Phisher verbessern System mit gefälschten Google Drive Sites

Originalartikel von Joie Salvio, Threat Response Engineer

Cyberkriminelle nutzen bei Angriffen Google Drive aus, um zu vermeiden, entdeckt zu werden. Vor ein paar Tagen setzten Angreifer Google Drive als Mittel ein, um an die Informationen ihren Opfern zu kommen. Jetzt haben Phisher eine modifizierte Version der offiziellen Anmeldeseite von Google Drive aufgesetzt, um Mail Login-Daten zu stehlen. Diese Attacke kann als verbesserte Version der früheren Angriffe gesehen werden, bei denen mehrere Mail-Adressen gefordert wurden.

Gefälschte Google Drive Site

Nutzer erhalten eine Mail mit Links, die auf eine gefälschte Google Drive Site führen.

Bild 1. Spam-Nachricht mit Links zu einer gefälschten Site

Die Phishing Site erlaubt Nutzern, sich mit verschiedenen Mail-Services anzumelden, ein eher ungewöhnliches Vorgehen, denn Google Drive nutzt nur Google-Anmeldeinformationen. Die Site bietet auch eine Sprachoption, die nicht funktioniert.

Bild 2. Fake Google Drive Site

Damit Nutzer nicht misstrauisch werden, leitet die Phishing Site sie zu einer PDF-Datei auf einer legitimen Site zu Finanzthemen. Doch kann gerade diese Umleitung Misstrauen wecken, weil in der Mail nichts über diese speziellen Inhalte steht.

Bild 3. Nach der Anmeldung werden Nutzer auf eine legitime Site umgeleitet.

Der Code

Ein Blick auf den Quellcode zeigt, dass der Chrome “Save”-Tag darin zu sehen ist, und das bedeutet, das der Phish-Autor den Quellcode für die legitime Anmeldeseite von Google Drive gespeichert und bösartigen Code hinzugefügt hat. Die Checker für korrekte Einträge sind noch vorhanden. Die Phishing Site akzeptiert also nur Mailadressen in dem korrekten Format (z.B. <accountname>@<serviceprovider>.com). Das ist ein gewaltiger Unterschied zu den früheren Phishing-Seiten, die alles akzeptierten.

Bild 4. Code der Phishing-Seite zeigt recycelten Code von Google Drive

Klickt ein Nutzer auf den Sign In-Button, so werden die Anmeldeinformationen und der Mail-Service an eine bestimmte URL geschickt.

Bild 5. Der Screenshot zeigt alle in den Ablauf involvierten Aktivitäten,von der Phishing-Seite zu den gestohlenen Informatiionen bis zur Umleitung

Die Phishing Site scheint ein chinesisches Sportforum zu sein, das kompromittiert wurde.

Bild 6. Kompromittierte chinesische Site

Verbreitung über Phishing

Die Cyberkriminellen nutzen Phishing-Konten, um mehr Opfer zu generieren. Der Screenshot lässt vermuten, dass diese Kampagne seit mindestens drei Monaten läuft.

Bild 7. Phishing-Opfer diskutieren, wie ihre Konten für die Verbreitung des Links benutzt wurden

Auch mobile Nutzer sind betroffen

Die Recherche ergab, dass dieser Angriff auch auf mobilen Geräten funktioniert. Klicken Nutzer auf den Sign-in-Button, so wird der Download der PDF-Datei gestartet und die Anmeldeinformationen des Nutzers werden an die Cyberkriminellen geschickt.

Bild 8. Screenshot des PDF-Download Prompts auf Mobilgeräten

Folgende URLs, die mit dem Angriff zusammenhängen, für zu https://ad[.]bfopay[.]com/pdf/doc2014/action.php:

  • http://www[.]86579[.]net/pdf/doc2014/
  • http://www[.]86579[.]net/pdf/doc2014/action.php

Schutz für die Nutzerdaten

Nutzer sollten vorsichtig sein, wenn sie Mails öffnen, auch solche, die von bekannten Absendern kommen, und keine Links in den Nachrichten anklicken. Auch lassen sich die Links prüfen, indem man mit dem Mauszeiger darüber fährt.

Nutzer können auch die Legitimität einer Site auf Diskrepanzen in der Adresse (Schreibfehler, unterschiedliche Domänennamen etc.) prüfen, bevor sie dort persönliche Daten eingeben. Auch die Sicherheit lässt sich checken — HTTPS etwa ist sicherer als HTTP.

Trend Micro schützt die Anwender über das Smart Protection Network, das Phishing-Seiten blockt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*