Google über DKIM-Replay-Angriff manipuliert

Bei einem als besonders ausgeklügelt eingestuften Phishing-Angriff haben Cyberkriminelle eine ungewöhnliche Methode angewandt, um gefälschte E-Mails über die Infrastruktur von Google zu verschicken. Die Nachrichten wirkten auf den ersten Blick vertrauenswürdig und führten die Empfänger gezielt auf täuschend echt gestaltete Webseiten, auf denen sie zur Eingabe ihrer Zugangsdaten verleitet wurden.

Täuschend echt: Phishing-Mail erscheint als legitime Google-Warnung

Die betrügerische E-Mail durchläuft erfolgreich die DKIM-Signaturprüfung und wird von Gmail ohne jegliche Warnhinweise dargestellt – sie erscheint sogar im gleichen Nachrichtenverlauf wie echte Sicherheitsbenachrichtigungen von Google.

Inhaltlich täuscht die Nachricht eine behördliche Vorladung vor: Die Empfänger werden darüber informiert, dass angeblich Inhalte aus ihrem Google-Konto von Strafverfolgungsbehörden angefordert wurden. Über einen Link zu sites.google[.]com sollen die Betroffenen angeblich „Fallunterlagen einsehen“ oder „Einspruch einlegen“ – ein Vorwand, um sie auf eine gefälschte Webseite zu locken.

Gefälschte Support-Seite auf Google Sites täuscht Nutzer – Angriff nutzt Sicherheitslücken in veralteter Plattform

Die von Angreifern verwendete URL auf Google Sites führt zu einer täuschend echt gestalteten Webseite, die stark an das Design der offiziellen Google-Supportseite erinnert. Sie enthält Schaltflächen wie „Zusätzliche Dokumente hochladen“ oder „Fall anzeigen“. Wer darauf klickt, wird auf eine gefälschte Anmeldeseite für Google-Konten weitergeleitet – eine nahezu perfekte Kopie der echten Login-Seite, mit dem einzigen Unterschied, dass sie auf sites.google.com gehostet ist.

Sicherheitsforscher Johnson erklärt: „Sites.google.com ist ein Relikt aus einer Zeit, in der Google Sicherheitsaspekte noch nicht umfassend berücksichtigt hat. Die Plattform erlaubt es Nutzern, Inhalte unter einer Google-Subdomain zu veröffentlichen – inklusive der Möglichkeit, beliebige Skripte und externe Inhalte einzubetten.“

Gerade diese Offenheit macht das Tool für Cyberkriminelle besonders attraktiv. „Es ist denkbar einfach, eine Phishing-Seite zur Datenerfassung zu bauen. Wenn Google sie entfernt, laden die Angreifer einfach eine neue Version hoch. Erschwerend kommt hinzu, dass es über die Sites-Oberfläche keine Funktion gibt, um Missbrauch direkt zu melden.“

Ein besonders raffinierter Teil des Angriffs: Die Phishing-Mail zeigt im „Signed by“-Header scheinbar vertrauenswürdig accounts.google[.]com an – obwohl die tatsächliche Absenderadresse im „Mailed by“-Feld eine vollkommen andere Domain aufweist (fwd-04-1.fwd.privateemail[.]com). Diese technische Manipulation trägt zusätzlich dazu bei, dass Empfänger die Nachricht für authentisch halten.

Tiefer Blick in den Abgrund: Analyse einer verdächtigen Phishing-Mail

Im Rahmen einer genaueren Untersuchung habe ich die verdächtige E-Mail in einer isolierten Sandbox-Umgebung analysiert – einem sicheren Testbereich, der speziell für die Analyse potenziell schädlicher Inhalte konzipiert ist. Der erste Eindruck war trügerisch:

• Die Absenderadresse wirkte authentisch und entsprach scheinbar einer offiziellen no-reply-Domain von Google.

• Sprache und Layout waren professionell gestaltet, das Branding wirkte durchdacht.

• Es gab weder auffällige Grammatikfehler noch verdächtige Dateianhänge.

Doch wie so oft bei modernen Phishing-Angriffen liegt die Täuschung im Detail. Ein genauer Blick in die E-Mail-Header und die Authentifizierungsinformationen – insbesondere SPF, DKIM und DMARC – offenbarte erste Unstimmigkeiten. Trotz der scheinbaren Legitimität gab es technische Hinweise darauf, dass die Nachricht nicht aus vertrauenswürdiger Quelle stammte.

Die böswillige Aktivität wurde als DKIM-Replay-Angriff charakterisiert, bei dem der Angreifer zunächst ein Google-Konto für eine neu erstellte Domain („me@<domain>“) und anschließend eine Google OAuth-Anwendung mit einem Namen erstellt, der den gesamten Inhalt der Phishing-Nachricht enthält.

„Nun gewähren sie ihrer OAuth-App Zugriff auf ihr Google-Konto ‚me@…’“, so Johnson. ‚Dadurch wird eine Sicherheitswarnung von Google generiert, die an die E-Mail-Adresse ‘me@…‘ gesendet wird. Da die E-Mail von Google generiert wurde, ist sie mit einem gültigen DKIM-Schlüssel signiert und durchläuft alle Prüfungen.“

Anschließend leitet der Angreifer dieselbe Nachricht von einem Outlook-Konto weiter, wobei die DKIM-Signatur intakt bleibt, sodass die Nachricht laut EasyDMARC die E-Mail-Sicherheitsfilter umgeht. Die Nachricht wird anschließend über einen benutzerdefinierten Simple Mail Transfer Protocol (SMTP)-Dienst namens Jellyfish weitergeleitet und von der PrivateEmail-Infrastruktur von Namecheap empfangen, die die Weiterleitung an das Ziel-Gmail-Konto ermöglicht.

„Zu diesem Zeitpunkt erreicht die E-Mail den Posteingang des Opfers und sieht wie eine gültige Nachricht von Google aus. Alle Authentifizierungsprüfungen zeigen, dass SPF, DKIM und DMARC bestanden wurden“, sagte Gerasim Hovhannisyan, CEO von EasyDMARC.

Quelle: EasyDMARC

Neun Monate nach Sicherheitslücke: Neue Phishing-Welle nutzt SVG-Dateien für raffinierte Angriffe

Fast neun Monate nach der Aufdeckung einer schwerwiegenden Sicherheitslücke bei dem E-Mail-Sicherheitsanbieter Proofpoint durch die Sicherheitsforscher von Guardio Labs, wird das Ausmaß der damaligen Angriffe allmählich deutlicher. Die inzwischen behobene Fehlkonfiguration hatte es Cyberkriminellen ermöglicht, Authentifizierungsmechanismen zu umgehen und im Namen renommierter Unternehmen wie Best Buy, IBM, Nike und Walt Disney massenhaft gefälschte E-Mails zu verschicken.

Zeitgleich rollt eine neue Welle ausgeklügelter Phishing-Kampagnen über das Netz. Angreifer setzen dabei verstärkt auf Anhänge im SVG-Format. Diese Dateien enthalten eingebetteten HTML-Code, der beim Öffnen ausgeführt wird und Nutzer auf täuschend echt gestaltete Login-Seiten führt – etwa eine gefälschte Microsoft-Anmeldemaske oder eine imitierte Google-Voice-Webseite. Ziel der Attacken ist es, Anmeldedaten zu stehlen.

---

Bild/Quelle: https://depositphotos.com/de/home.html

---