{"id":32165,"date":"2025-05-20T12:00:42","date_gmt":"2025-05-20T10:00:42","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32165"},"modified":"2025-05-19T16:56:22","modified_gmt":"2025-05-19T14:56:22","slug":"dkim-replay-attack-through-google-oauth","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/dkim-replay-attack-through-google-oauth\/32165\/","title":{"rendered":"E-Mail von Google: Strafverfolgungsbeh\u00f6rden \u00fcberpr\u00fcfen dein Konto"},"content":{"rendered":"

Stell dir vor, du erh\u00e4ltst eine E-Mail von Google: Darin hei\u00dft es, dass eine Beh\u00f6rde die Herausgabe deiner Kontoinhalte verlangt hat. Die Nachricht sieht aus, als sei sie von Google, und auch die Absenderadresse scheint in Ordnung: no-reply@accounts.google.com<\/em><\/strong>. Das klingt ein recht beunruhigend, meinst du nicht? Und man k\u00f6nnte sogar leicht die Nerven verlieren.<\/p>\n

Aber zum Gl\u00fcck gibt es in der E-Mail einen Link zu einer Google-Supportseite, die alle Details zu diesem Vorfall enth\u00e4lt. Der Dom\u00e4nenname im Link sieht ebenfalls echt aus und scheint Google zu geh\u00f6ren\u00a0\u2026<\/p>\n

Wenn du unseren Blog regelm\u00e4\u00dfig liest, hast du es wahrscheinlich schon erraten: Es geht eine neue Phishing-Methode<\/a>. Stimmt genau. Diesmal haben die Betr\u00fcger mehrere echte Google-Dienste ausgenutzt, um ihre Opfer hereinzulegen und die E-Mails m\u00f6glichst \u00fcberzeugend wirken zu lassen. Das funktioniert so\u00a0\u2026<\/p>\n

Wie Phishing-E-Mails eine offizielle Google-Benachrichtigung nachahmen<\/h2>\n

Der Screenshot unten zeigt die E-Mail, mit der dieser Angriff beginnt. Die Nachricht sieht absolut glaubw\u00fcrdig aus, genau wie eine Warnung des Google-Sicherheitssystems. Der Nutzer wird dar\u00fcber informiert, dass das Unternehmen ein Ersuchen erhalten hat, das den Zugriff auf die Daten in seinem Google-Konto verlangt.<\/p>\n

\"Gef\u00e4lschte<\/a>

Betrugs-E-Mail von no-reply@accounts.google.com, getarnt als Ersuchen einer Strafverfolgungsbeh\u00f6rde an Google LLC. Darin wird Google aufgefordert, eine Kopie der Inhalte eines bestimmten Google-Kontos zur Verf\u00fcgung zu stellen.Quelle<\/a><\/p><\/div>\n

Das Feld \u201efrom<\/strong>\u201c enth\u00e4lt eine echte Google-Adresse: no-reply@accounts.google.com<\/em><\/strong>. Genau von dieser Adresse kommen auch echte Google-Sicherheitsbenachrichtigungen. Au\u00dferdem enth\u00e4lt die E-Mail ein paar Details, die den Eindruck der Echtheit verst\u00e4rken: eine Google-Konto-ID, eine Support-Ticket-Nummer und einen Link zu weiteren Informationen \u00fcber den Vorfall. Und das Wichtigste: Der Empf\u00e4nger wird darauf hingewiesen, dass er \u00fcber einen Link mehr \u00fcber den Fall erfahren oder Widerspruch gegen das Ersuchen einlegen kann.<\/p>\n

Auch der Link selbst sieht ziemlich plausibel aus. Die Adresse enth\u00e4lt die offizielle Google-Dom\u00e4ne und die oben erw\u00e4hnte Support-Ticket-Nummer. Nur ein versierter Nutzer erkennt, das hier etwas faul ist: Die Google-Supportseiten befinden sich unter support.google.com<\/em><\/strong>, dieser Link f\u00fchrt jedoch zu sites.google.com<\/em><\/strong>. Die Betr\u00fcger haben es nat\u00fcrlich auf Nutzer abgesehen, die von solchen technischen Details keine Ahnung haben oder die verd\u00e4chtige Webadresse \u00fcbersehen.<\/p>\n

Wenn der Nutzer nicht angemeldet ist und auf den Link klickt, gelangt er zur echten Google-Anmeldeseite. Nach der Autorisierung landet er auf einer Seite bei sites.google.com<\/em><\/strong>, die der offiziellen Google-Support-Website t\u00e4uschend \u00e4hnlich sieht.<\/p>\n

\"Gef\u00e4lschte<\/a>

So sieht die gef\u00e4lschte Google-Supportseite aus, zu der ein Link aus der E-Mail f\u00fchrt.Quelle<\/a><\/p><\/div>\n

Die Dom\u00e4ne sites.google.com<\/em><\/strong> geh\u00f6rt zu dem legitimen Google Sites-Dienst<\/a>. Der Dienst wurde 2008 vorgestellt und ist ein recht praktischer Website-Builder. Soweit also nichts Au\u00dfergew\u00f6hnliches. Ein wichtiger Aspekt bei Google Sites ist jedoch, dass alle Websites, die innerhalb der Plattform erstellt werden, automatisch in einer Subdomain von google.com<\/em> gehostet werden: sites.google.com<\/em><\/strong>.<\/p>\n

Angreifer k\u00f6nnen mit einer solchen Adresse sowohl die Wachsamkeit der Opfer beeinflussen als auch verschiedene Sicherheitssysteme austricksen. Denn sowohl Nutzer als auch Sicherheitsl\u00f6sungen neigen dazu, der Google-Dom\u00e4ne zu vertrauen. Kein Wunder also, dass Betr\u00fcger immer h\u00e4ufiger Google Sites verwenden, um Phishing-Seiten zu konzipieren<\/a>.<\/p>\n

Fake-E-Mails erkennen: Der Teufel steckt im Detail<\/h2>\n

Das erste Anzeichen f\u00fcr eine zweifelhafte E-Mail haben wir bereits genannt: Es ist die Adresse der gef\u00e4lschten Supportseite, die sich unter sites.google.com<\/em><\/strong> befindet.<\/em> Weitere Warnsignale finden sich in der E-Mail-Kopfzeile:<\/p>\n

\"\"<\/a>

So erkennst du die F\u00e4lschung: Schau dir die Felder \u201eto\u201c und \u201emailed-by\u201c in der Kopfzeile an.Quelle<\/a><\/p><\/div>\n

Wichtig sind hier die Felder \u201efrom<\/strong>\u201e, \u201eto<\/strong>\u201c und \u201emailed-by<\/strong>\u201e. Die Angabe \u201efrom<\/strong>\u201c scheint in Ordnung zu sein: Der Absender ist die offizielle Google-E-Mail-Adresse no-reply@accounts.google.com<\/em><\/strong>.<\/p>\n

Das Feld \u201eto\u201c<\/strong> direkt darunter zeigt jedoch die tats\u00e4chliche Empf\u00e4ngeradresse an, und diese sieht wirklich verd\u00e4chtig aus: me[@]googl-mail-smtp-out-198-142-125-38-prod[.]net<\/em><\/strong>. Hier wurde versucht, eine \u201etechnische\u201c Google-Adresse zu imitieren, aber der \u201eTippfehler\u201c im Dom\u00e4nennamen ist ein untr\u00fcgliches Zeichen. Dar\u00fcber hinaus hat eine solche Adresse hier gar nichts zu suchen. Dieses Feld soll n\u00e4mlich die Empf\u00e4ngeradresse enthalten.<\/p>\n

Weiter geht\u2019s: Die Kopfzeile enth\u00e4lt noch eine verd\u00e4chtige Adresse im Feld \u201emailed-by<\/strong>\u201e. Und diese Adresse hat eindeutig nichts mit Google zu tun: fwd-04-1.fwd.privateemail[.]com<\/strong>. Solcher Unsinn geh\u00f6rt nicht in eine authentische E-Mail. Nur zum Vergleich, in einer echten Google-Sicherheitswarnung sehen diese Felder so aus:<\/p>\n

\"Echte<\/a>

Die Felder \u201eto\u201c und \u201emailed-by\u201c in einer echten Google-Sicherheitswarnung<\/p><\/div>\n

Es \u00fcberrascht kaum, dass so subtile Hinweise dem durchschnittlichen Nutzer vermutlich entgehen. Insbesondere, da zuvor auf rechtliche Probleme hingewiesen wurde und das Stresslevel ohnehin erh\u00f6ht ist. Zus\u00e4tzliche Verwirrung stiftet die Tatsache, dass die gef\u00e4lschte E-Mail tats\u00e4chlich von Google signiert ist: Im Feld \u201esigned-by<\/strong>\u201c steht accounts.google.com<\/em><\/strong>. Wie ist den Kriminellen dieser Coup gelungen? \u00dcber diese Frage und m\u00f6gliche Abwehrma\u00dfnahmen sprechen wir im n\u00e4chsten Abschnitt.<\/p>\n

Schrittweise Rekonstruktion des Angriffs<\/h2>\n

Wie haben es die Betr\u00fcger geschafft, eine solche E-Mail zu versenden, und welches Ziel hatten sie? Um das herauszufinden, haben Cybersicherheitsforscher den Angriff nachgestellt<\/a>. Die Untersuchung ergab, dass die Angreifer Namecheap verwendeten, um die (inzwischen widerrufene) Dom\u00e4ne googl-mail-smtp-out-198-142-125-38-prod[.]net<\/em><\/strong> zu registrieren.<\/p>\n

