Angreifer, die Zugangsdaten zu Unternehmenskonten von Mitarbeitern stehlen möchten, müssen zuerst die Schutzlösungen vom Mailserver zur Abwehr von Spam und Phishing umgehen. In der Regel verwenden sie zu diesem Zweck legitime Web-Dienste, um nicht entdeckt zu werden. Zu den beliebtesten zählt aktuell das Google Apps Script, eine auf JavaScript basierende Skriptplattform.
Was ist Apps Skript und wie wird die Plattform von Angreifern verwendet?
Apps Script ist eine auf JavaScript basierende Plattform für die Entwicklung leichter Anwendungen (z. B. für die Erstellung von Add-ons für Google Docs) auf der Google Workspace-Plattform. Im Grunde genommen ermöglicht es Google Apps Scrip mit wenigen Programmierkenntnissen Skripte zu erstellen und auf der Google Infrastruktur laufen zu lassen.
Beim E-Mail-Phishing verwenden die Angreifer den Service für Redirects. Anstatt die URL einer schädlichen Website direkt in die Nachricht einzugeben, fügen die Cyberverbrecher den Link in das Skript ein. So können sie die Anti-Phishing-Lösungen auf Serverebene umgehen: Ein Hyperlink zu einer legitimen Seite von Google mit einer guten Reputation wird in der Regel von den meisten Filtern durchgelassen. Für Cyberkriminelle bietet diese Betrugsmasche außerdem den zusätzlichen Vorteil, dass die unentlarvten Phishing-Seiten länger genutzt werden können. Außerdem bietet es den Angreifern die Flexibilität ggf. das Skript zu ändern (beispielsweise, wenn es von einer Sicherheitslösung identifiziert wurde) und mit anderen Content-Lieferungen zu experimentieren (z. B. ist es möglich die Opfer je nach Region an andere Versionen der Seite weiterzuleiten).
Beispiele von Betrug mit Google Apps Script
Die Angreifer müssen nur erreichen, dass der Benutzer einen Link anklickt. In letzter Zeit war der meistbenutzte Vorwand dafür eine „volle Mailbox“. Rein theoretisch scheint das ganz plausibel.
In der Praxis gehen die Angreifer aber meistens schlampig vor und hinterlassen Warnsignale, die auf Betrug hinweisen und selbst von Benutzern erkannt werden können, die mit den echten Benachrichtigungen dieser Art nicht vertraut sind:
- Die E-Mail ist angeblich von Outlook, aber die E-Mail-Adresse des Absenders hat eine ausländische Domain. Eine echte Benachrichtigung über eine volle Mailbox sollte direkt vom internen Exchange-Server kommen. (Ein weiteres Warnsignal ist, dass im Namen des Absenders, Microsoft Outlook, ein Leerzeichen fehlt und das O durch eine Null ersetzt wurde.)
- Der Link, der angezeigt wird, wenn mit dem Cursor über „Problem in den Speichereinstellungen beheben“ gefahren wird, führt zu einer Seite von Google Apps Script:
- Der Speicherplatz einer Mailbox kann nicht von heute auf morgen überschritten werden. Outlook warnt Benutzer lange bevor das Speicherlimit tatsächlich erreicht wird. Um die Speicherbegrenzungen von 850 MB plötzlich zu überschreiten, müssten Sie tonnenweise Spammails auf einmal erhalten und das ist höchst unwahrscheinlich.
Wie dem auch sei, eine legitime Benachrichtigung von Outlook sieht so aus:
- Der Link von „Problem in den Speichereinstellungen beheben“ führt zu einer Phishing-Website. Auch wenn in diesem Fall eine sehr glaubwürdige Kopie von der Outlook-Anmeldeseite erstellt wurde, reicht ein Blick auf die Adressenleiste des Browsers aus, um festzustellen, dass die Seite auf einer gefälschten Webseite gehostet wird und nicht auf der Infrastruktur des Unternehmens.
So vermeiden Sie es auf den Betrug hereinzufallen
Es hat sich gezeigt, dass Phishing-E-Mails nicht unbedingt Phishing-Links enthalten müssen. Aus diesem Grund ist es wichtig, dass die zuverlässige Sicherheitslösung für den Unternehmensschutz Anti-Phishing-Funktionen sowohl auf Mailserverebene als auch auf den Computern der Benutzer bietet.
Darüber hinaus ist es notwendig Mitarbeiter in Sachen Cybersicherheit zu schulen, damit sie immer auf dem neusten Stand über aktuelle Cyberbedrohungen und neuen Phishing-Betrugsmaschen sind.