So schützen Sie sich vor der neuen Masche der Datendiebe Spear-Phishing mit Google Drive-Freigaben

Autor / Redakteur: Michael Scheffler / Peter Schmitz

Phishing ist fast so alt wie das Internet – doch nach wie vor lukrativ und erfolgreich. Dabei verfeinern Angreifer ihre Techniken zunehmend, umgehen die Abwehrmaßnahmen von E-Mail-Anbietern und erschließen neue Angriffsflächen. Wir zeigen, welche Rolle Cloudspeicher dabei spielen und wie Unternehmen arglistige Angriffe auf Google Drive abwehren können.

Firmen zum Thema

Selbst Cloudspeicher werden für arglistige Angriffe missbraucht.
Selbst Cloudspeicher werden für arglistige Angriffe missbraucht.
(Bild: © Elnur - stock.adobe.com)

Zwar fallen auch heute noch Nutzer auf gefälschte E-Mails herein und geben so wichtige Informationen über sich und ihre Konten preis. Allerdings sind diese Angriffe so verbreitet, dass alle großen E-Mail-Anbieter über eingebaute Anti-Phishing-Funktionen verfügen. Diese verbesserte E-Mail-Sicherheit hat Hacker dazu gezwungen, kreativ zu werden, wenn es darum geht, ihre bösartigen Links in den Posteingang zu bekommen. Derzeit nutzen gewiefte Betrüger häufig die Freigabefunktionen von Google Drive für Spear-Phishing, um die Konten ihrer Opfer zu kompromittieren. Wie sie dabei vorgehen, zeigen wir hier.

In diesem Spear-Phishing-„Tutorial“ geben wir uns als (falsche) Varonis-Führungskraft Mike T. Kettle aus und bitten einen ahnungslosen Varonis-Mitarbeiter, sich in seinem Mitarbeiterkonto anzumelden, um dem Manager bei einem wichtigen Projekt zu helfen. Beim Teilen dieser gefälschten Dokumente besteht der erste Schritt des Betrügers normalerweise darin, das Kontrollkästchen zu deaktivieren, das eine E-Mail-Benachrichtigung sendet. Der Grund hierfür ist ganz einfach: Wenn die potenziellen Ziele per Mail benachrichtigt würden, könnte die Absender-Adresse sie auf den Betrug hinweisen. Einige Angreifer erstellen womöglich ein einigermaßen „authentisches“ Konto, also etwa MikeTKettle@gmail.com. Weniger versierte Nutzer könnten so dazu verleitet werden, das Dokument zu öffnen, da der Name ja vertraut erscheint – ohne besonders zu beachten, dass die Nachricht nicht von einer offiziellen Unternehmensdomain gesendet wurde.

In aller Regel wird jedoch die E-Mail-Benachrichtigung deaktiviert, was zur Folge hat, dass Angreifer ihren Angelhaken für eine Weile im Wasser lassen müssen. Sie warten und setzen darauf, dass das Opfer bei der nächsten Nutzung seines Google Drive auf das Dokument stößt. Und das ist nicht unwahrscheinlich: Das betrügerische Dokument erscheint in „Meine Ablage“ und enthält nur den Namen des Absenders, jedoch keine verdächtige Mail-Adresse.

Wenn der Benutzer das Dokument öffnet, findet er in ihm einen Link, der ihn beispielsweise angeblich zu einem wichtigen Dokument von Mike weiterleitet oder es wird suggeriert, dass sich der Nutzer aufgrund der Sensibilität des Inhaltes speziell anmelden muss. Auf jeden Fall wird das Opfer beim Klicken auf den Link auf eine externe Website weitergeleitet, die (aus Angreifer-Sicht idealerweise) der Login-Seite des entsprechenden Unternehmens nachempfunden ist. Hierzu stehen den Angreifern Tools wie Evilginx zur Verfügung, die ihnen bei der Erstellung von authentisch aussehenden Phishing-Seiten helfen. Sobald der Nutzer seine Kontoinformationen eingegeben hat und auf „Login“ klickt, haben die Angreifer seine Anmeldedaten gespeichert und sein Konto ist kompromittiert. Neben dem Abgreifen von Kontoinformationen kann diese Angriffsart auch dazu verwendet werden, Nutzer auf Umfragen zu leiten, bei denen (subtil) versucht wird, sensible Details wie Antworten auf allgemeine Sicherheitsfragen in Erfahrung zu bringen.

Wie man das Google Drive-Phishing-Risiko reduziert

Derzeit gestaltet sich die Abwehr dieses Angriffs noch schwierig. Google tut sein Bestes, um diese Technik zu bekämpfen, aber anders als bei Google Mail ist es noch nicht gelungen, einen SPAM-Filter direkt in Google Drive zu implementieren, um diese Dokumente abzufangen. Deshalb ist es an den Unternehmen und Nutzern, sich vor dieser Masche zu schützen.

Wie bei allen Arten von Phishing liegt auch hier der Schlüssel in der Aufklärung und Sensibilisierung der Mitarbeiter. Sicherheitsverantwortliche müssen also stets auf dem Laufenden über neue Techniken und Taktiken sein und diese Erkenntnisse entsprechend kommunizieren. Nur so lassen sich die Mitarbeiter als erste (und wesentliche) Verteidigungslinie stärken. Die Nutzer müssen wissen, dass sie auch in geteilten Google-Dokumenten nicht auf verdächtige Links klicken oder persönliche Informationen eingeben sollten.

Darüber hinaus können Unternehmen auch proaktiv gegen diese Angriffsart vorgehen, indem sie eine strengere Kontrolle darüber einrichten, wer Dokumente per E-Mail an Mitarbeiter senden und freigeben kann. Wenn man also die Liste der externen Parteien auf vertrauenswürdige Partner beschränkt, kann man verhindern, dass diese gefährlichen Dokumente in den Google Drive-Ordnern der Benutzer auftauchen. Dieser „Whitelisting“-Ansatz bringt aber bekannte Nachteile: Die Listen müssen aufwändig gepflegt und stets auf dem aktuellen Stand gehalten werden. Es besteht so immer die Möglichkeit, dass legitime externe Partner herausgefiltert werden, was möglicherweise geschäftsschädigende Folgen haben könnte.

Um sich effektiv zu schützen, sollten Unternehmen auf Bedrohungserkennungs- und -reaktionslösungen setzen, die bei verdächtigen Aktivitäten sowohl lokal als auch in der Cloud Alarm schlagen, verdächtige Dokumente und E-Mail-Adressen markieren und Sicherheitsteams benachrichtigen, wenn ein Konto möglicherweise kompromittiert wurde. In Zeiten, in denen sich der Perimeter immer mehr auflöst, kommt es nicht mehr (nur) darauf an, Angreifer „draußen“ zu halten. Moderne Lösungen müssen auch Attacken abwehren können, wenn sich die Angreifer schon in den Systemen befinden – ganz unabhängig vom Angriffsvektor. Entsprechend kommt der intelligenten Analyse des Nutzerverhaltens eine Schlüsselrolle zu: Ungewöhnliches Verhalten muss erkannt und (automatisch) gestoppt werden können. Auf diese Weise ist man auch sicher vor den nächsten Phishing-Trends.

Über den Autor: Michael Scheffler, Country Manager DACH von Varonis Systems.

(ID:47469547)