Google Docs: Phishing-Attacke über OAuth

Angreifern ist es in großem Umfang gelungen, Nutzer zu täuschen und sich über den Anmeldedienst OAuth Zugang zu ihren E-Mails und Kontaktdaten zu verschaffen. Mit Phishing-Mails gaben sie vor, ein ihnen bekannter Absender hätte ein bei Google Docs angelegtes Textdokument mit ihnen geteilt. Eine legitim wirkende Schaltfläche forderte zum „Öffnen in Google Docs“ auf.

Ein Klick führte zu OAuth, das es Nutzern erlaubt, sich bei Diensten und Apps anzumelden. Statt jedoch ein separates Konto anzulegen, können sie per OAuth ein vorhandenes Konto eines anderen Anbieters wie Google oder Facebook verwenden. Eine App fragt dann beispielsweise ab, ob die eingegebenen Anmeldedaten den bei Google hinterlegten Informationen entsprechen, das dann einen Log-in-Token übermittelt, mit dem die eigentliche Anmeldung bei der App erfolgt.

Die Angreifer setzten hier aber eine bösartige Web-App ein, die sich als Google Docs ausgab. Ihr Zweck bestand aber allein darin, Token für Nutzerkonten zu bekommen, auf die E-Mails zuzugreifen und die Phishing-Attacke dann auf alle Kontakte dieses Nutzers auszuweiten – was schnell zu einer lawinenartigen Verbreitung führte. Sie nutzten dabei aus, dass vielen Anwendern nicht bewusst ist, dass das echte Google Docs und Google Drive OAuth nicht für den Zugang zu ihrem Google-Konto benötigen. So ließen sich Opfer dazu verleiten, der vorgeblichen Google-Docs-Anwendung Zugriff auf von ihnen benutzte Google-Dienste zu gewähren.

HIGHLIGHT

Zwei-Faktor-Authentifizierung: Mehr Sicherheit für Facebook, Twitter und andere Dienste

Fast täglich wird über den Verlust von Zugangsdaten berichtet. Gegen den Missbrauch dieser Daten können sich Anwender mit der Aktivierung einer Zwei-Faktor-Authentifizierung schützen. Wie das genau funktioniert, erläutert der folgende Artikel.

Trend Micro sieht diese Angriffstechnik als besonders ausgeklügelt an, da die E-Mail selbst keine Schadsoftware transportiert. Außerdem konnte die benutzte URL nicht automatisch durch Sicherheitslösungen blockiert werden, da es es sich tatsächlich um eine legitime Domain handelte, die Google gehörte. In einem solchen Fall kann den Angriff nur ein aufgeklärter Nutzer abwenden.

„Anders bei einer typischen Phishing-Attacke ist das Ziel hier nicht, das System des Nutzers zu kompromittieren“, schreiben die Sicherheitsforscher dazu in einem Blogeintrag. „Das Ziel ist vielmehr, ihr Google-Konto zu kompromittieren.“

Eine ähnliche Kampagne führte zuvor schon die Gruppe Pawn Storm durch, die mit einer bösartigen Anwendung namens „Google Defender“ vorgab, die Konten der Opfer schützen zu wollen – und ebenfalls eine OAuth-Verbindung nutzte, um tatsächlich Nutzerdaten abzugreifen. Grundsätzlich schwierig sei es, Angriffe zu verhindern und zu erkennen, deren Ziel das Google-Konto ist.

Google hat inzwischen reagiert und die Konten gesperrt, von denen der Angriff ausging. Außerdem wurden die gefälschten Seiten entfernt und Updates durch Safe Browsing verteilt. Beim Verdacht, auf eine betrügerische E-Mail hereingefallen zu sein, empfiehlt sich die Überprüfung auf Apps und Websites, denen Zugriff auf das Google-Konto gestattet wurde.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Bernd Kling

Recent Posts

Xiaomi verschenkt Aktien im Wert von 21,4 Millionen Euro an Mitarbeiter

Anlass ist die Aufnahme des Unternehmens in die Fortune-Global-500-Liste. Die 20.538 Xiaomi-Mitarbeiter erhalten jeweils Aktien im Wert von 1040 Euro.

9 Stunden ago

Huawei rechnet mit einem Anstieg der Smartphoneverkäufe um mehr als 30 Prozent

Laut CEO und Gründer von Huawei Ren Zhengfei wird die Firma 2019 bis zu 270 Millionen Smartphones absetzen. Ein Jahr…

11 Stunden ago

Bericht: Apples Kauf von Intels Mobilfunkmodem-Sparte steht kurz vor dem Abschluss

Laut Medienberichten ist eine Einigung noch in dieser Woche möglich. Apple übernimmt demnach geistiges Eigentum und auch Mitarbeiter von Intel.…

12 Stunden ago

Apple schließt kritische Sicherheitslücken in iOS 12, 10 und 9

Dazu gehört eine Schwachstelle in der Walkie-Talkie-App. Insgesamt 37 sicherheitsrelevante Fixes finden sich in iOS 12.4. Neu ist außerdem eine…

14 Stunden ago

Künstliche Intelligenz: Microsoft investiert eine Milliarde Dollar in OpenAI

Beide Unternehmen gehen eine exklusive mehrjährige Partnerschaft ein. Es geht um die Entwicklung von AI-Supercomputing-Technologien. OpenAI kürt Microsoft indes zum…

17 Stunden ago

Datenverlust nach Hackerangriff: Equifax zahlt Bußgeld von bis zu 700 Millionen Dollar

Damit legt das Scoring-Unternehmen Klagen der FTC und von Verbrauchern bei. Ein Großteil der Summe fließt zurück an Betroffene des…

18 Stunden ago