Phishing-Angriffe mit Googles Looker Studio
IT-Forscher haben hunderte Phishing-Angriffe beobachtet, die mit Googles Looker Studio ausgeführt werden.
(Bild: wk1003mike/Shutterstock.com)
IT-Forscher von Checkpoint haben in den vergangenen Wochen hunderte Phishing-Angriffe beobachtet, die die Täter mit Googles Looker Studio ausgeführt haben. Das relativ wenig bekannte Tool dient der Datenvisualisierung und ähnelt Googles Analytics. Es erstellt etwa aus Tabellen und Präsentationen Graphen und Charts. Damit erstellen die Cyberkriminellen gefälschte Webseiten rund um Krypto-Währungen.
In ihrer Analyse schreiben die Checkpoint-Forscher, dass sie die Phishing-Variante der Masche Business E-Mail Compromise (BEC) zuordnen, also Geschäfts-Mail-Betrug. Dabei versuchen die Angreifer etwa, Mitarbeiter davon zu überzeugen, dass sie mit dem Geschäftsführer reden würden und in dessen vermeintlichen Auftrag einen meist sehr hohen Geldbetrag auf ein in der Regel ausländisches Konto zu überweisen.
Gefälschte Krypto-Seiten zum Stehlen von Geld und Zugangsdaten
Die Betrugsmasche startet demnach mit einer E-Mail, die direkt von Google stammt, genauer, von Google Looker Studio. Die Cyberkriminellen erstellen einen Bericht damit und die E-Mail enthält einen Link darauf. Im Mail-Text behaupten die Angreifer, dass das Befolgen der vorgeschlagenen Investment-Strategien eine schöne Verzinsung beschere. Die Empfänger müssten zum Zugriff auf das Konto lediglich dem Link folgen.
Der Link führt auf eine legitime Google Looker-Seite. Dort startet eine Slideshow, die behauptet, Betrachter können mehr Bitcoins beanspruchen. Der Link führt auf eine Log-in-Seite, die Zugangsdaten abgreift.
(Bild: Checkpoint-Blog)
Davor erscheint jedoch noch ein weiterer Dialog, der Druck mit einem Countdown aufbaut, der nur wenige Stunden Restlaufzeit des vermeintlichen Angebots anzeigt. Um also das Konto und den Zugang dazu zu retten, sei eine unmittelbare Anmeldung nötig. Der Link führt dann weg von Googles Looker Studio und zeigt eine gefälschte Log-in-Seite von Krypto-Währungsdiensten.
Die Angreifer nutzen also aus, dass Google sowohl bei E-Mail-Diensten als auch bei Internetnutzern ein hohes Vertrauen genießt. Etwa eine SPF-Prüfung (Sender Policy Framework) kann nicht eingreifen, da die Mail von Googles korrekt eingetragenen Servern stammt. Auch eine DKIM-Prüfung, die bestätigt, dass der Inhalt einer Mail beim Transport nicht verändert wurde und die Mail von dem Server stammt, den sie in den Headern behauptet, bestehen diese Betrugsmails dank Google-Ursprung. Das gilt auch für weitere Sicherungsmaßnahmen wie DMARC-Prüfungen.
Die Phishing-Angriffe nutzen im konkreten Fall Google Looker Studio, aber auch die anderen Google-Dienste wie etwa Google Docs. Checkpoints Analytiker arbeiten dem Unternehmen zufolge mit Google daran, wie sich dieser Missbrauch unterbinden lässt.
(dmk)