Fisch als Symbol für Phising Scam LinksDas Arbeiten mit Dokumenten in der Cloud kann seine Tücken und Lücken haben. Das wissen auch die Hacker. Sobald sich eine Möglichkeit ergibt, nutzen sie Sicherheitslücken aus. Dieses Mal haben sie sich den Google-Dienst „Drive“ beziehungsweise Google Docs, vorgenommen. In dem Cloudspeicher Drive kann man Online-Dateien in Form von Dokumenten (Docs), Tabellen und Präsentationen erstellen und ablegen. Viele Freiberufler, Firmen und Privatpersonen arbeiten gern damit. Der Vorteil liegt darin, dass man sich keine E-Mails mit Dateianhang hin- und herschickt und eine Versionierung wegfällt.

Google Drive FreigabeIm Arbeitsalltag des cloudbasiertem Arbeitens ist das Vertrauen zu einer oder mehreren Personen vorhanden, die sich gegenseitig Dokumente freigeben. Meistens kennt man die Leute sogar persönlich. Was also sollte man sich schon dabei denken, wenn eine E-Mail von einem solchen bekannten Absender kommt, der einem den Link zu einem Google-Dokument schickt? Google Drive hat genau diese Funktion implementiert, dass man zur Freigabe eines Dokumentes zur Zusammenarbeit eine E-Mail sendet. Das passiert manchmal sogar mit dem Kollegen gegenüber – also von einem Schreibtisch zum anderen.

Das Phishing beginnt mit dem Klick

Die Freigabe-E-Mail kommt beim Empfänger an. Dieser schaut sich den Absender an, stellt fest, dass der Sender bekannt ist, vertraut der Benachrichtigung und klickt auf den Link.

Warum erkennt man nicht, dass es sich um einen Phishing Link handelt? Ganz einfach, weil der Scam Link mit einem grafischen Element getarnt ist. Wer HTML-Mails anschaut, wird nicht merken, weil die Aufmachung wie eine originale E-Mail von Google aussieht. Im Vorteil sind hier diejenigen, die sich ihre Mails nur textbasiert anschauen.

Wenn man also – schnell und ohne Überprüfung – den Scam Link in der HTML-E-Mail mit dem freigegebenen Google-Dokument klickt, fängt das Phishing an. Man muss sich authentifizieren. Der Browser öffnet einen Tab oder die Smartphone App wird aufgerufen. Man muss sich als berechtigte Person verifizieren – wie üblich, wenn man ausgeloggt ist. Auch wenn man ansonsten im System eingeloggt ist. Aber es kommt ja häufiger vor, dass der Login erneut nötig ist. Somit hat man immer noch keinen Grund zur Sorge und geht die erforderlichen Schritte durch.

Google Drive Anmeldung zum Scam LinkWenn sich das originale Google-Login-Fenster öffnet, schöpft man keinen Verdacht. Doch im Hintergrund laufen ganz andere Dinge ab. Eine Phishing-Plattform wird durch diesen Scam Link aufgerufen und gibt einem nur den Zugriff auf das – vermeintliche – Google Doc, wenn man sich über Google authentifiziert. Man benutzt also nicht den richtigen Google Login, sondern die Möglichkeit, die Google anderen Diensten zur Authentifizierung mittels ihres Google-Kontos bietet (OAuth).

Das perfide dabei: Die „böse Phishing App“ heißt „Google Docs“. Niemand bei Google hätte wohl je daran gedacht, dass ein Hacker seine Zugangslösung so nennen würde.

Nun geht es munter weiter, wenn man seine Daten (E-Mail-Adresse und Passwort) eingegeben hat. Man soll einiges erlauben:

  • Lesen, Senden, Löschen und Verwaltung des E-Mail-Kontos
  • Kontakte verwalten

Wer nun diese Anfrage zu den Berechtigungen erlaubt hat und per Klick zugestimmt hat, hilft dem Hacker, genau diese E-Mail weiter an die eingetragenen Kontakte zu leiten. Selbstverständlich hat diese Phishing-Mail dann die Phishing-Opfer-Absenderkennung. Das kann sich in Netzwerken mit vielen Kontakten wie eine Lawine ausbreiten. So geht das Hacker-Spielchen immer weiter. Der Hacker hat Zugriff auf das eigene E-Mail-Konto und Kontakte. Nun kommt es darauf an, was der Hacker mit diesen Daten anfängt. Bestimmt hat er nichts Gutes im Sinn, das kann man mit Gewissheit vorhersagen. Konkrete Fälle sind jedoch bisher noch nicht öffentlich gemacht worden. Man kann vermuten, dass auch monetäre Absichten dahinter stehen.

