Phishing: Missbrauch der Google Cloud

Cyber-Kriminelle machen sich die Funktionen der Google Cloud zu Nutze, um Phishing-Kampagnen voranzutreiben und Konto-Daten zu erbeuten

[datensicherheit.de, 26.07.2020] Laut „Check Point Research“ machen sich Cyber-Kriminelle die Funktionen der Plattform „Google Cloud“ zu Nutze, um ihre Phishing-Kampagnen voranzutreiben und Konto-Daten zu erbeuten. Das Research-Team der Check Point® Software Technologies Ltd. hat demnach eine neue Phishing-Kampagne in Zusammenhang mit der „Google Cloud“ aufgedeckt. Cyber-Kriminelle missbrauchten den Namen und die Funktionen dieser Plattform, um an die Login-Daten der Nutzer zu gelangen.

Foto: Check Point Software Technologies GmbH

Lotem Finkelsteen: Hacker konzentrieren sich zunehmend auf Cloud-Storage-Dienste!

Angriff beginnt mit pdf-Dokument, welches auf Google Cloud-Speicherort Google Drive geladen wird

Der Angriff beginne mit einem pdf-Dokument, welches von den Betrügern auf den „Google Cloud“-Speicherort „Google Drive“ geladen werde. Diese PDF-Datei enthalte einen Link zu einer Phishing-Seite, welche sich als angeblicher Internet-Auftritt von „Office 365“ maskiere und mit einem gefälschten Login-Fenster aufwarte.
„Geben die Nutzer dort ihre Zugangsdaten ein, werden sie an den Server der Hacker geschickt. So weit, so das bekannte Vorgehen bei Phishing-Attacken. Das gefährliche hier jedoch: Da der Prozess über die ,Google Cloud‘-Plattform läuft, wird der Anwender nicht durch eindeutige Signale, wie das Fehlen der üblichen Webseiten-Zertifikate oder des grünen Vorhängeschlosses in der Adressleiste, gewarnt.“

Verschleierung mittels Google Cloud Functions

Außerdem werde der Nutzer, nach Eingabe seiner Anmelde-Daten tatsächlich zu einem Bericht einer renommierten Unternehmensberatung in Form eines pdf-Dokuments geleitet. Das täusche ihn also nach dem erfolgreichen Diebstahl seiner Informationen zusätzlich und wiege ihn in Sicherheit.
Um die böswilligen Absichten bei dieser Kampagne zu erkennen, müsste man einen Blick in den Quellcode der Phishing-Seite werfen. Dieser offenbare, „dass die meisten Inhalte von einer externen Adresse geladen werden – die wohl den Kriminellen gehört“. Diese setzten als Werkzeug jedoch „Google Cloud Functions“ ein – einen Dienst von Google zur Ausführung von Code in der „Google Cloud“. Die Verbrecher seien somit in der Lage, den eigentlichen Ursprung dieser externen und betrügerischen Inhalte zu verschleiern.

Nutzer der Google Cloud sollten zweimal über Dateien nachdenken, bevor sie diese öffnen

„Hacker konzentrieren sich zunehmend auf die Cloud-Storage-Dienste, denen wir vertrauen. Das macht es viel schwieriger, einen Phishing-Angriff zu erkennen. Herkömmliche ‚rote Flaggen‘ eines Phishing-Angriffs, wie ähnliche klingende Domäne-Namen oder Webseiten ohne erforderliche Zertifikate, helfen hier kaum“, warnt Lotem Finkelsteen, „Manager of Threat Intelligence“ bei Check Point Software Technologies.
Nutzer der „Google Cloud“-Plattform, sogar „AWS“- und „MS-Azure“-Nutzer, sollten sich vor diesem schnell wachsenden Trend in Acht nehmen und lernen, sich zu schützen. Finkelsteen: „Es beginnt bereits damit, dass die Anwender zweimal über die Dateien nachdenken sollten, die über eine E-Mail erhalten und öffnen möchten.“

Weitere Informationen zum Thema:

Check Point SOFTWARE TECHNOLOGIES LTD.
How scammers are hiding their phishing trips in public clouds

datensicherheit.de, 11.02.2020
Check Point: Facebook ist die Top-Adresse für Phishing-Versuche