Nick Johnson, Gründer des Ethereum Name Service (ENS), warnt vor ausgeklügelten Phishing-Mails, die als vermeintliche Google-Benachrichtigungen über Vorladungen Nutzerdaten abgreifen sollen. Die täuschend echt wirkenden E-Mails bestehen die DKIM-Signaturprüfung und verweisen auf gefälschte Google-Websites, wo Opfer ihre Anmeldedaten eingeben sollen. Google ist sich des Problems bewusst und arbeitet an Gegenmaßnahmen.
Nick Johnson, Gründer und leitender Entwickler des Ethereum Name Service (ENS), hat auf X (ehemals Twitter) vor einem hochentwickelten Phishing-Angriff gewarnt, der Googles Infrastruktur missbraucht. Wie Cointelegraph berichtet, erhalten Nutzer gefälschte Benachrichtigungen, die den Anschein erwecken, von Google zu stammen. In diesen E-Mails wird behauptet, dass Nutzerdaten aufgrund einer Vorladung an Strafverfolgungsbehörden herausgegeben werden müssen.
In einem X-Beitrag vom 16. April erklärte Johnson, dass die gefälschten E-Mails die DKIM-Signaturprüfung bestehen und von Gmail ohne Warnungen angezeigt werden – sogar im selben Thread wie legitime Sicherheitsbenachrichtigungen. Die gefälschte Vorladung scheint von einer Google No-Reply-Domain zu stammen. Die Opfer werden aufgefordert, die angeblichen Fallmaterialien einzusehen oder per Klick auf einen Link Widerspruch einzulegen. Dieser Link führt zu einer gefälschten Support-Seite, die mit Google Sites erstellt wurde. „Dort werden vermutlich die Anmeldedaten abgegriffen, um das Konto zu kompromittieren“, vermutet Johnson, ohne dies jedoch genauer verifiziert zu haben.
Obwohl der Google-Domainname Seriosität suggeriert, gibt es laut Johnson verräterische Hinweise auf den Betrug, wie beispielsweise die Weiterleitung der E-Mail über eine private E-Mail-Adresse. Wie die Softwarefirma EasyDMARC am 11. April berichtete, basiert der Phishing-Angriff auf dem Missbrauch von Google Sites. Jeder mit einem Google-Konto kann damit legitim aussehende Websites unter einer vertrauenswürdigen Google-Subdomain erstellen.
Die Betrüger nutzen außerdem die Google OAuth-App aus, indem sie im Feld "App-Name" beliebige Inhalte eingeben. Zusätzlich verwenden sie eine Domain über Namecheap, die es ermöglicht, eine No-Reply@google-Adresse als Absender anzugeben, während die Antwortadresse frei wählbar ist. "Da DKIM nur die Nachricht und deren Header, nicht aber den Umschlag verifiziert, besteht die Nachricht die Signaturprüfung und wird im Posteingang des Nutzers als legitim angezeigt – sogar im selben Thread wie echte Sicherheitswarnungen", erläutert Johnson.
Ein Google-Sprecher bestätigte gegenüber Cointelegraph, dass das Unternehmen den Angriff kennt und Maßnahmen ergreift, um den Mechanismus zu deaktivieren, der das Einfügen von „beliebig langem Text“ ermöglicht. Dies soll die beschriebene Angriffsmethode zukünftig verhindern. „Wir kennen diese Art von gezielten Angriffen durch den Bedrohungsakteur Rockfoils und haben in der letzten Woche Schutzmaßnahmen eingeführt. Diese werden in Kürze vollständig implementiert sein und diesen Missbrauchspfad schließen“, so der Sprecher. „In der Zwischenzeit empfehlen wir Nutzern, die Zwei-Faktor-Authentifizierung und Passkeys zu verwenden, die einen starken Schutz vor dieser Art von Phishing-Kampagnen bieten.“ Der Sprecher betonte außerdem, dass Google niemals nach privaten Kontodaten wie Passwörtern, Einmalpasswörtern oder Push-Benachrichtigungen fragt und Nutzer auch nicht anruft.
Quellen:
