{"id":29537,"date":"2022-11-29T12:46:23","date_gmt":"2022-11-29T10:46:23","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29537"},"modified":"2022-11-29T12:46:23","modified_gmt":"2022-11-29T10:46:23","slug":"google-translate-scheme","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/google-translate-scheme\/29537\/","title":{"rendered":"Google Translate & Phishing-Mails"},"content":{"rendered":"

Wenn wir \u00fcber die Tricks von Cyberkriminellen berichten, empfehlen wir in den meisten F\u00e4llen, dass Sie sich vor dem \u00d6ffnen eines per E-Mail erhaltenen Links die URL genauer ansehen. Hier ein weiteres Warnsignal: ein Link zu einer mit Google Translate \u00fcbersetzten Seite. Theoretisch k\u00f6nnte es sein, dass der Absender der E-Mail versucht, Ihnen behilflich zu sein, weil der urspr\u00fcngliche Link auf eine Website in einer anderen Sprache verweist. In der Praxis wird diese Technik jedoch meist eingesetzt, um Antiphishing-Mechanismen zu umgehen. Wenn die Nachricht Teil einer Gesch\u00e4ftskorrespondenz ist und die Website, die sich nach dem Anklicken des Links \u00f6ffnet, Sie dazu auffordert, die Anmeldedaten Ihres E-Mail-Kontos einzugeben, sollten Sie das Browserfenster schlie\u00dfen und die E-Mail sofort l\u00f6schen.<\/p>\n

\u00a0<\/p>\n

Deshalb nutzen Angreifer Links zu Google Translate<\/h2>\n

Werfen wir einen Blick auf das j\u00fcngste von uns entdeckte Phishing-Beispiel mittels eines Google-Translate-Links.<\/p>\n

\"E-Mail

E-Mail mit einem Link zu Google Translate<\/p><\/div>\n

\u00a0<\/p>\n

Die Absender der E-Mail behaupten, dass es sich bei dem Anhang um eine Art Zahlungsdokument handelt, das ausschlie\u00dflich dem Empf\u00e4nger zur Verf\u00fcgung steht und das im Rahmen einer neuen \u201eVertragsbesprechung und anschlie\u00dfenden Zahlungen\u201c genauer analysiert werden muss. Der Link, der der Schaltfl\u00e4che \u201eOpen\u201c hinzugef\u00fcgt wurde, verweist auf eine von Google Translate \u00fcbersetzte Website. Dies wird jedoch erst klar, wenn man den Link \u00f6ffnet, denn in der E-Mail sieht es folgenderma\u00dfen aus:<\/p>\n

Link, der sich hinter der \u201eOpen\u201c-Schaltfl\u00e4che verbirgt<\/p><\/div>\n

\u00a0<\/p>\n

Die seltsamen Formulierungen sind eventuell so von den Angreifern beabsichtigt, um den Eindruck zu erwecken, dass sie keine englischen Muttersprachler sind und den Google-Translate-Link so \u00fcberzeugender erscheinen zu lassen. Vielleicht haben sie auch noch nie eine authentische E-Mail, die Finanzdokumente enth\u00e4lt, gesehen. Achten Sie auf die beiden Links unten (\u201eUnsubscribe From This List\u201c und \u201eManage Email Preferences\u201c), sowie auf die sendgrid.net<\/em>-Domain im Link.<\/p>\n

\u00a0<\/p>\n

Diese Anzeichen weisen darauf hin, dass die Nachricht nicht manuell gesendet wurde, sondern \u00fcber einen vertrauensw\u00fcrdigen E-Mail-Dienst (in diesem Fall den SendGrid-Dienst), obwohl m\u00f6glicherweise auch andere ESPs verwendet wurden. Diese Art von Dienst sch\u00fctzt normalerweise den Unternehmensruf, indem sie regelm\u00e4\u00dfig Phishing-E-Mail-Kampagnen entfernt und ihre Autoren blockiert. Aus diesem Grund f\u00fchren die Angreifer ihre Links \u00fcber Google Translate aus \u2013 denn dann sehen die Sicherheitsmechanismen des ESP eine legitime Google-Domain und stufen die Website nicht als verd\u00e4chtig ein. Mit anderen Worten, es handelt sich um einen Versuch, nicht nur den Endnutzer zu t\u00e4uschen, sondern auch die Filter des Vermittlungsdienstes.<\/p>\n

