Eine raffinierte Phishing-Kampagne nutzte eine OAuth-Schwachstelle bei Google aus, um gefälschte Google Alerts mit vermeintlichen Vorladungen zu versenden. Die Angreifer erstellten gefälschte Anmeldeseiten auf sites.google.com und nutzten die OAuth-Lücke, um legitim aussehende Sicherheitswarnungen von Google zu generieren, wodurch Opfer ihre Zugangsdaten preisgaben. Google hat das Problem nach öffentlichem Druck eingeräumt und plant, die Sicherheitslücke zu schließen.
Nick Johnson, ein führender Entwickler des Ethereum Name Service (ENS), deckte eine ausgeklügelte Phishing-Kampagne auf, die eine Sicherheitslücke im OAuth-System von Google ausnutzte. Wie news.bitcoin.com berichtet, ahmten die Angreifer offizielle Google Alerts täuschend echt nach.
Die Opfer erhielten täuschend echte E-Mails, die scheinbar von Google Alerts stammten und eine angebliche Vorladung zur Herausgabe von Kontodaten ankündigten. Die E-Mails waren mit einem gültigen DKIM-Schlüssel signiert und schienen von der offiziellen No-Reply-Adresse von Google zu kommen, wodurch sie Spamfilter umgehen und im Posteingang landen konnten. Ein Link zu sites.google.com, der auf ein gefälschtes Support-Portal führte, verstärkte laut news.bitcoin.com die Glaubwürdigkeit der Nachricht. Dieses Portal imitierte die Google-Anmeldeseite täuschend echt.
Johnson erklärte, dass der Angriff auf zwei Schwachstellen beruhte: die Möglichkeit, beliebige Skripte auf Google Sites auszuführen, wodurch die Angreifer gefälschte Anmeldeseiten erstellen konnten, und die OAuth-Sicherheitslücke. Die Täter registrierten eine neue Domain, erstellten ein Google-Konto und entwickelten eine OAuth-Anwendung mit dem gleichen Namen wie der Betreff der Phishing-E-Mail. Sobald ein Opfer den Zugriff gewährte, generierte Google automatisch eine legitim aussehende Sicherheitswarnung per E-Mail – vollständig signiert – die die Angreifer dann an ihr Opfer weiterleiteten.
Johnson kritisierte Google dafür, den Fehler zunächst als "funktioniert wie vorgesehen" abgetan zu haben und betonte die damit verbundene Gefahr. Die Verwendung von sites.google.com für das gefälschte Portal habe die Täuschung zusätzlich verstärkt, da die vertrauenswürdige Domain die böswilligen Absichten verschleierte. Probleme im Missbrauchsmeldesystem von Google Sites erschwerten die Bekämpfung und verlangsamten die Entfernung der gefälschten Seiten.
Nach zunehmendem öffentlichem Druck räumte Google das Problem schließlich ein. Johnson bestätigte später, dass Google plant, die OAuth-Sicherheitslücke zu schließen. Der Vorfall verdeutlicht die zunehmende Raffinesse von Phishing-Angriffen, die angesehene Plattformen missbrauchen, um Sicherheitsmechanismen zu umgehen.
Sicherheitsexperten raten zu erhöhter Vorsicht und empfehlen Nutzern, unerwartete rechtliche Korrespondenz kritisch zu hinterfragen und URLs vor der Eingabe von Anmeldedaten sorgfältig zu prüfen. Google hat bisher keine öffentliche Stellungnahme zu der Sicherheitslücke oder dem Zeitplan für die Behebung abgegeben. Der Fall unterstreicht den anhaltenden Kampf gegen Phishing, da Angreifer zunehmend seriöse Dienste für ihre Zwecke missbrauchen.
Quellen: - news.bitcoin.com: ENS Lead Developer Reveals Flaw Allowing Phishers to Mimic Official Google Alerts - bitgur.com - www.coingecko.com - www.coingecko.com - bitroyalexchange.com - coinlenta.ru
