Über die letzten Monate hat Check Point Research (CPR) wiederholt beobachtet, wie Hacker die Online-Dienste bekannter Hyperscaler ausnutzten, um Phishing-Mails legitim erscheinen zu lassen. Zu den missbrauchten Services gehörten PayPal, Microsoft SharePoint, AWS, Facebook Ads und diverse Google-Dienste wie Google Looker, Google Collection und Google Ads. Mit Google Groups hat CPR nun eine weitere Applikation des globalen Tech-Unternehmens identifiziert, die für Phishing-Spoofs zweckentfremdet wird.
Google-Tools sind aus der Sicht von Hackern für den Datenklau besonders einladend, da Google-Dienste kostenlos und einfach zu benutzen sind. Zudem verfügt Google über eine Vielzahl von Tools: Von Docs bis Sheets über (das bereits für Phishing verwendete) Google Collection bis hin zu Gmail oder Forms gibt es unzählige Dienste des Alphabet-Unternehmens. Das ist praktisch für die Nutzer, macht es aber auch den Hackern leichter, Social Engineering- und BEC 3.0-Angriffe (Business E-Mail Compromise 3.0) zu orchestrieren. Mit den verfügbaren Tools sind sie in der Lage, legitime Nachrichten über Google-Domains direkt an die Posteingänge der Nutzer zu senden und darin bösartige Inhalte einzubetten.
Die Forscher von Check Point Harmony Email haben nun beobachtet, wie Hacker auch Google Groups ausnutzen, um gefälschte E-Mails, in diesem Fall im Namen des IT-Sicherheitsanbieter McAfee, zu versenden. Der Angriff beginnt mit einer Mail von Google, führt aber auf eine gefälschte Website, auf der Anmeldedaten gestohlen werden.
Die Ausnutzung von Google Groups erhöht die Wahrscheinlichkeit drastisch, dass die Phishing-Mail ihren Weg ins Postfach potenzieller Opfer findet, da die Mail von einer Google-Domäne versendet wird und E-Mail-Sicherheitslösungen daher geneigt sind, diese als vertrauenswürdig einzustufen. Sicherheitsadministratoren können Google zudem nicht blockieren, da dessen Tools in vielen Organisationen und Unternehmen für die tägliche Arbeit verwendet werden. Es reicht letztlich aus, wenn auch nur eine einzige Person einen verseuchten Link anklickt, damit der Betrugsversuch für die Drahtzieher profitabel war.
