Google – Phishers Freund und Helfer ...

Automatische Weiterleitung auf eine Phishing-Seite – kein Problem, wenn es Google macht?

In Pocket speichern vorlesen Druckansicht 37 Kommentare lesen
Google -- des Spammers bester Freund
Lesezeit: 2 Min.

Google ist sehr schnell dabei, andere an den Pranger zu stellen, wenn sie es mit der Sicherheit nicht so genau nehmen. Selbst bekommen sie jedoch seit vielen Jahren ihre Redirect-Services nicht in den Griff. So landen immer wieder Mails in den Postfächern, deren Links auf www.google.de verweisen, beim Anklicken landet der Benutzer aber auf gut gemachten Phishing-Seiten.

Aktuelle Phishing-Kampagnen richten sich mal wieder gegen Amazon-Verkäufer. Es gibt reihenweise Mails mit Betreffs wie "Sie haben einen Kommentar und ein negatives Feedback erhalten" und einer Beschwerde wie "Was ist nun mit meinem Paket?". Wer dann mit der Maus über "Überprüfen Sie den Auftragsstatus" fährt, sieht eine URL mit "www.google.de". Der anschließende Klick landet auf einer gut gemachten Amazon-Anmeldeseite, deren URL mit "https://sellercentral.amazon" beginnt.

Wer ganz genau hinsieht, erkennt durchaus, dass es sich um eine Phishing-Seite handelt. Wer vielleicht gerade in Eile ist, aber trotzdem schnell den unzufriedenen Kunden betreuen möchte, übersieht vielleicht die verräterische Domain-Endung (in diesem Fall ".ind0162.theworkpc.com") und liefert seine Zugangsdaten dem Phisher frei Haus.

Wenn eine Seite wie hier die von Google einen automatischen Redirect ausführt und Dritte quasi beliebige, externe Seiten als Ziel vorgeben können, nennt man das einen Open Redirect; die OWASP führt das in ihrer Common Weakness Enumeration als CWE-601. Wer so etwas auf seinem Server duldet und auch nach mehrfachen Hinweisen nicht beseitigt, riskiert, dass er auf Schwarzen Listen zu sperrender Sites landet. Insbesondere, wenn dieser Open Redirect kontinuierlich genutzt wird, um Phishing zu betreiben. Im Zweifelsfall wäre Google mit seinem Safe Browsing-Projekt da ganz vorne mit dabei.

Doch für Google selbst gelten offenbar andere Regeln: Seit Jahren betreibt Google Open Redirects, seit Jahren wird das von Phishern missbraucht und seit Jahren wird das öffentlich angeprangert; zuletzt etwa auf heise Security im Januar Phishing: Gefährliche Google-Links. Auch wenn das also längst keine News mehr ist, werden wir fortfahren, das zu melden – zur Not monatlich.

(ju)