Wie man sich vor diesem Phishing-Angriff schützt

Viele E-Mail-Programme erlauben es, dass man zwischen HTML-Mails und Text-Ansicht umschaltet. Es ist nur ein kleiner Klick und man kann sich anschauen, welche Links man wirklich klickt. Denn nicht immer sind Ansicht und Quellcode identisch. Bekannte Phishing Domains (für die Scam Links in den E-Mails), die bisher bekannt geworden sind, lauten so oder so ähnlich: g-cloud.pro, docscloud.win, g-docs.pro oder gdocs.download … und so weiter.

Nehmen Sie diesen Fall zum Anlass und kontrollieren Sie in Ihrem Google Account die Berechtigungen, die Sie bisher erteilt haben. Der Link lautet: https://myaccount.google.com/u/1/permissions. Löschen beziehungsweise lösen Sie alle Verbindungen, die Ihnen nicht (mehr) geläufig sind. Mit den Jahren sammeln sich da meistens viele Karteileichen an. Falls Sie eine Verbindung gelöscht haben, die Sie eigentlich noch benötigen, dann macht das nichts. Bei der nächsten Anforderung des Dienstes, der keine Verbindung mehr hat, können Sie diese neu bestätigen. Sie können eigentlich nichts kaputt machen, daher seien Sie großzügig bei dem Entzug der Berechtigungen.

Was tun, wenn Sie den Scam Link schon geklickt haben

  • Sichern Sie wichtige persönliche Daten auf einen externen Datenträger. Wenn Sie regelmäßig Backups machen, entfällt dieser Schritt.
  • Lassen Sie einen Malware Scan laufen. Entweder mittels eines schon installierten und geeigneten Programms oder Sie behelfen sich mit einem seriösen Online Tool.
  • Ändern Sie alle Passwörter. Als erstes das Passwort Ihres betroffenen E-Mail-Kontos aber danach auch alle anderen Passwörter wie beispielsweise von Twitter, Instagram, Facebook, Amazon und andere Seiten, auf denen Sie Ihre Zahldaten hinterlegt haben.
  • Richten Sie für Ihre Logins bei wichtigen Diensten die Zwei-Faktor-Authentifizierung ein.
  • Informieren Sie Ihre Bank, dass sie auf auffällige Kontobewegungen achten möge. Wenn Sie auf Nummer Sicher gehen wollen, fordern Sie bei Ihrem Kreditkartenunternehmen neue Karten an.
  • Informieren Sie Freunde, Bekannte und Geschäftspartner, dass diese nicht auf mögliche Scam Links hereinfallen sollen. Das kann unangenehm sein, doch ist es besser, man sorgt vor, als dass man später dafür gerügt wird, dass man nicht gewarnt hat. Bedenken Sie die Konsequenzen.
  • Wenn Sie eine Cyber-Versicherung von Hiscox haben, wenden Sie sich am besten an die IT-Spezialisten des Versicherers. Dafür gibt es eine extra Krisen-Hotline. Die Nummer finden Sie in Ihren Vertragsunterlagen.

Hoffentlich fällt nun niemand mehr auf diese Masche herein. Und denken Sie immer daran: Heute ist es Google Docs, morgen ist es ein anderes cloudbasiertes Tool oder Dienst. Kontrollieren Sie immer genauestens, auf welche Links Sie klicken, auch aus vertrauenswürdigster Quelle. Die Hacker sind präsenter, als man glaubt.

Der Tipp zum Schluss: Mailen Sie keine Benachrichtigungen zu einem freigegebenen Google-Doc direkt über Google Drive. Teilen Sie es einfach auf einem anderen Wege mit. Eine persönliche E-Mail, eine Message in WhatsApp, Slack oder ähnlichen Nachrichtenplattformen macht hier Sinn.

Weitere Artikel zum Thema IT-Sicherheit:

Cyber-Glossar: Was ist eigentlich…

Cyber-Attacke? Das passiert doch nur den anderen!

Fiese Kekse: Wie Cookies & Co. die Firmensicherheit gefährden können

Security für Corporate Blogs – Erste Hilfe und Sicherheitsmaßnahmen

Scam wird immer besser – Vorsicht Falle

 

Nicole Y. JodeleitAutorin dieses Beitrags:

Nicole Y. Jodeleit ist Freiberuflerin für Online-Kommunikation und schreibt auf verschiedenen Corporate Blogs über unterschiedliche Themen. Auf dem eigenen Blog Auto-Diva hat sie ihr Interesse für Autos und Technik zur Passion gemacht.

 

So können Sie sich gegen Phishing und weitere Cyber-Risiken absichern
So können Sie sich gegen Phishing und weitere Cyber-Risiken absichern: https://www.hiscox.de/geschaeftskunden/cyber-versicherung/