Phishing: Falsche Cloud-Speicher-Warnung nachverfolgt

**Phishing-Angriff: Untersuchung einer manipulierten Cloud-Speicher-Benachrichtigung**

Momentan zirkulieren Phishing-E-Mails, die fälschlicherweise vor einem angeblich vollen Cloud-Speicherplatz warnen. Ein aufmerksamer Leser von heise online bemerkte, dass die angegebene IP-Adresse auf einen Google-Server in Irland hindeutete. Diese Auffälligkeit hat heise online dazu veranlasst, der Sache auf den Grund zu gehen.

Ein Nutzer berichtete von einer E-Mail, die optisch den Anschein erweckte, von einem bekannten Cloud-Dienstleister (wie iCloud oder Microsoft 365) zu stammen. Diese Nachricht forderte dazu auf, den belegten Speicherplatz zu kontrollieren und bei Bedarf zu erweitern, um potenziellem Datenverlust vorzubeugen. Der enthaltene Link führte zu einer Anmeldeseite. Beim Überprüfen dieses Links, genauer gesagt der URL `https://[Domain]/[Path]` und der zugehörigen IP-Adresse `34.XXX.XXX.XXX`, stellte der Leser fest, dass diese zu `google.com` in Irland gehörte. Eine solche Zuordnung ist für Phishing-Websites untypisch, da diese häufig auf kompromittierten Servern oder gemieteten virtuellen privaten Servern (VPS) von Kriminellen betrieben werden.

Die über den Link erreichte Webseite präsentierte ein Anmeldeformular, dessen Erscheinungsbild dem eines namhaften Cloud-Anbieters täuschend ähnlich war. Sobald Zugangsdaten dort eingegeben werden, erfolgt eine Weiterleitung, in der Regel zu einer tatsächlichen Anmeldeseite des echten Dienstes. Dies dient dazu, den Täuschungsversuch zu verschleiern. Zu diesem Zeitpunkt sind die eingegebenen Informationen jedoch bereits von den Angreifern erfasst worden.

Die ermittelte IP-Adresse `34.XXX.XXX.XXX` ist einem Google-Rechenzentrum in Dublin zugeordnet. Dies deutet darauf hin, dass der Phishing-Server innerhalb der Google Cloud-Infrastruktur betrieben wird. Somit missbrauchen die Angreifer die Dienste von Google selbst. Für Google ist dieser Umstand nicht unbekannt; das Hosting von Phishing-Seiten auf Google Cloud oder Firebase ist bereits dokumentiert. Google reagiert in der Regel zügig, sobald ihnen ein solcher Missbrauch gemeldet wird.

Ein früherer Bericht von heise online aus dem Januar 2024 beleuchtete bereits die Problematik von Phishing-Seiten, die auf Googles Firebase gehostet wurden. Damals hatten Kriminelle die App-Entwicklungsplattform von Google für ihre betrügerischen Absichten instrumentalisiert. Es wurde auch darauf hingewiesen, dass ähnlicher Missbrauch bei Microsoft Azure vorkommt.

Um einen authentischen Eindruck zu vermitteln und Eingabefehler, wie etwa ein fehlendes @-Zeichen bei E-Mail-Adressen, abzufangen, sind die Anmeldeformulare bei Phishing-Angriffen häufig mittels JavaScript technisch aufbereitet.

Die aktuell beobachtete Phishing-E-Mail ist professionell gestaltet und verwendet den Namen eines tatsächlichen Cloud-Anbieters im Absenderfeld. Der im E-Mail-Text enthaltene Link war nicht direkt als Hyperlink sichtbar, sondern wurde als Schaltfläche dargestellt. Diese Schaltfläche zeigte einen Link der Form `https://app.[Domain].de/…/view` an, der den Anschein einer internen Dokumentenfreigabe erwecken sollte. Durch diese Methode, bei der der eigentliche Link hinter einem Button verborgen ist, können E-Mail-Scanner, die lediglich den sichtbaren Text analysieren, umgangen werden.

Sollte jemand unabsichtlich auf eine derartige Phishing-Seite geraten und dort seine Zugangsdaten eingegeben haben, ist es dringend geboten, umgehend das Passwort zu ändern und die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren, sofern diese noch nicht eingerichtet war. Ist die 2FA bereits in Gebrauch, kann dies den möglichen Schaden reduzieren, da den Angreifern das zweite Authentifizierungsmerkmal fehlt. Darüber hinaus sollte man prüfen, ob die gleichen Zugangsdaten auch für andere Online-Dienste verwendet wurden, und diese dort ebenfalls ändern.

Die untersuchte E-Mail wurde über den E-Mail-Dienst `mailjet.com` versandt. Dieser Dienst wird von Kriminellen häufig missbraucht, da er das Versenden großer E-Mail-Mengen ermöglicht und keine strengen Kontrollen bezüglich der Absenderidentität durchführt. Mailjet ist in der Vergangenheit bereits mehrfach wegen des Einsatzes für Spam- und Phishing-Kampagnen aufgefallen.

Gegenwärtig ist Mailjet im Subnetz 109.124.237.0/24 registriert. Ein anderer Leser hatte bereits über Google VirusTotal einen Eintrag entdeckt, der die Mailjet-Domain explizit als Spam kennzeichnete. Des Weiteren wurde das SSL-Zertifikat der Phishing-Webseite von „R3“ ausgestellt, einem weit verbreiteten Anbieter für Let’s Encrypt. Dies trägt dazu bei, dass die gefälschten Seiten einen seriöseren Eindruck vermitteln.

E-Mails, die zur Überprüfung des Cloud-Speichers auffordern, sollten stets mit Skepsis betrachtet werden. Es wird dringend davon abgeraten, auf Links in derartigen Nachrichten direkt zu klicken. Stattdessen ist es ratsam, die offizielle Webseite des jeweiligen Anbieters eigenhändig in den Browser einzugeben und sich dort anzumelden.

https://www.heise.de/news/Phishing-Falsche-Cloud-Speicher-Warnung-nachverfolgt-11164973.html