Phishing: Gefährliche Google-Links

Auch Links auf scheinbar vertrauenswürdige Domains wie die von Google führen immer wieder auf bösartige Phishing-Seiten.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 41 Beiträge
Von

Das Überprüfen, ob Links in E-Mails auf verdächtige Ziele zeigen, schützt nicht ausreichend vor Phishing. So nutzen etwa aktuelle Amazon-Phishing-Kampagnen häufig Google-Links, um die Opfer auf die Phishing-Server zu leiten. Dort erwartet sie dann ein Anmeldeformular im vertrauten Amazon-Look. Die eingegebenen Daten landen jedoch bei den Betrügern. Diese nutzen die Tatsache aus, dass Google einen sogenannten Redirect-Service anbietet, der nur unzureichend abgesichert ist. Die Idee ist, dass Anwender und Mailfilter einer Google-URL mehr Vertrauen entgegenbringen als einer dubiose, unbekannten Domain.

Nein, diese URL führt nicht zur versprochenen Amazon-Anmeldung sondern auf eine bösartige Phishing-Seite zum Klau von Login-Daten.

(Bild: Screenshot)

Das Problem ist seit vielen Jahren bekannt und Google sieht es erklärtermaßen nicht als Sicherheitsproblem an, dass die eigenen Server Code ausliefern, der Anwender auf bösartige Seiten verschickt. Der Internet-Konzern versucht zwar, konkreten Missbrauch der Redirect-Services zu unterbinden, die Maßnahmen greifen jedoch zu kurz und Phishern gelingt es immer wieder sie zu umgehen.

Die aktuellen Kampagnen nutzen den bekannten Redirect-Service unter https://www.google.de/url? und anderen Google-Domains. Dabei kann man mit dem Parameter url ein Ziel vorgeben, für das eine Umleitung erzeugt wird. Der Parameter usg muss dazu ein für dieses Ziel gültiges Token enthalten, damit diese Umleitung ohne Benutzerinteraktion funktioniert. Ansonsten erscheint eine Warnung "Diese Seite versucht ..." Wie man diese Tokens erzeugt, ist nicht dokumentiert.

Doch Betrügern gelingt es immer wieder passende Google-URLs für ihre Zwecke zu erstellen und Google kommt mit dem Sperren nicht hinterher. Das ganze sieht dann etwa so aus

hXXps://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&cad=rja&uact=8&ved=2ahUKEwiY_tPtxe7mAhWpsaQKHQ2AAhMQFjADegQIAhAB&url=http%3A%2F%2Fwww.platinumplace.co.th%2Finterview%2F&usg=AOvVaw2k6XdhvaxhS_shTODSKtC5

In diesem Fall ist die thailändische Site platinumplace vermutlich gehackt und liefert somit einen weiteren Redirect auf die eigentliche Phishing-Domain sellercentral.sellercentra-amazon-de.mywire.org. Da sich dieses Trauerspiel mit den gefährlichen Redirects seit fast 9 Jahren hinzieht, könnte man durchaus mal darüber nachdenken, Google-URLs das Vertrauen zu entziehen und sie etwa in E-Mails generell zu blockieren. (ju)