\u00a0<\/p>\n

Wie sieht eine von Google Translate \u00fcbersetzte Seite aus?<\/h2>\n

Mit Google Translate<\/a> k\u00f6nnen ganze Websites \u00fcbersetzt werden, indem Sie einen Link \u00fcbermitteln und die Ausgangs- und Zielsprache ausw\u00e4hlen. Das Ergebnis ist ein Link zu einer Seite, bei der die urspr\u00fcngliche Domain mit Bindestrichen versehen ist und die URL durch die Domain translate.goog erg\u00e4nzt wird, gefolgt vom Namen der urspr\u00fcnglichen Seite und von Schl\u00fcsseln, die angeben, in welche und aus welchen Sprachen die \u00dcbersetzung erfolgt ist. Die URL der \u00dcbersetzung der Startseite unseres englischsprachigen Blogs http:\/\/www.kaspersky.com\/blog <\/a>ins Spanische sieht zum Beispiel so aus: www-kaspersky-com.translate.goog\/blog\/?_x_tr_sl=auto&_x_tr_tl=es&_x_tr_hl=en&_x_tr_pto=wapp<\/a>.<\/p>\n

\u00a0<\/p>\n

Die von uns analysierte Phishing-E-Mail versuchte, den Nutzer auf folgende Seite zu locken:<\/p>\n

\"Nachbildung

Nachbildung der Webmail-Loginseite.<\/p><\/div>\n

\u00a0<\/p>\n

In der Adressleiste des Browsers ist trotz der endlosen Zeichenabfolge zu erkennen, dass der Link von Google Translate \u00fcbersetzt wurde.<\/p>\n

\u00a0<\/p>\n

So sch\u00fctzen Sie sich<\/h2>\n

Damit Unternehmensmitarbeiter nicht auf die Tricks von Cyberkriminellen hereinfallen, empfehlen wir ihnen, ihr Wissen \u00fcber aktuelle Phishing-Methoden regelm\u00e4\u00dfig aufzufrischen, (z. B. \u00fcber einschl\u00e4gige Links zu unserem Blog) oder, noch besser, ihr Bewusstsein f\u00fcr moderne Cyberbedrohungen mit Hilfe von speziellen Lerntools<\/a> zu st\u00e4rken. Im obigen Beispiel w\u00e4re ein geschulter Nutzer \u00fcbrigens nie bis auf die Phishing-Seite gekommen \u2013 die Wahrscheinlichkeit, dass ein legitimes Finanzdokument, das an einen bestimmten Empf\u00e4nger adressiert ist, \u00fcber einen ESP-Dient verschickt wird, ist ziemlich gering. Vor kurzem haben wir bereits \u00fcber ESP-basiertes Phishing<\/a> berichtet.<\/p>\n

Um auf Nummer sicher zu gehen, empfehlen wir dar\u00fcber hinaus den Einsatz von Sicherheitsl\u00f6sungen mit Antiphishing-Technologien; sowohl auf der Ebene der Firmenmailserver<\/a> als auch auf allen Ger\u00e4ten der Mitarbeiter<\/a>.<\/p>\n

\u00a0<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Warum sollte eine Gesch\u00e4fts-E-Mail einen Link zu Google Translate enthalten?<\/p>\n","protected":false},"author":2598,"featured_media":29538,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[62,3287,53,4015],"class_list":{"0":"post-29537","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-e-mail","11":"tag-mail","12":"tag-phishing","13":"tag-phishing-anzeichen"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/google-translate-scheme\/29537\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/google-translate-scheme\/24891\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/google-translate-scheme\/20392\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/google-translate-scheme\/10284\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/google-translate-scheme\/27448\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/google-translate-scheme\/25558\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/google-translate-scheme\/28120\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/google-translate-scheme\/27389\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/google-translate-scheme\/34277\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/google-translate-scheme\/46377\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/google-translate-scheme\/19804\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/google-translate-scheme\/20431\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/google-translate-scheme\/32912\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/google-translate-scheme\/28763\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/google-translate-scheme\/25617\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29537","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29537"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29537\/revisions"}],"predecessor-version":[{"id":29542,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29537\/revisions\/29542"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29538"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29537"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29537"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29537"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}