Aufgepasst: Googles AMP wird zur Tarnung von Phishing-Angriffen missbraucht
Russische Hacker benutzen Googles AMP-Dienst, um böse URLs als Google-Dienste zu tarnen. Es ist nur eine Frage der Zeit, bis das Schule macht.
Phishing goes up to eleven.
(Bild: Akira Ohgaki, CC BY 2.0)
- Fabian A. Scherschel
Cyberkriminelle versuchen immer wieder, ihre Opfer dazu zu bewegen, von sich aus sensible Informationen preiszugeben. Das funktioniert oft so, dass sie Seiten bauen, die wie legitime Webdienste aussehen und dann die URL dieser Seiten tarnen. Forscher des Citizen Lab der Universität Toronto haben jetzt eine gezielte Phishing-Kampagne offen gelegt, in der die Angreifer eine Kombination aus einem Short-URL-Dienst und Googles Mobilbeschleuniger AMP genutzt haben, um das zu erreichen.
Die Phisher versendeten eine perfekt gefälschte Passwort-Reset-Nachricht für ein Google-Konto. Der Knopf zum Zurücksetzen des Passworts zeigte allerdings auf ihren Server anstatt auf den von Google. Um das zu vertuschen jagten sie die URL ihres Servers durch einen Linkverkürzer (in diesem Fall Tiny.cc) und übergaben diese URL dann an Googles AMP-Dienst. Herauskam eine URL nach dem Muster https://www.google.com/amp/tiny.cc/evilstuff – auf den ersten Blick sieht es so aus, als führte der Link zu Google.
Das Citizen Lab vermutet, dass es sich bei den Phishern um eine Einheit des russischen Militär-Geheimdienstes GRU handelt. Bei dem Angriff wurde unter anderem ein US-Journalist gezielt angegriffen, der für kritische Berichterstattung aus Russland ausgewiesen worden war. Jetzt, wo die Methode für Aufsehen in der Öffentlichkeit gesorgt hat, wird es erfahrungsgemäß nicht lange dauern, bevor auch gewöhnliche Cyberkriminelle diese Methode einsetzen. Google hatte in der Vergangenheit bezweifelt, dass ihre Redirect-Dienste eine Gefahr darstellen, wenn sie überwacht werden. Bei AMP scheint das nicht besonders gut funktioniert zu haben. (fab)
