Die Hacker missbrauchen dabei Benachrichtigungen, um Phishing-E-Mails an den Sicherheitsmaßnahmen vieler Postfächer vorbeizuschmuggeln. Google Calendar ist ein Tool zur Organisation von Zeitplänen und zur Zeitverwaltung, das Einzelpersonen und Unternehmen bei der Planung ihrer Arbeitszeit unterstützt. Nach Angaben von Calendly.com wird Google Calendar von mehr als 500 Millionen Menschen genutzt und ist in 41 verschiedenen Sprachen verfügbar. Kürzlich haben Cyber-Sicherheitsforscher von Check Point beobachtet, wie Hacker spezielle Google-Tools – Google Calendar und Google Drawings – manipuliert haben. Viele der E-Mails erscheinen legitim, da sie direkt von Google Calendar zu stammen scheinen.
Änderung der Absenderkopfzeilen
Die Cyber-Kriminellen ändern die Kopfzeilen der Absender und lassen die E-Mails so aussehen, als ob sie über Google Calendar im Namen einer bekannten und rechtmäßigen Person versendet wurden. Rund 300 Marken sind bisher von dieser Kampagne betroffen, wobei die Sicherheitsforscher innerhalb von zwei Wochen 2300 dieser Phishing-E-Mails beobachteten.
Bei den Phishing-Angriffen nutzten die Angreifer zunächst die benutzerfreundlichen Funktionen von Google Calendar aus, indem sie Links zu Google Forms erstellten. Nachdem sie jedoch festgestellt hatten, dass Sicherheitsprodukte betrügerische Kalendereinladungen erkennen konnten, verbesserten die Hacker den Angriff, um ihn an die Funktionen von Google Drawings anzupassen.
Details werden für Finanzbetrügereien verwendet
Cyberkriminelle wollen Nutzer dazu verleiten, auf bösartige Links oder Anhänge zu klicken, die den Diebstahl von Unternehmens- oder personenbezogenen Daten ermöglichen. Nachdem eine Person unwissentlich sensible Daten preisgegeben hat, werden die Details dann für Finanzbetrügereien verwendet, bei denen Hacker einen Kreditkartenbetrug, nicht genehmigte Transaktionen oder ähnliche illegale Aktivitäten durchführen können. Die gestohlenen Informationen können auch verwendet werden, um die Sicherheitsmaßnahmen anderer Konten zu umgehen, was zu einer weiteren Gefährdung führt.
Die ersten E-Mails enthalten meist einen Link oder die Kalenderdatei (.ics) mit einem Link zu Google Forms oder Google Drawings. Die Nutzer werden dann aufgefordert, auf einen weiteren Link zu klicken, der oft als gefälschte reCAPTCHA oder Support-Schaltfläche getarnt ist. Nach dem Klicken auf den Link wird der Benutzer zu einer Seite geleitet, die wie eine Landing Page für das Mining von Krypto-Währungen oder eine Bitcoin-Support-Seite aussieht.
Diese Seiten sind in Wirklichkeit dazu gedacht, Finanzbetrug zu begehen. Sobald die Nutzer diese Seite erreichen, werden sie aufgefordert, einen gefälschten Authentifizierungsprozess zu durchlaufen, persönliche Daten einzugeben und schließlich Zahlungsdetails zu übermitteln.
Auf Nachfrage erklärte Google: „Wir empfehlen Nutzern, die Einstellung ‚Bekannte Absender‘ in Google Calendar zu aktivieren. Diese Einstellung hilft, sich gegen diese Art von Phishing zu schützen, indem sie den Nutzer warnt, wenn er eine Einladung von einer Person erhält, die nicht in seiner Kontaktliste steht oder mit der er in der Vergangenheit nicht über seine E-Mail-Adresse interagiert hat.“
Kommentare