Awareness

Google Docs Kommentarfunktion wird für Phishing-Angriffe genutzt

Aktualisiert am

Google Docs – einfache Tabellenkalkulation sowie ein Textverarbeitungsprogramm im Web Browser. Praktisch, kostenfrei und auch deshalb für Kriminelle interessant. Die Umgebung von Google wird nämlich aktuell für Phishing-Angriffe genutzt. Dabei wird besonders auf die Kommentarfunktion gesetzt. Textzeilen können z.B. markiert und mit einem Hinweis versehen werden.

Sobald ein Kommentar im Dokument gesetzt wird, geht eine entsprechende E-Mail zur Benachrichtigung raus. In der E-Mail ist dann das Dokument, der Kommentar und der schadhafte Link zu sehen.

Google Docs als Sprungbrett für Phishing-Kampagnen

Wer in einem Text oder einer Tabelle ein “@”-Zeichen, gefolgt vom Benutzernamen bzw. der E-Mail setzt, der kann ein Kommentar schreiben. Dieser Inhalt wird von von einer Google-Domain an die entsprechende versendet. Dieser Schritt ist der kritische – denn die Reputation und das Vertrauen von Google wird verwendet um zu einem Klick seitens des Opfers zu motivieren.

Das Blacklisting einer Google-Domain oder von IP-Adressen bringt zwar einen Spam-Schutz mit sich, kann jedoch weitere unbeliebte Funktionen mit sich bringen. Schließlich ist Google längst mehr als nur eine Suchmaschine.

Kostenfreier Account, anonyme Anmeldung, E-Mail Service by Google

Bei der Phishing-Attacke mit der Hilfe von Google Docs kommt viel zusammen, was für Kriminelle interessant ist:

  • Accounts können anonym registriert werden
  • Reputation durch den Anbieter ist vorhanden
  • Der Anbieter versendet E-Mails im eigenen Namen

So kann ein Angreifer nun daher gehen, ein Dokument eröffnen und nun ein Kommentar verfassen. Der platzierte Link führt das Opfer auf die gewünschte Seite des Kriminellen. Mit der Verwendung von Namen von Freunden oder Bekannten lässt sich die Wahrscheinlichkeit eines Klicks erhöhen. An dem Punkt kommt in de Regel eine OSINT-Recherche zum Einsatz.

Das fatale ist, dass das Opfer selber nicht auf das Google Doc Dokument zugreifen muss. Da der Kommentar inkl. Link in der E-Mail von Google mitgesendet wird, genügt ein Klick aus der E-Mail heraus auf den Link. Daher fällt auch die Prüfung des Dokuments weg – es ist schlichtweg nicht nötig es aufzurufen.

An der Stelle sollte nicht unerwähnt bleiben, dass dieses Vorgehen grundsätzlich auch in Google Slides bzw. Google Präsentationen möglich ist. Unterm Strich bleibt aber anzuerkennen, dass das Tabellen und Textprogramm die häufiger genutzte Software ist.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.