ENS-Gründer warnt vor ausgefeiltem Google-Phishing-Angriff mit gefälschten Gerichtsbeschlüssen

Nick Johnson, Gründer und leitender Entwickler des Ethereum Name Service (ENS), hat auf X (ehemals Twitter) vor einem hochentwickelten Phishing-Angriff gewarnt, der Googles Infrastruktur missbraucht, um Nutzer zur Preisgabe ihrer Anmeldedaten zu bringen. Wie „Cryptonews“ am 17. April berichtete, werden im Rahmen des Angriffs gefälschte Benachrichtigungen über Googles Systeme verschickt, die die Empfänger darüber informieren, dass ihre Google-Daten aufgrund eines Gerichtsbeschlusses an Strafverfolgungsbehörden übergeben werden. In seinem Beitrag vom 16. April betonte Johnson, dass die E-Mail die DKIM-Signaturprüfung besteht und von Gmail ohne Warnungen angezeigt wird – sogar im selben Thread wie legitime Sicherheitsbenachrichtigungen.

Der gefälschte Gerichtsbeschluss scheint von einer Google-No-Reply-Domain zu stammen. Die Opfer werden aufgefordert, die angeblichen Fallmaterialien einzusehen oder über einen Link Widerspruch einzulegen, der zu einer gefälschten Support-Seite auf Google Sites führt. Johnson vermutet, dass die Angreifer auf dieser Seite die Anmeldedaten der Nutzer abfangen, um deren Konten zu kompromittieren. Obwohl die Google-Domain den Eindruck von Legitimität erweckt, gibt es laut Johnson verräterische Hinweise auf den Betrug, wie beispielsweise die Weiterleitung der E-Mail durch eine private E-Mail-Adresse.

EasyDMARC erklärte in einem Bericht vom 11. April, wie der Phishing-Angriff durch den Missbrauch von Google Sites funktioniert. Jeder mit einem Google-Konto kann eine legitim aussehende Website erstellen, die unter einer vertrauenswürdigen Google-Subdomain gehostet wird. Die Betrüger nutzen auch die Google OAuth-App aus, wobei der Trick darin besteht, dass im Feld "App-Name" beliebiger Text eingegeben werden kann. Zusätzlich wird eine Domain über Namecheap verwendet, wodurch die No-Reply@google.com-Adresse als Absenderadresse verwendet werden kann, während die Antwortadresse beliebig sein kann. Da DKIM nur die Nachricht und ihre Header, nicht aber den Umschlag verifiziert, besteht die Nachricht die Signaturprüfung und erscheint im Posteingang des Nutzers als legitim – sogar im selben Thread wie echte Sicherheitswarnungen.

Ein Google-Sprecher bestätigte gegenüber Cointelegraph, dass das Unternehmen das Problem kennt und Maßnahmen ergreift, um die von den Angreifern genutzte Möglichkeit, „beliebig langen Text“ einzufügen, zu deaktivieren. Diese Schutzmaßnahmen sollen bald vollständig implementiert sein und diese Art von Angriff unterbinden. In der Zwischenzeit empfiehlt Google den Nutzern, die Zwei-Faktor-Authentifizierung und Passkeys zu verwenden, die einen starken Schutz gegen solche Phishing-Kampagnen bieten. Der Sprecher fügte hinzu, dass Google niemals nach privaten Kontodaten wie Passwörtern, Einmalpasswörtern oder Push-Benachrichtigungen fragen oder Nutzer anrufen werde.

Quellen:

• Cryptonews: https://cryptonews.net/news/security/30825653/
• Cointelegraph: https://cointelegraph.com/news/latest-crypto-phishing-scam-fake-subpoena-alert-from-google
• EasyDMARC: https://easydmarc.com/blog/google-spoofed-via-dkim-replay-attack-a-technical-breakdown/
• Mitrade: https://www.mitrade.com/insights/news/live-news/article-3-765078-20250417
• The University of Sydney, Australharmony: https://www.sydney.edu.au/paradisec/australharmony/register-B-2.php
• OpenSea: https://opensea.io/de-DE/assets/matic/0x2953399124f0cbb46d2cbacd8a89cf0599974963/110537280207795639727537686395696389733942330535863101231254079510434619064332
• Cryptopolitan: https://cryptonews.net/news/security/30825653/