmen auswirken. Wenn etwa externe Anbieter, die nicht auf Ihrer Liste stehen, versuchen, Sie zu kontaktieren, werden diese dadurch herausgefiltert.

Diese Schritte zum Schutz Ihres Unternehmens sind von zentraler Bedeutung für Ihre Sicherheit, aber auch sie haben ihre Grenzen. Die Implementierung von Bedrohungserkennungs- und Reaktionssoftware von Drittanbietern zum Schutz vor Bedrohungen und zur Überwachung der Google-Drive-Konten ihrer Nutzer ist ein äußerst effektiver Schritt gegen Phishing-Betrug. Lösungen wie Polyrize und Varonis können bei verdächtigen Aktivitäten, sowohl lokal als auch in der Cloud, Alarm schlagen, verdächtige freigegebene Dokumente und E-Mail-Adressen markieren und Sicherheitsteams benachrichtigen, um Maßnahmen zu ergreifen, wenn Daten kompromittiert wurden. Angenommen, ein Benutzer fällt unglücklicherweise auf eine solche Masche herein und gibt seine Anmeldedaten oder sensible Informationen ein. In diesem Fall kann Varonis das Netzwerk auf ungewöhnliche Aktivitäten hin überwachen und jedes ungewöhnliche Verhalten automatisch markieren. Ebenso kann es Benutzer-Sitzungen beenden und Passwörter ändern, um potenziellen Schaden durch einen Angriff zu verhindern.

 

 

 

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

was-ist-ein-whaling-angriff?
Was ist ein Whaling-Angriff?
Bei einem Whaling-Angriff handelt es sich im Grunde genommen um einen Spear-Phishing-Angriff, allerdings mit einem größeren Ziel – daher der Verweis auf den Wal. Während das Ziel eines Spear-Phishing-Angriffs jede...
diebstahl-geistigen-eigentums,-teil-3:-behalten-sie-ihren-ceo-im-auge
Diebstahl geistigen Eigentums, Teil 3: Behalten Sie Ihren CEO im Auge
Hacker setzen bei breit angelegten Angriffen häufig auf Phishing-Methoden, um den ganz normalen Angestellten eines Unternehmens dazu zu bringen, seine Zugangsdaten preis zu geben. Die potenzielle Folge: Kundendaten werden in...
das-vollständige-handbuch-zu-phishing-angriffen
Das vollständige Handbuch zu Phishing-Angriffen
Das vollständige Handbuch zu Phishing-Angriffe Phishing-Angriffe plagen Einzelpersonen und Unternehmen gleichermaßen seit der Erfindung des Internets. In letzter Zeit sind diese Angriffe jedoch zunehmend raffinierter und schwieriger zu erkennen. Phishing-Angriffe...
(ddos)-–-was-ist-ein-distributed-denial-of-service-angriff?
(DDoS) – Was ist ein Distributed Denial of Service Angriff?
Als Distributed Denial of Service (DDoS)-Angriff wird der Versuch bezeichnet, einen Webserver oder ein Online-System durch Überlastung mit Daten zum Absturz zu bringen. DDoS-Angriffe können böswillige Streiche, Racheakte oder politische...