Dem Einbrecher den Schlüssel reichen
Published on Wednesday, May 3, 2017 10:01:55 PM UTC in Security
Als ich gerade eben eine E-Mail mit einem angeblichen Link zu einem geteilten "Google Docs"-Dokument erhielt, wurde ich skeptisch: mit der betreffenden Person hatte ich schon länger keinen Kontakt mehr, und die E-Mail kam völlig kommentarlos. Es roch stark nach Spam und Phishing, aber andererseits sah die E-Mail sehr authentisch aus, und der Link führte eindeutig zur Domäne google.com - eine gute Gelegenheit, sich die Details anzusehen.
Der exakte Link in der E-Mail lautete wie folgt (Umbrüche von mir eingefügt):
Clever. Was versucht wird ist:
- Der Benutzer wird zur (echten) Google-Seite geschickt, mit der man Apps den Zugriff auf seine Daten erteilen kann
- Offensichtlich besitzt (oder besaß) die App eine gültige Client-Id, um ein Token anzufordern
- Die gewünschten Scopes umfassen den Zugriff auf die E-Mails und Kontakte des Benutzers
- Bestätigt der Benutzer diesen Zugriff, wird er auf eine Webseite umgeleitet, die irgendwie nach Google klingt (es aber nicht ist)
- Diese Webseite erhält das Token und damit die angeforderten Zugriffsrechte
Das für mich Neue daran ist, dass eine Phishing-Mail nicht versucht, den Benutzer auf eine gefälschte Anmeldeseite o.ä. umzulenken, sondern dass hier der ganz offizielle Weg beschritten wird: Google selbst fragt den Benutzer um Erlaubnis für die bösen Jungs. Dummerweise, das haben andere herausgefunden, hat man ihnen auch noch erlaubt, ihre Malware unter dem Namen "Google Docs" zu registrieren.
Vermutlich dauert der Spuk nicht lange an. Da die Malware auf Google als Authority für die Tokens angewiesen ist, dürfte dem zügig ein Ende bereitet werden. Dennoch ein bemerkenswerter Einfall, und sicherlich auch von einer Qualität, auf die auch der ein oder andere erfahrene User hereingefallen sein dürfte.
Tags: Phishing Email