- Ein dokumentierter Fall zeigt, wie ein Hacker die Subdomain (
important.g.co) von Googles offizieller Kurz-URL-Domain g.co für einen ausgefeilten Phishing-Angriff missbrauchte
- In der Anruferanzeige erschien „Google“, und auch die Rufnummer war (650) 203-0000, sodass der Anruf wie ein echter Anruf von Google wirkte
- Auch Gesprächsqualität und Sprachvermögen wirkten natürlich, sodass das Phishing nur schwer zu erkennen war
Überblick über den Gesprächsverlauf
- Der Anrufer gab sich als Mitarbeiter von „Google Workspace“ aus und erklärte, es habe kürzlich einen Anmeldeversuch von einer IP-Adresse aus Frankfurt gegeben
- Als der Nutzer misstrauisch wurde und verlangte, dies per offizieller Google-E-Mail zu bestätigen, schickte der Anrufer eine Mail von der Adresse
important.g.co
- Da es sich um eine Subdomain von
g.co handelte, die als von Google betrieben bekannt ist, sollte dies die Glaubwürdigkeit erhöhen
- Anschließend behauptete der Anrufer, die Gerätesitzung zurückzusetzen, schickte einen Zwei-Faktor-Authentifizierungs-Code (2FA) an den Nutzer und forderte ihn auf, diesen zu bestätigen
- Durch das Bestätigen des Codes konnte der Hacker Zugriff auf das Google-Konto des Nutzers erhalten
Analyse von E-Mail und Domain
g.co selbst ist Googles offizielle Kurz-URL-Domain- Es wird jedoch vermutet, dass eine Schwachstelle existiert, durch die Subdomains wie
important.g.co beliebig erzeugt werden konnten
- Offenbar wurde ein Fehler im Domain-Verifizierungsprozess von Google Workspace ausgenutzt, um ohne Prüfung eine
g.co-Subdomain zu übernehmen
- Auch DKIM/SPF der versendeten E-Mail bestanden die Prüfungen ordnungsgemäß, sodass die Nachricht wie eine echte Google-Mail erschien
Wichtige Punkte des Angriffsablaufs
- Telefon-Spoofing: Die Caller ID wurde so manipuliert, dass „Google“ angezeigt wurde
- Ähnlichkeit mit offiziellen Kontaktwegen: Unter Verweis auf eine bekannte Google-Telefonnummer und mit Anzeige der tatsächlichen Google-Support-Seite wurde Vertrauen aufgebaut
- Ausgefeilte Sprachführung: Sprache, Haltung und Ablauf des Anrufers wirkten äußerst überzeugend und erinnerten an einen echten Engineer
- E-Mails von einer
g.co-Subdomain: Dem Nutzer wurde eine Mail gesendet, die als „internes Google-Subnetz“ erklärt wurde, um Zweifel zu zerstreuen
- Anforderung eines 2FA-Codes: Am Ende wurde ein Abmelden der Gerätesitzung vorgetäuscht; bestätigte der Nutzer den 2FA-Code, konnte der Hacker auf das Konto zugreifen
Analyse von Hack Club
- Es wurde die Hypothese aufgestellt, dass sich über Google Workspace tatsächlich eine Subdomain wie
important.g.co sichern ließ
- Durch diese Schwachstelle konnten interne
g.co-Subdomains mit einem Google-Workspace-Konto verknüpft werden, wodurch sich E-Mails mit legitimer SPF/DKIM-Authentifizierung versenden ließen
- Mehrere Beteiligte prüften E-Mail-Header und Domain-Konfigurationen und bestätigten das Problem
Zusammenfassung
- Der Fall deutet darauf hin, dass selbst die traditionelle Prüfung von „offizieller Nummer“ und „E-Mail von offizieller Domain“ nicht immer ausreichend sicher ist
- Mehrere Indikatoren für eine vermeintlich echte Google-Kommunikation – Telefonnummer, Domain, DKIM/SPF – garantieren keine Vertrauenswürdigkeit
- In verdächtigen Situationen ist besondere Vorsicht geboten, wenn man aufgefordert wird, 2FA-Codes zu bestätigen oder weiterzugeben
- Es scheint sich um einen Fall zu handeln, bei dem Schwächen in Google Workspace und der Domain-Verifizierung ausgenutzt wurden; Sicherheitsverbesserungen auf Seiten des Anbieters sind erforderlich
1 Kommentare
Hacker-News-Kommentare
Ich bin schon auf Phishing-Seiten wie „colnbase.com“ gestoßen, und erst weil 1Password meine Zugangsdaten nicht automatisch ausgefüllt hat, habe ich das Problem erkannt. Solche Phishing-Seiten sind gefährlich genug, dass praktisch jeder darauf hereinfallen kann.
Anrufe, die angeblich von Tech-Unternehmen kommen, sind meistens Betrug. Weder die angezeigte Rufnummer noch der Akzent des Anrufers sind relevant.
Es gibt Phishing-Angriffe, bei denen SPF, DKIM und DMARC bestehen; dabei werden E-Mails versendet, indem ein Google Form geteilt wird.
Hinweise zum Zurücksetzen eines Passworts oder zu einer betrügerischen Zahlung betrachte ich als Phishing, solange ich sie nicht selbst ausgelöst habe. Ich halte es für sicherer, erst zu prüfen, ob tatsächlich ein Problem vorliegt, und dann zu handeln.
Für important.g.co gibt es keine DNS-Einträge, und es gibt offenbar einen Bug, durch den sich E-Mails aus einem nicht autorisierten Google Workspace versenden lassen. Ich vermute, dass Schutzmechanismen für die Domain g.co fehlen.
Wenn man die beiden „Best Practices“ befolgt hätte – die Telefonnummer zu verifizieren und E-Mails von einer legitimen Domain zu akzeptieren –, wäre man auf den Betrug hereingefallen. Allerdings wurde die erste Praxis nicht befolgt, und der Absender hatte ausdrücklich angegeben, dass er nicht angerufen werden könne.
Ich frage mich, wie man E-Mails von
workspace-noreply@google.comspoofen kann. Die Formulierung eines Passworts für „important.g.co“ wirkt merkwürdig, daher könnte es eine Strategie sein, ein „paralleles“ Konto mit derselben E-Mail-Adresse zu erstellen, damit es wie eine offizielle E-Mail aussieht.Ich hatte vor ein paar Monaten eine ähnliche Erfahrung: In Google Workspace gab es eine Funktion, mit der E-Mails an den Absender und zusätzlich ausgewählte Empfänger gesendet werden konnten. Als ich wegen einer Antwortmöglichkeit nachfragte, bekam ich die Auskunft, das sei nicht möglich, was mir verdächtig vorkam.
Google sollte gegen solche Angriffe deutlich entschlossener vorgehen. Es gibt ausgeklügelte Wege, über den Kontowiederherstellungsprozess Accounts zu übernehmen; ich habe das gemeldet, erhielt aber die Antwort: „kein Bug, als Missbrauchsrisiko eingestuft“.
Dass Domains ablaufen und dann von böswilligen Akteuren genutzt werden, um sich Systemzugriff zu verschaffen, ist ein Grund für den jüngsten Anstieg von Cyberangriffen.