Betrügerischer Schachzug mit gefälschten Google-Mails

Cyberkriminelle sind ständig auf der Suche nach neuen Methoden, um ahnungslose Nutzer mit täuschend echten Phishing-Mails in die Falle zu locken. Aktuell berichten Sicherheitsexperten von einem besonders dreisten Fall: Unbekannte Angreifer haben gefälschte Google-Mails versendet, in denen Empfänger über angebliche Vorladungen informiert wurden.

E-Mail Spoofing auf ganz neue Art

Die Betrüger verwendeten die Absenderadresse [email protected] – eine Adresse, die tatsächlich zu Google gehört. Normalerweise schützt Google seine E-Mails mit Technologien wie DKIM (DomainKeys Identified Mail), um Spoofing zu verhindern. In diesem Fall gelang es den Angreifern jedoch, diese Sicherheitsvorkehrungen zu umgehen.

Verborgene Gefahren in gefälschten Links

Die E-Mails führten die Opfer auf eine bei Google Sites gehostete Phishing-Seite, die der echten Google-Support-Website zum Verwechseln ähnlich sah. Sicherheitsforscher Nick Johnson beschreibt diese Wahl als besonders dreist, da die Nutzer durch die google.com-Domain leicht in die Irre geführt werden.

Vorsicht bei der Anmeldung!

Wer dem Link in der Phishing-Mail folgt, wird aufgefordert, sich mit seinem Google-Konto anzumelden. Dadurch können die Betrüger die Zugangsdaten stehlen. Empfänger sollten daher unbedingt von Interaktionen mit der gefälschten Seite Abstand nehmen!

Ein raffinierter Trick zur Täuschung

Interessanterweise wurden die Phishing-Mails tatsächlich von Google signiert, was sie noch glaubwürdiger macht. Die Angreifer registrierten eine eigene Domain und erstellten ein Google-Konto, um eine neue OAuth-Anwendung zu generieren. Der Name dieser Anwendung war der gesamte Inhalt der Phishing-Nachricht, gefolgt von vielen Leerzeilen.

Scrollen für den Schock!

Nutzer, die nicht aufpassen, scrollen möglicherweise bis zum Ende der Phishing-Mail und erkennen erst dann den Betrug. Die OAuth-App gewährte nur Zugang zum Konto des Angreifers, aber die Sicherheitsmeldung ließ den Empfänger glauben, dass alles legitim sei. Das ist der perfide Weg, wie viele Opfer in die Falle gelockt werden.

Schütze deine Daten!

Um sich effektiv zu schützen, sollten Nutzer immer misstrauisch gegenüber E-Mails sein, die nach persönlichen Daten fragen. Eine gründliche Kontrolle der E-Mail-Absenderadresse sowie das Erkennen von verdächtigen Links sind entscheidend, um nicht in die Fänge von Cyberkriminellen zu geraten.