Die gefälschten E-Mails tarnen sich als Sicherheitswarnungen - angeblich habe sich jemand von einem unbekannten Gerät aus im Google-Drive- oder
Dropbox-Konto eingeloggt. Die Spam-Nachrichten, die angeblich von Gmail kamen und den Empfänger warnten, enthalten zudem Links, um beispielsweise das Passwort des Cloud-Dienstes zu ändern. Diese Links verweisen allerdings auf eine Google-Drive-URL, über die ein Hintertürschädling der Online-Spione verteilt wird.
Das Herunterladen dieser Spionagesoftware erfolgt über das sichere HTTPS-Protokoll, so dass auch die Sicherheitsmechanismen mancher Webfilter umgangen werden. Ferner tricksen die Angreifer zahlreiche E-Mail-Reputationsdienste aus, indem sie für den Versand der Spam-Mails Server mit deren IPv6-Adresse verwenden. Viele E-Mail-Reputationsdienste filtern bislang allerdings ausschließlich anhand der IPv4-Adresse.
Die Spam-Mail ist einer richtigen Gmail-Kundennachricht sehr ähnlich. Die angezeigte Mailadresse und die angebliche Quelladresse stimmen allerdings nicht überein. Zudem zeigt der Header der E-Mail, dass die Nachricht von einem Mail-Formular einer Website aus gesendet wurde.
Sämtliche Links der gefälschten E-Mail verweisen auf eine HTML-Datei bei Google Drive. Diese HTML-Datei dient dazu, das Betriebssystem und den Browser des Nutzers zu erkennen und den passenden Backdoor-Schädling zu installieren. Auf Systemen mit
Firefox wird die Backdoor dann beispielsweise als XPI-Datei an den ahnungslosen Nutzer geschickt.
Die Sicherheitsexperten von Trend Micro raten Anwendern, sich gegen derartige Bedrohungen zu wappnen und ein paar grundsätzliche Verhaltensregeln zu beachten:
- Bei Sicherheitswarnungen von Google Drive, Dropbox oder anderen Cloud-Diensten, sollten sie im Adressfeld prüfen, ob die Absenderadresse wirklich vom angeblichen Versender stammt. Wenn nicht, befindet sich im Absenderfeld eine zweite, abweichende Adresse.
- Auch wenn die Sicherheitswarnung von vertrauenswürdigen Absender zu stammen scheint, sollten Anwender niemals auf eingebettete Links klicken, um ihre Kontodaten zu prüfen. Loggen Sie sich stattdessen über die Startseite des Diensteanbieters ein, um Ihre persönlichen Daten zu überprüfen und gegebenenfalls zu ändern.
- Wenn Ihr Cloud-Service-Anbieter Mechanismen zur Multifaktorauthentifizierung, etwa über die zusätzliche Eingabe eines per SMS zugestellten Einmalpasswortes oder über Sicherheitscodes, zur Verfügung stellt, sollten Sie diese auf jeden Fall nutzten.
Weitere Informationen zu den gefälschten Login-Warnungen für Google Drive und Dropbox finden Sie im deutschsprachigen
Trend Micro-Blog.