• Folge Uns
    • Facebook
    • Twitter
    • Youtube
    • Flipboard
  • ENG
Mobilegeeks
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
Powered By GDATA
Powered By GDATA
Previous Story
Social Media im Angesicht des Terrors - Fluch oder ...

von Carsten Drees

Next Story
Der Apple iMac Pro ist ein Hardware-Monster

von Jake Pietras

iMac Pro 2017

Phishing mit Hilfe von Google AMP

Am AMP Projekt von Google scheiden sich die Geister: Während die einen es für eine großartige Sache halten, die hilft, das mobile Web schneller zu machen, weisen andere auf die Macht hin, die man Google damit gibt und sehen Probleme beim Datenschutz. Auf die Liste der Probleme kann man nun auch „Hilft beim Phishing“ setzen.

von Carsten Dobschat am 7. Juni 2017
  • Email
  • @dobschat

Aktuell ist die Zahl der Phishing-Angriffe, bei denen Googles AMP-Dienst genutzt wurde sehr überschaubar, es scheint sich um eine sehr gezielte Attacke gehandelt zu haben, die vom Citizen Lab der Universität Toronto beschrieben wird. Etwas über 200 Angriffsziele konnten entdeckt werden, etwa 85% konnten identifiziert werden und anhand dieser Ziele und des Ablaufs der Angriffe gehen die Forscher davon aus, dass dahinter russische Geheimdienste stecken. Aber nachdem die Methode nun öffentlich ist,  mit der die Zieladressen eines Phishing-Angriffs über den AMP-Dienst von Google verschleiert wurden, dürften in Zukunft auch ganz gewöhnliche Cyberkriminelle auf den Zug aufspringen.

Die Idee hinter dieser Verschleierung ist dabei äußerst simpel: Google bietet einen AMP-Proxy an, über den man AMP-Seiten entsprechend schnell geliefert bekommen soll. Damit dies ohne Konfiguration funktioniert, wird die Adresse der Zielseite umgeschrieben und lautet dann https://www.google.com/amp/[Zieladresse]. Wenn die Zieladresse  evildomain.ru/iwannaphishyourpasswords.html dann auch noch durch einen Linkverkürzer geschickt wurde, dann sieht die gesamte Adresse auf den ersten Blick für viele Nutzer recht harmlos und nach einer legitimen Google-Adresse aus. Klar, wenn man den Link aufruft, dann gibt es Weiterleitungen und zwischenzeitlich warnt Google zumindest am Desktop bei so einer Weiterleitung, aber auf einem Mobilgerät rennt das einfach durch bzw. wird die Zielseite von Google ausgeliefert.

Nützlich – also für den Angreifer – ist das natürlich, wenn man eine möglichst gut gemachte Mail von Google kopiert und die an das Opfer schickt. Zum Beispiel in diesem Fall eine Passwort-Reset-Mail. Mit etwas Glück – für den Angreifer – klickt das Opfer den Link, bemerkt nicht, dass dieser nicht ganz sauber ist – steht ja schließlich www.google.com am Anfang, gibt in das Phishing-Formular seine Zugangsdaten ein und schon hat der Angreifer den Zugang zum Google-Account des Opfers. Außer natürlich, das Opfer verwendet die Zwei-Faktor-Authentifizierung. Der in diesem Fall ins Visier genommene Journalist hat das leider nicht getan.

Man kann also nur immer und immer wieder vor Phishing-Mails warnen. Immer wieder werden neue Möglichkeiten gefunden, das eigentliche Ziel einer Adresse zu verschleiern oder zumindest dem User vorzutäuschen, auf einer anderen Seite zu sein, als er tatsächlich ist. Ob das nun Subdomains sind oder Domainnamen, bei denen auf ähnlich aussehende Zeichen in nicht lateinischen Schriften gesetzt wird (homographische Attacke). Weiterleitungen sind natürlich auch weiterhin äußerst beliebt. Dabei ist es gar nicht so schwer, sich gut zu schützen:

