Tanium
Phishing im Google-Look
Cyberkriminelle nutzen derzeit gezielt legitime Google-Dienste für raffinierte Phishing-Attacken. Selbst erfahrene Sicherheitssysteme und Nutzer:innen werden durch täuschend echte Mails in die Falle gelockt. Tanium warnt: Mehrstufige Abwehr und Awareness sind wichtiger denn je.
„Bei diesen Angriffen werden legitim wirkende Google-Funktionen genutzt, um manipulierte E-Mails zu versenden, die einige herkömmliche Überprüfungen umgehen.“ Melissa Bischoping, Head of Security Research bei Tanium
© Tanium
Viele Nutzer:innen verlassen sich auf große Plattformen wie Google, wenn es um Sicherheit und Vertrauenswürdigkeit geht. Doch genau dieses Vertrauen machen sich Cyberkriminelle zunehmend zunutze. Eine neue Methode macht aktuell dem Weltkonzern Google zu schaffen: täuschend echte E-Mails, die angeblich von no-reply@google.com stammen und eine offizielle Vorladung oder dringende Benachrichtigung vortäuschen. Was auf den ersten Blick legitim wirkt, entpuppt sich bei genauerem Hinsehen als raffinierte Phishing-Falle. Melissa Bischoping, Head of Security Research bei Tanium, erklärt die Situation folgendermaßen: „Bei diesen Angriffen werden legitim wirkende Google-Funktionen genutzt, um manipulierte E-Mails zu versenden, die einige herkömmliche Überprüfungen umgehen. Außerdem werden Google Sites verwendet, um gefälschte Seiten zu hosten und Anmeldedaten zu sammeln. Die E-Mails nutzen eine OAuth-Anwendung in Kombination mit einer kreativen DKIM-Umgehungslösung, um genau die Sicherheitsvorkehrungen auszuschalten, die vor dieser Art von Phishing-Versuchen schützen sollen. Was diese Taktik besonders gefährlich macht, ist nicht nur die technische Raffinesse, sondern auch die gezielte Nutzung vertrauenswürdiger Dienste, um sowohl Nutzer als auch Erkennungswerkzeuge zu umgehen“, erklärt Melissa Bischoping, Head of Security Research bei Tanium.
Viele Schichten helfen.
Wie können Unternehmen also in Zukunft damit umgehen? Mehrschichtige Abwehrmaßnahmen und die Schulung der Benutzer:innen sollten immer priorisiert werden. Schulungen zur Sensibilisierung sollten mit der Bedrohungslage Schritt halten und sowohl neue als auch weiterhin wirksame Techniken behandeln. Gleichzeitig sind technische Schutzmaßnahmen wie Link-Sandboxing und die Erkennung von Anomalien in heruntergeladenen Inhalten zur Suche nach Ausreißern und potenziellen Indikatoren für die frühzeitige Erkennung und Vertiefung der Verteidigungsebenen von entscheidender Bedeutung. Wie immer ist eine robuste Multi-Faktor-Authentifizierung unerlässlich, da der Diebstahl und Missbrauch von Anmeldedaten auch weiterhin ein attraktives Ziel bleiben wird.