Phishing mit Hilfe von Google AMP

Aktuell ist die Zahl der Phishing-Angriffe, bei denen Googles AMP-Dienst genutzt wurde sehr überschaubar, es scheint sich um eine sehr gezielte Attacke gehandelt zu haben, die vom Citizen Lab der Universität Toronto beschrieben wird. Etwas über 200 Angriffsziele konnten entdeckt werden, etwa 85% konnten identifiziert werden und anhand dieser Ziele und des Ablaufs der Angriffe gehen die Forscher davon aus, dass dahinter russische Geheimdienste stecken. Aber nachdem die Methode nun öffentlich ist,  mit der die Zieladressen eines Phishing-Angriffs über den AMP-Dienst von Google verschleiert wurden, dürften in Zukunft auch ganz gewöhnliche Cyberkriminelle auf den Zug aufspringen.

Die Idee hinter dieser Verschleierung ist dabei äußerst simpel: Google bietet einen AMP-Proxy an, über den man AMP-Seiten entsprechend schnell geliefert bekommen soll. Damit dies ohne Konfiguration funktioniert, wird die Adresse der Zielseite umgeschrieben und lautet dann https://www.google.com/amp/[Zieladresse]. Wenn die Zieladresse  evildomain.ru/iwannaphishyourpasswords.html dann auch noch durch einen Linkverkürzer geschickt wurde, dann sieht die gesamte Adresse auf den ersten Blick für viele Nutzer recht harmlos und nach einer legitimen Google-Adresse aus. Klar, wenn man den Link aufruft, dann gibt es Weiterleitungen und zwischenzeitlich warnt Google zumindest am Desktop bei so einer Weiterleitung, aber auf einem Mobilgerät rennt das einfach durch bzw. wird die Zielseite von Google ausgeliefert.

Nützlich – also für den Angreifer – ist das natürlich, wenn man eine möglichst gut gemachte Mail von Google kopiert und die an das Opfer schickt. Zum Beispiel in diesem Fall eine Passwort-Reset-Mail. Mit etwas Glück – für den Angreifer – klickt das Opfer den Link, bemerkt nicht, dass dieser nicht ganz sauber ist – steht ja schließlich www.google.com am Anfang, gibt in das Phishing-Formular seine Zugangsdaten ein und schon hat der Angreifer den Zugang zum Google-Account des Opfers. Außer natürlich, das Opfer verwendet die Zwei-Faktor-Authentifizierung. Der in diesem Fall ins Visier genommene Journalist hat das leider nicht getan.

Man kann also nur immer und immer wieder vor Phishing-Mails warnen. Immer wieder werden neue Möglichkeiten gefunden, das eigentliche Ziel einer Adresse zu verschleiern oder zumindest dem User vorzutäuschen, auf einer anderen Seite zu sein, als er tatsächlich ist. Ob das nun Subdomains sind oder Domainnamen, bei denen auf ähnlich aussehende Zeichen in nicht lateinischen Schriften gesetzt wird (homographische Attacke). Weiterleitungen sind natürlich auch weiterhin äußerst beliebt. Dabei ist es gar nicht so schwer, sich gut zu schützen:

1. Links in E-Mails sind grundsätzlich als gefährlich anzusehen, man sollte solche Links nur klicken, wenn man sich wirklich und zu 100% sicher ist, dass es sich um einen legitimen Link handelt.
2. Nur weil www.google.com als Text in einer Mail verlinkt ist, bedeutet das nicht, dass der Link auch dahin führt. Daher immer den eigentlich Link prüfen. Dazu entweder mit dem Mauszeiger kurz auf dem Link verweilen, bis die eigentliche Zieladresse angezeigt wird oder bei Mobilgeräten den Link gedrückt halten, bis die Auswahl kommt ihn zu kopieren – dabei wird er meist auch angezeigt. Im Zweifel kann man einen Link immer kopieren und in ein Textdokument einfügen, um ihn anzuschauen.
3. Wenn du keine Bestellung bei Amazon aufgegeben hast, dann wirst du keine Mail darüber bekommen, dass diese nicht existente Bestellung storniert wurde – gleiches gilt für einen Passwort-Reset, eine prüfende Paypal-Zahlung oder eine überraschende Überweisung in enormer Höhe auf dein Konto bei der Postbank, das du nicht hast. Wenn du sicher gehen willst, dann öffne deinen Browser, öffne die jeweilige Seite durch Eintippen der Adresse und prüf dort den Status deines Kontos. Aber klick nicht den Link in der Mail (ganz zu schweigen vom Öffnen von Anhängen – Amazon wird dir niemals eine Stornierungsbestätigung als ZIP-Anhang an einer Mail schicken. Niemals!).
4. Nutze Zwei-Faktor-Authentifizierung wo immer möglich. Wenn der Dienst es anbietet, dann nutze es. Gerade die großen Anbieter, die immer gerne Gegenstand von Phishing-Attacken sind, bieten diese an: Amazon, Apple. Google, Facebook…
5. Links in E-Mails sind grundsätzlich als gefährlich anzusehen, man sollte solche Links nur klicken, wenn man sich wirklich und zu 100% sicher ist, dass es sich um einen legitimen Link handelt (Nein, das kann man nicht oft genug wiederholen).

via Heise