Google bekämpft eine Phishing-Attacke über Gmail-Konten, die über Nacht auf besonders perfidem Wege mutmaßlich hunderttausende Konten gekapert hat.

Eine neue Art des Google-Mail-Phishings hielt in der Nacht zum heutigen Donnerstag das Internet in Atem: Eine Mail mit einem offiziell aussehenden Google-Button gab dem Versender mit einem Klick des Opfers komplette Kontrolle über dessen Gmail-Konto. Ab da verbreitet sich die Mail wurmartig fort und verschickt sich an das Adressbuch des Opfers. Das perfide: Die Rechte-Abfrage, mit dem das Opfer die App autorisieren muss, gab an, es handele sich bei der App um Google Docs.

Die Phishing-App war natürlich nicht das echte Google Docs, allerdings hatte es jemand mit der Mail-Adresse eugene.popov@gmail.com geschafft, seine App "Google Docs" zu nennen. Ohne einen Klick auf den Namen der App in der Rechte-Abfrage war das aber nicht zu erkennen. Sehr viele Nutzer machten diesen Klick offensichtlich nicht und fielen auf die Betrugsmasche herein.

Google regierte prompt und deaktivierte den Account des App-Entwicklers. Außerdem, so die Firma, wolle man in Zukunft verhindern, dass sich ein ähnlicher Angriff wiederholt. Warum Google es überhaupt im eigenen Ökosystem Entwicklern erlaubt hatte, Apps Google Irgendwas zu nennen, lädt zum Nachdenken ein.

Das Ganze war angeblich ein Projekt für eine Uni-Arbeit

Eugene Popov, Student der Universität von Coventry im Vereinigten Königreich, beteuert derweil seine Unschuld. Er ist der mutmaßliche Auslöser der Phishing-Welle, streitet aber ab, dass es sich um Phishing handelt. Die Mails seien lediglich "ein Test" gewesen – Teil seiner Abschlussarbeit für die Universität.

Allerdings erklärt er nicht, warum er dafür einen bösartigen Wurm auf das öffentliche Netz losließ. Auf Twitter beschuldigen ihn außerdem einige Nutzer des Versuchs, Malware über den Angriffsweg auf dem lokalen Rechner der Opfer installiert zu haben. Das konnte heise online bisher allerdings nicht bestätigen. (fab)