  1. Links in E-Mails sind grundsätzlich als gefährlich anzusehen, man sollte solche Links nur klicken, wenn man sich wirklich und zu 100% sicher ist, dass es sich um einen legitimen Link handelt.
  2. Nur weil www.google.com als Text in einer Mail verlinkt ist, bedeutet das nicht, dass der Link auch dahin führt. Daher immer den eigentlich Link prüfen. Dazu entweder mit dem Mauszeiger kurz auf dem Link verweilen, bis die eigentliche Zieladresse angezeigt wird oder bei Mobilgeräten den Link gedrückt halten, bis die Auswahl kommt ihn zu kopieren – dabei wird er meist auch angezeigt. Im Zweifel kann man einen Link immer kopieren und in ein Textdokument einfügen, um ihn anzuschauen.
  3. Wenn du keine Bestellung bei Amazon aufgegeben hast, dann wirst du keine Mail darüber bekommen, dass diese nicht existente Bestellung storniert wurde – gleiches gilt für einen Passwort-Reset, eine prüfende Paypal-Zahlung oder eine überraschende Überweisung in enormer Höhe auf dein Konto bei der Postbank, das du nicht hast. Wenn du sicher gehen willst, dann öffne deinen Browser, öffne die jeweilige Seite durch Eintippen der Adresse und prüf dort den Status deines Kontos. Aber klick nicht den Link in der Mail (ganz zu schweigen vom Öffnen von Anhängen – Amazon wird dir niemals eine Stornierungsbestätigung als ZIP-Anhang an einer Mail schicken. Niemals!).
  4. Nutze Zwei-Faktor-Authentifizierung wo immer möglich. Wenn der Dienst es anbietet, dann nutze es. Gerade die großen Anbieter, die immer gerne Gegenstand von Phishing-Attacken sind, bieten diese an: Amazon, Apple. Google, Facebook…
  5. Links in E-Mails sind grundsätzlich als gefährlich anzusehen, man sollte solche Links nur klicken, wenn man sich wirklich und zu 100% sicher ist, dass es sich um einen legitimen Link handelt (Nein, das kann man nicht oft genug wiederholen).

via Heise

Security
Ähnliche Artikel
Online-Transkriptionen von Gesprächen können in falsche Hände gelangen
18. Februar 2022
Online-Transkriptionen von Gesprächen können in falsche Hände gelangen
Farbige Menschen werden durch Überwachungsmaßnahmen öfter benachteiligt
16. Februar 2022
Farbige Menschen werden durch Überwachungsmaßnahmen öfter benachteiligt
Eure Grafikkarte könnte in Zukunft über angezeigte Werbung entscheiden
3. Februar 2022
Eure Grafikkarte könnte in Zukunft über angezeigte Werbung entscheiden
Olympische Spiele: Chinesische Begleitapp versendet ungesichert Daten
21. Januar 2022
Olympische Spiele: Chinesische Begleitapp versendet ungesichert Daten
Neueste Tests
8.7
Insgesamt bekommt man für den Preis wirklich gut funktionierendes und zuverlässiges Sicherheitssyste ...
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
2. Juli 2018
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
9.1
Für den persönlichen Gebrauch ist Lima Ultra eine hervorragende Lösung, um jederzeit Zugriff auf die ...
Lima Ultra – persönlicher Cloud-Speicher im Test
6. März 2017
Lima Ultra – persönlicher Cloud-Speicher im Test

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft

Trending Cars
  • Tesla Model 3
  • Opel Ampera-e
  • Tesla Model X
  • Porsche Mission E
Automarken
  • Mercedes-Benz
  • Tesla
  • Audi
  • Volkswagen – VW
  • BMW
  • Ford
  • Porsche
  • Opel
Hubs
  • Laptops
  • Magazin
  • Smart Cars
  • Smartphone
  • Tablets
  • Wearables
Weitere Themen
  • OnePlus 5
  • Samsung Galaxy S8
  • LG G6
  • Microsoft Surface Laptop
  • Amazon Blitzangebote
  • Adblock Plus
  • Testberichte (Archiv)
  • ASUS
  • Microsoft
  • Apple
  • Sitemap
Intern
  • Sponsoring und Werbung
  • Über uns
  • Sponsorenübersicht
  • Impressum
  • Datenschutzerklärung
FOLGE UNS
Copyright © 2022 Mobilegeeks.de, Alle Rechte vorbehalten
 Tweet
 Teilen
 Tweet
 Teilen
 Tweet
 Teilen
 Xing