Verstärkt Phishing-Angriffe mithilfe von Google Drive
Forscher haben einen deutlichen Anstieg der über Google Drive verübten Phishing-Angriffe festgestellt. Cyberkriminelle laden dazu mit bösartigen Links versehene PDFs auf Google Drive hoch und teilen diese mit den anvisierten Opfern. Die vom "vertrauenswürdigen Absender" Google (!) beim Teilen des Dokuments automatisch versandte E-Mail-Benachrichtigung kann den E-Mail-Schutz vieler Opfer austricksen.
Für den Januar 2025 haben Forscher der KnowBe4-Threat-Labs einen deutlichen Anstieg der über Google Drive verübten Phishing-Angriffe festgestellt. Cyberkriminelle laden dazu mit bösartigen Links versehene PDFs auf Google Drive hoch und teilen diese dann mit den von ihnen anvisierten Opfern. Die von Google beim Teilen des Dokuments automatisch versandte E-Mail-Benachrichtigung, das auf Drive ein Dokument zur Bearbeitung für sie bereit liegt, kann den E-Mail-Schutz vieler Opfer problemlos überwinden. Klicken diese dann auf einen der Links im PDF, werden sie auf eine seriös erscheinende Fake-Landing-Page weitergeleitet – tatsächlich handelt es sich aber um eine Phishing-Website, mit der die Angreifer dann die Anmeldedaten und das Geld ihrer Opfer zu erbeuten suchen.
Zunächst registrieren Angreifer hierzu eine Domain, erstellen sich dann über diese beim Google Workspace ein Nutzerkonto. Anschließend laden sie bei Google Drive eine PDF-Datei mit seriös aussehendem Inhalt – und versehen mit bösartigen Links – hoch, aktivieren die Share-Funktion und geben die E-Mail-Adressen der von ihnen ausgewählten Opfer ein. Google – nicht die Angreifer! – sendet dann den Opfern eine Benachrichtigung über die Dateifreigabe samt Einwahllink. Dadurch, dass die Benachrichtigungs-E-Mail von einer legitimen E-Mail-Adresse (Google) stammt, werden E-Mail-Sicherheitsmaßnahmen der Opfer, wie die signatur- und reputationsbasierte Erkennung in Microsoft 365 oder Secure-E-Mail-Gateways (SEGs), in aller Regel ausgetrickst. Und da viele Anwender einer Google-Mail in aller Regel Vertrauen schenken, öffnen etliche das PDF und klicken auf einen der bösartigen Links.
Um ihre Erfolgsaussichten hier weiter zu erhöhen, setzen viele Angreifer zudem auf Social-Engineering-Techniken, täuschen Wichtigkeit und Dringlichkeit vor. Meist bringen sie hierzu Themen wie Sicherheitsanforderungen, die Verlängerung, Entsperrung oder Bestätigung eines Nutzerkontos oder die Aktualisierung oder Bestätigung von Rechnungsdaten zur Sprache – sowohl im Betreff der Google-Mail als auch im PDF selbst.
Wenn ihre Opfer dann auf einen der im PDF eingebetteten Links klicken, werden diese auf eine seriös erscheinende Fake-Landing-Page weitergeleitet und dort in aller Regel aufgefordert, Anmeldedaten einzugeben, um das vermeintliche Dokument ansehen zu können. In einer anderen Kampagne wurden die Opfer sogar zu Fake-Finanzportalen weitergeleitet, auf denen sie zur Überweisung von Geld aufgefordert wurden.
Dass Angreifer zunehmend auf legitime Domains setzen, um SEGs auszutricksen, hat das Threat-Labs-Team von KnowBe4 schon vor geraumer Zeit festgestellt. Der aktuelle KnowBe4-Bericht über Phishing-Bedrohungstrends (zum Download Registrierung erforderlich) zeigt hier jedoch einen rasanten Anstieg um sage und schreibe 67,4 %. Plattformen wie DocuSign, PayPal, Microsoft, Google Drive und Salesforce haben sich unter Cyberkriminellen mittlerweile zu beliebten Ausgangsbasen für Phishing-Angriffe entwickelt.
Die Recherchen des KnowBe4-Threat-Labs zeigen, dass Unternehmen intelligenten Anti-Phishing-Verfahren beim Ausbau ihrer Cybersicherheit mehr Bedeutung beimessen sollten: Moderne Lösungen kombinieren hierzu KI mit Crowdsourcing, um so selbst neueste Zero Day-Bedrohungen frühzeitig aufspüren und idealerweise rechtzeitig abzuwehren zu können. Dabei sollten alle Elemente einer E-Mail ganzheitlich analysiert werden – einschließlich der Domäne des Absenders, des Inhalts sowie Social-Engineering-Taktiken.
Das allein reicht aber auch noch nicht: Um Phishing wirklich wirksam zu bekämpfen, müssen Unternehmen neben fortschrittlicher Technologie auch fortschrittliche Schulungen und Trainings zum Einsatz bringen. Sie müssen ihren Mitarbeitern helfen, die subtilen Anzeichen von Phishing rechtzeitig zu erkennen. Moderne Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – und kontinuierlich – zum Einsatz bringen. Mit solchen und ähnlichen Lösungen ist es Unternehmen möglich, ihre Mitarbeiter zu ihrer besten Verteidigung gegen Cyber-Bedrohungen zu machen und ihre Human Risks zurückzufahren.