Raffinierter Google-Phishing-Angriff nutzt offizielle g.co-Domain aus
Ein raffinierter Phishing-Angriff, der gezielt Google-Konten ins Visier nimmt, wurde aufgedeckt. Die Angreifer machten sich dabei den offiziellen URL-Shortcut von Google, g.co, zunutze, um ihre Opfer zu täuschen. Besonders bemerkenswert ist, dass dieser Angriff selbst technisch versierte Nutzer beinahe überlistete. Mit einem vielschichtigen Ansatz gelang es den Tätern, das Vertrauen in die Marke und Infrastruktur von Google gezielt zu missbrauchen.
Der Angreifer, der sich als Google-Ingenieurin „Chloe“ ausgab, nahm über einen gefälschten Telefonanruf Kontakt auf, bei dem die Anrufer-ID als „Google“ manipuliert wurde. Während des Gesprächs behauptete er, dass das Konto des Opfers von Frankfurt, Deutschland, aus kompromittiert worden sei, und bot angeblich Unterstützung bei der Sicherung des Kontos an. Um seine Glaubwürdigkeit zu untermauern, verschickte der Angreifer eine E-Mail, die von einer scheinbar legitimen Google-Domain stammte: important.g.co. Diese enthielt eine Fallnummer und detaillierte Anweisungen. Die Verwendung der offiziellen Google-URL g.co verstärkte den Anschein der Echtheit zusätzlich und erschwerte es, die Nachricht als betrügerisch zu erkennen.
Offenbar wurde hier eine Schwachstelle in Google Workspace ausgenutzt, die es ermöglicht, ein neues Workspace-Konto mit einer beliebigen g.co-Subdomain zu erstellen und darüber E-Mails zu versenden, ohne die Subdomain zuvor verifizieren zu müssen.
important.g.co - sieht alles täuschend echt ausDer Angreifer nannte eine Telefonnummer, die tatsächlich auf Googles offizieller Support-Seite gelistet war, wodurch der Anschein von Legitimität weiter verstärkt wurde. Während des Gesprächs traten jedoch Widersprüche auf, etwa inkonsistente Anweisungen zum Rückruf und fragwürdige Erklärungen zur Kontosicherheit. Der Angreifer versuchte schließlich, Zugriff zu erlangen, indem er dem Opfer einen Zurücksetzcodes an dessen Gerät sendete. Wäre dieser eingegeben worden, hätte der Angreifer vollständige Kontrolle über das Konto erhalten.
Das Opfer, das zunehmend skeptisch wurde, zeichnete den Anruf auf und identifizierte dabei weitere Warnsignale. Dazu gehörten eine gefälschte Zwei-Faktor-Authentifizierungs-SMS sowie ein verdächtiges LinkedIn-Profil, das die angebliche Identität des Angreifers nicht bestätigen konnte. Trotz der Einhaltung bewährter Sicherheitspraktiken, wie der Überprüfung der Telefonnummer und der Analyse der E-Mail-Domain, entging das Opfer dem Betrug nur knapp.
Dieser Vorfall verdeutlicht die alarmierende Raffinesse moderner Phishing-Angriffe. Durch den Missbrauch vertrauenswürdiger Domains und die geschickte Anwendung sozialpsychologischer Taktiken gelingt es Tätern, selbst die Schutzmaßnahmen erfahrener Nutzer zu umgehen.
Die detaillierte Beschreibung zu diesem Phishing-Angriff wurde auf GitHub veröffentlicht.