| Google Phishing Angriffe werden immer raffinierter. Melissa Bischoping von Tanium gibt Tipps, wie man sich vor dieser Bedrohung schützen kann. | Google phishing attacks are becoming more sophisticated. Tanium’s Melissa Bischoping shares tips on how to protect yourself from this threat. |
| In der heutigen digitalen Welt verlassen sich viele Nutzer auf große Plattformen wie Google, wenn es um Sicherheit und Vertrauenswürdigkeit geht. Doch genau dieses Vertrauen machen sich Cyberkriminelle zunehmend zunutze. Eine neue Methode macht derzeit dem Weltkonzern Google zu schaffen: Täuschend echte E-Mails, die angeblich von no-reply@google.com stammen und eine offizielle Vorladung oder dringende Benachrichtigung vortäuschen. Was auf den ersten Blick legitim erscheint, entpuppt sich bei genauerem Hinsehen als raffinierte Phishing-Falle – mit schwerwiegenden Folgen für die Nutzer.
Melissa Bischoping, Head of Security Research bei Tanium, erklärt die Situation so: “Bei diesen Angriffen werden legitim aussehende Google-Funktionen genutzt, um manipulierte E-Mails zu versenden, die einige herkömmliche Überprüfungen umgehen. Außerdem wird Google Sites verwendet, um gefälschte Seiten zu hosten und Login-Daten zu sammeln. Die E-Mails nutzen eine OAuth-Anwendung in Kombination mit einer kreativen DKIM-Umgehung, um genau die Sicherheitsmaßnahmen zu umgehen, die vor dieser Art von Phishing-Versuchen schützen sollen. Was diese Taktik besonders gefährlich macht, ist nicht nur die technische Raffinesse, sondern auch die gezielte Nutzung vertrauenswürdiger Dienste, um sowohl Nutzer als auch Erkennungswerkzeuge zu umgehen. Einige Komponenten dieses Angriffs sind zwar neu – und mittlerweile von Google behoben -, doch Angriffe, die vertrauenswürdige Unternehmensdienste ausnutzen, sind keine Einzelfälle. Immer mehr Angreifer entscheiden sich bewusst dafür, Dienste zu nutzen, die legitime Anwendungsfälle in Unternehmen haben. Dies unterstreicht den Trend, dass Angreifer mit zunehmender Leistungsfähigkeit der Erkennungstools nach Möglichkeiten suchen, diese vollständig zu umgehen, anstatt sie mit teuren Exploits zu überlisten. Sie konzentrieren sich auf die Tools, Websites und Funktionen, die Unternehmen in ihrer täglichen Arbeit verwenden. Indem sie sich in den normalen Datenverkehr einfügen und davon ausgehen, dass ein typischer Empfänger eine vertrauenswürdige Domain wie „google.com“ nicht genauer unter die Lupe nimmt, erzielen Angreifer eine hohe Erfolgsquote, ohne nennenswerte Investitionen in neue TTPs tätigen zu müssen. Wie können Unternehmen also in Zukunft damit umgehen? Mehrschichtige Abwehrmaßnahmen und die Schulung der Benutzer sollten immer priorisiert werden. Schulungen zur Sensibilisierung sollten mit der Bedrohungslage Schritt halten und sowohl neue als auch weiterhin wirksame Techniken behandeln. Gleichzeitig sind technische Schutzmaßnahmen wie Link-Sandboxing und die Erkennung von Anomalien in heruntergeladenen Inhalten zur Suche nach Ausreißern und potenziellen Indikatoren für die frühzeitige Erkennung und Vertiefung der Verteidigungsebenen von entscheidender Bedeutung. Wie immer ist eine robuste Multi-Faktor-Authentifizierung unerlässlich, da der Diebstahl und Missbrauch von Anmeldedaten auch weiterhin ein attraktives Ziel bleiben wird.” |
In today’s digital world, many users rely on large platforms like Google for security and trustworthiness. But this trust is increasingly being exploited by cyber criminals. A new method is currently causing problems for the global company Google: Deceptively genuine emails purporting to come from no-reply@google.com and claiming to be an official summons or urgent notification. What looks legitimate at first glance turns out to be a sophisticated phishing trap – with serious consequences for users.
Melissa Bischoping, director of security research at Tanium, explains the situation: „These attacks use legitimate-looking Google features to send spoofed emails that bypass some traditional checks. It also uses Google Sites to host fake pages and collect credentials. The emails use an OAuth application in combination with a creative DKIM evasion to bypass the very security measures designed to protect against this type of phishing attempt. hat makes this tactic particularly dangerous is not only the technical sophistication, but also the targeted use of trusted services to evade both users and detection tools. While some components of this attack are new – and have since been fixed by Google – attacks that exploit trusted enterprise services are not unique. More and more, attackers are deliberately choosing to use services that have legitimate enterprise use cases. This underscores the trend that as detection tools become more powerful, attackers are looking for ways to bypass them altogether, rather than using expensive exploits to outsmart them. They are focusing on the tools, websites, and features that organizations use in their day-to-day operations. By blending in with normal traffic and assuming that a typical recipient won’t check a trusted domain like „google.com,“ attackers achieve a high success rate without having to invest significantly in new TTPs. So how can organizations deal with this in the future? Layered defenses and user education should always be a priority. Awareness training should keep pace with the threat landscape and cover both new and existing techniques. At the same time, technical safeguards such as link sandboxing and anomaly detection in downloaded content to look for outliers and potential indicators are critical for early detection and deepening layers of defense. As always, robust multi-factor authentication is essential as credential theft and misuse will continue to be an attractive target.“ |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de