Ein neuer Phishing-Betrug hat einen Google-Programmierer ins Visier genommen. Der Angriff war beunruhigend überzeugend und hat Google veranlasst, die Verteidigung zu verschärfen. Nicht sicher, wie man einen Phishing-Betrug erkennen kann? Folgen Sie unseren Tipps.

Ein neuartiger, ultra-realistischer Phishing-Betrug, über den ein Google-Programmierer berichtet hat, könnte uns alle ein wenig beunruhigen. Zach Latta warnte in einem kürzlich veröffentlichten Blogbeitrag: „Jemand hat gerade den raffiniertesten Phishing-Angriff versucht, den ich je gesehen habe. Ich wäre fast darauf reingefallen. Mein Verstand ist ein wenig verblüfft.“ Angefangen bei einem Anruf von der Rufnummer ‚Google‘ hat dieser Phishing-Versuch ausgereicht, um einen Google-Programmierer dazu zu bringen, nur noch einen Knopfdruck vom Unglück entfernt zu sein – hier ist, was wir bisher wissen.

Eine überzeugende Geschichte:
Auf der anderen Seite des Anrufs von Latta, der eine echte Nummer von Google Assistant-Anrufen war, war eine ‚Google-Ingenieurin‘ namens Chloe. Die Verbindung war ’super klar‘, wobei Latta feststellte, dass der Betrüger einen amerikanischen Akzent hatte und angab, von Google Workspace zu sein – und fragte, ob er kürzlich versucht habe, sich von Frankfurt, Deutschland, aus in sein Konto einzuloggen. Daraufhin fragte der Programmierer, ob ‚Chloe‘ dies durch eine E-Mail von einem offiziellen Google-Konto bestätigen könne. Beunruhigenderweise kam der Betrüger dem nach und schickte Latta eine unglaublich offiziell aussehende E-Mail mit einer Fallnummer. Nicht nur die E-Mail wurde gesendet, sondern sie wurde von der Adresse ‚workspace-noreply@ google.com‘ gesendet und bezog sich auf sein ‚Passwort für important.g.co‘, das der Angreifer als internes Google-Subnetz angab. Dies ist wichtig, denn selbst unsere TechRadar-Phishing-Tipps identifizieren dies als ernstzunehmendes Risiko. Aber g.co ist eine offizielle Google-URL – bestätigt von Google und sogar mit einer eigenen Wikipedia-Seite. Da Latta im Bereich der Technologie arbeitet, wusste er, die Telefonnummer zu überprüfen, und googelte die Nummer. Der Betrüger ermutigte ihn sogar dazu, dies zu tun, und empfahl ihm, seine Fallnummer anzugeben, wenn er anrief. Die Nummer ist auf google.com-Seiten aufgeführt, was für Latta ausreichte. Der Betrüger ermutigte Latta dazu, einen ‚Sitzungsreset‘ auf seinem Gerät durchzuführen, was beim Programmierer die Alarmglocken läuten ließ. Der erste Stolperstein des Betrugs kam, als Latta selbst seine Google Workspace-Logs überprüfte und natürlich keine verdächtige Aktivität fand. Als er weiter nachbohrte, begann der Betrug sich aufzulösen – der Angreifer übertrug dies an einen Manager, der Latta weiter ermutigte, sich von allen Geräten auszuloggen und sein Passwort zurückzusetzen. Schockierenderweise konnte der Betrüger den echten MFA-Code bereitstellen, der an Latta gesandt wurde und dem Angreifern Zugriff auf das Konto von Latta gegeben hätte, wenn er eingegeben worden wäre. Zum Glück konnte Latta die Warnsignale erkennen und war zu diesem Zeitpunkt bereits misstrauisch genug, um sein Konto nicht herauszugeben – aber der Betrüger war nah dran, gab Latta zu. „Buchstäblich 1 Knopfdruck davon entfernt, komplett beherrscht zu werden. Und ich bin ziemlich technisch!“ Dieser spezielle Angriff hat Google veranlasst, in Reaktion darauf die Verteidigung zu verstärken. „Wir haben das Konto hinter diesem Betrug gesperrt, der ein nicht überprüftes Workspace-Konto missbraucht hat, um diese irreführenden E-Mails zu senden“, sagte ein Google-Sprecher gegenüber TechRadarPro. „Wir haben keine Beweise dafür gesehen, dass dies eine weit verbreitete Taktik ist, aber wir verstärken unsere Abwehrmaßnahmen gegen Missbraucher, die auf g.co-Verweise bei der Anmeldung zurückgreifen, um Benutzer weiter zu schützen.“ Google betonte auch: „Google wird Sie nicht anrufen, um Ihr Passwort zurückzusetzen oder Kontoprobleme zu beheben.“

Die Nachricht folgt einem Trend, bei dem Cyberkriminelle schlauere und häufigere Angriffe starten, die teilweise durch KI ermöglicht werden. Dieser spezielle Betrug umging sogar die MFA und nutzte eine legitime Google-Domain, daher sollten selbst die technisch versiertesten unter uns wachsam sein.

Entkommen von Phishing-Angriffen:
Besorgniserregend an diesem speziellen Betrug ist, dass er Umgehungen für einige der klassischen Anzeichen eines Betrugs gefunden hat. Wie Latta sagte, „Das Verrückte ist, dass wenn ich die 2 ‚Best Practices‘ befolgt hätte, die Überprüfung der Telefonnummer + das Senden einer E-Mail von einer legitimen Domain, wäre ich kompromittiert worden.“ Die Überprüfung der Echtheit der E-Mail und der Telefonnummer ist sozusagen die erste Empfehlung für jegliche unerwartete Kommunikation – und das ist immer noch ein guter Rat, aber offensichtlich filtert er derzeit nur die niedrigeren Angriffe heraus. Wenn Sie nicht genau wissen, was genau ein Phishing-Angriff ist, haben wir einen Erklärungsartikel zusammengestellt. Trotzdem ist es ratsam, bei allen unbekannten Kommunikationen misstrauisch zu bleiben, insbesondere bei denen, die zum Handeln auffordern. Auf die freundlichste Art und Weise ist es unwahrscheinlich, dass Sie wichtig genug für Google sind, dass sie sich genug Gedanken machen würden, um Sie wegen Ihres persönlichen E-Mail-Kontos anzurufen – seien Sie also sehr vorsichtig, wenn Sie von jemandem kontaktiert werden, der aus dem Nichts auf Sie zugeht. Ein Google-Sprecher sagte gegenüber TheRegister: „Zur Erinnerung: Google wird Nutzer nicht anrufen, um ihre Passwörter zurückzusetzen oder Kontoprobleme zu beheben. Also betrachten Sie eingehende Anrufe ruhig als den Müll, den sie darstellen.“ Achten Sie auf offensichtliche Anzeichen wie schlechte Rechtschreibung oder Grammatik – und bedenken Sie, welche Organisationen bereits Ihren Namen kennen – es ist unwahrscheinlich, dass Ihre Bank eine E-Mail mit ‚Sehr geehrter Kunde‘ beginnen würde. Darüber hinaus sollten Sie keine Links in E-Mails von unbekannten Absendern anklicken und auch keine Anhänge öffnen oder QR-Codes scannen. Wenn Sie weitere Details möchten, werfen Sie einen Blick auf unsere vollständige Anleitung zur Phishing-Abwehr und wie man sie stoppt. Eine weitere Schutzschicht gegen Betrügereien ist die Verwendung des besten Identitätsschutzes, der helfen kann, wenn Sie aus Versehen auf das Falsche klicken.