Wenn wir über die Tricks von Cyberkriminellen berichten, empfehlen wir in den meisten Fällen, dass Sie sich vor dem Öffnen eines per E-Mail erhaltenen Links die URL genauer ansehen. Hier ein weiteres Warnsignal: ein Link zu einer mit Google Translate übersetzten Seite. Theoretisch könnte es sein, dass der Absender der E-Mail versucht, Ihnen behilflich zu sein, weil der ursprüngliche Link auf eine Website in einer anderen Sprache verweist. In der Praxis wird diese Technik jedoch meist eingesetzt, um Antiphishing-Mechanismen zu umgehen. Wenn die Nachricht Teil einer Geschäftskorrespondenz ist und die Website, die sich nach dem Anklicken des Links öffnet, Sie dazu auffordert, die Anmeldedaten Ihres E-Mail-Kontos einzugeben, sollten Sie das Browserfenster schließen und die E-Mail sofort löschen.
Deshalb nutzen Angreifer Links zu Google Translate
Werfen wir einen Blick auf das jüngste von uns entdeckte Phishing-Beispiel mittels eines Google-Translate-Links.
Die Absender der E-Mail behaupten, dass es sich bei dem Anhang um eine Art Zahlungsdokument handelt, das ausschließlich dem Empfänger zur Verfügung steht und das im Rahmen einer neuen „Vertragsbesprechung und anschließenden Zahlungen“ genauer analysiert werden muss. Der Link, der der Schaltfläche „Open“ hinzugefügt wurde, verweist auf eine von Google Translate übersetzte Website. Dies wird jedoch erst klar, wenn man den Link öffnet, denn in der E-Mail sieht es folgendermaßen aus:
Die seltsamen Formulierungen sind eventuell so von den Angreifern beabsichtigt, um den Eindruck zu erwecken, dass sie keine englischen Muttersprachler sind und den Google-Translate-Link so überzeugender erscheinen zu lassen. Vielleicht haben sie auch noch nie eine authentische E-Mail, die Finanzdokumente enthält, gesehen. Achten Sie auf die beiden Links unten („Unsubscribe From This List“ und „Manage Email Preferences“), sowie auf die sendgrid.net-Domain im Link.
Diese Anzeichen weisen darauf hin, dass die Nachricht nicht manuell gesendet wurde, sondern über einen vertrauenswürdigen E-Mail-Dienst (in diesem Fall den SendGrid-Dienst), obwohl möglicherweise auch andere ESPs verwendet wurden. Diese Art von Dienst schützt normalerweise den Unternehmensruf, indem sie regelmäßig Phishing-E-Mail-Kampagnen entfernt und ihre Autoren blockiert. Aus diesem Grund führen die Angreifer ihre Links über Google Translate aus – denn dann sehen die Sicherheitsmechanismen des ESP eine legitime Google-Domain und stufen die Website nicht als verdächtig ein. Mit anderen Worten, es handelt sich um einen Versuch, nicht nur den Endnutzer zu täuschen, sondern auch die Filter des Vermittlungsdienstes.
Wie sieht eine von Google Translate übersetzte Seite aus?
Mit Google Translate können ganze Websites übersetzt werden, indem Sie einen Link übermitteln und die Ausgangs- und Zielsprache auswählen. Das Ergebnis ist ein Link zu einer Seite, bei der die ursprüngliche Domain mit Bindestrichen versehen ist und die URL durch die Domain translate.goog ergänzt wird, gefolgt vom Namen der ursprünglichen Seite und von Schlüsseln, die angeben, in welche und aus welchen Sprachen die Übersetzung erfolgt ist. Die URL der Übersetzung der Startseite unseres englischsprachigen Blogs http://www.kaspersky.com/blog ins Spanische sieht zum Beispiel so aus: www-kaspersky-com.translate.goog/blog/?_x_tr_sl=auto&_x_tr_tl=es&_x_tr_hl=en&_x_tr_pto=wapp.
Die von uns analysierte Phishing-E-Mail versuchte, den Nutzer auf folgende Seite zu locken:
In der Adressleiste des Browsers ist trotz der endlosen Zeichenabfolge zu erkennen, dass der Link von Google Translate übersetzt wurde.
So schützen Sie sich
Damit Unternehmensmitarbeiter nicht auf die Tricks von Cyberkriminellen hereinfallen, empfehlen wir ihnen, ihr Wissen über aktuelle Phishing-Methoden regelmäßig aufzufrischen, (z. B. über einschlägige Links zu unserem Blog) oder, noch besser, ihr Bewusstsein für moderne Cyberbedrohungen mit Hilfe von speziellen Lerntools zu stärken. Im obigen Beispiel wäre ein geschulter Nutzer übrigens nie bis auf die Phishing-Seite gekommen – die Wahrscheinlichkeit, dass ein legitimes Finanzdokument, das an einen bestimmten Empfänger adressiert ist, über einen ESP-Dient verschickt wird, ist ziemlich gering. Vor kurzem haben wir bereits über ESP-basiertes Phishing berichtet.
Um auf Nummer sicher zu gehen, empfehlen wir darüber hinaus den Einsatz von Sicherheitslösungen mit Antiphishing-Technologien; sowohl auf der Ebene der Firmenmailserver als auch auf allen Geräten der Mitarbeiter.