Dann nutzten sie denselben Dienst erneut, um ein kostenloses E-Mail-Konto auf dieser Dom\u00e4ne einzurichten: me[@]googl-mail-smtp-out-198-142-125-38-prod[.]net<\/strong>. Dar\u00fcber hinaus registrierten die Kriminellen eine kostenlose Testversion von Google Workspace auf derselben Dom\u00e4ne. Und schlie\u00dflich registrierten die Betr\u00fcger eine eigene Webanwendung im Google OAuth-System und gew\u00e4hrten der App Zugriff auf ihr Google Workspace-Konto.<\/p>\n

Die Technologie Google OAuth erm\u00f6glicht Drittanbieter-Webanwendungen, Google-Kontodaten zu verwenden, um Nutzer mit deren Erlaubnis zu authentifizieren<\/a>. Das Google OAuth-System wird immer benutzt, wenn du auf die Schaltfl\u00e4che \u201eMit Google anmelden\u201c klickst und dich damit bei Drittanbieterdiensten authentifizierst. Dar\u00fcber hinaus k\u00f6nnen Anwendungen Google OAuth beispielsweise einsetzen, wenn eine Erlaubnis zum Speichern von Dateien auf deinem Google Drive erforderlich ist.<\/p>\n

Aber kommen wir zur\u00fcck zu unseren Betr\u00fcgern. Sobald eine Google OAuth-Anwendung registriert wurde, kann eine Benachrichtigung an die E-Mail-Adresse gesendet werden, die mit der verifizierten Dom\u00e4ne verkn\u00fcpft ist. Interessanterweise kann der Administrator der Webanwendung manuell einen beliebigen Text als \u201eApp-Name\u201c festlegen. Das haben die Kriminellen anscheinend ausgenutzt.<\/p>\n

Das zeigt auch der folgende Screenshot: Die Forscher haben eine App registriert als \u201eAny Phishing Email Text Inject Here with Phishing URLs\u00a0\u2026\u201c.<\/p>\n

\"\"<\/a>

Registrierung einer Web-App mit einem beliebigen Namen in Google OAuth: Als Name kann auch der Text einer betr\u00fcgerischen E-Mail mit einem Phishing-Link eingegeben werden.Quelle<\/a><\/p><\/div>\n

Anschlie\u00dfend sendet Google von seiner offiziellen Adresse aus eine Sicherheitswarnung, die diesen Phishing-Text enth\u00e4lt. Diese Nachricht wird an die E-Mail-Adresse des Betr\u00fcgers in der \u00fcber Namecheap registrierten Dom\u00e4ne geschickt. Mit diesem Dienst k\u00f6nnen empfangene Benachrichtigungen von Google an beliebige Adressen weitergeleitet werden. Dazu reicht es, in den Einstellungen eine entsprechende Weiterleitungsregel einzurichten und die E-Mail-Adressen potenzieller Opfer anzugeben.<\/p>\n

\"\"<\/a>

] Einrichtung einer Weiterleitungsregel in den Einstellungen. Mit der Regel kann eine gef\u00e4lschte E-Mail an mehrere Empf\u00e4nger gesendet werden.Quelle<\/a><\/p><\/div>\n

So sch\u00fctzt du dich vor solchen Phishing-Angriffen<\/h2>\n

Was die Angreifer mit dieser Phishing-Kampagne erreichen wollten, ist nicht ganz klar. Wenn Google OAuth zur Authentifizierung verwendet wird, werden die Anmeldeinformationen des angegriffenen Google-Kontos nicht unbedingt an die Betr\u00fcger weitergegeben. Es wird ein Token generiert, das nur eingeschr\u00e4nkten Zugriff auf die Kontodaten des Nutzers gew\u00e4hrt. Der Zugriff h\u00e4ngt davon ab, welche Berechtigungen der Nutzer zugelassen hat und welche Einstellungen die Betr\u00fcger verwenden.<\/p>\n

Welchen Zweck hatte die gef\u00e4lschte Google-Supportseite, auf die der betrogene Nutzer gelangt? M\u00f6glicherweise sollte der Nutzer von dort \u201ejuristische Dokumente\u201c herunterladen, die sich angeblich auf seinen Fall bezogen. Welche Art von Dokumenten dies war, ist unbekannt. Aber gut m\u00f6glich, dass sie b\u00f6sartigen Code enthielten.<\/p>\n

Die Forscher haben diese Phishing-Kampagne an Google gemeldet. Das Unternehmen hat den Vorfall als potenzielles Risiko f\u00fcr Nutzer eingestuft<\/a> und arbeitet derzeit an einem Fix f\u00fcr die OAuth-Schwachstelle. Wie lange die Problembehebung dauern wird, bleibt abzuwarten.<\/p>\n

Die folgenden Ratschl\u00e4ge helfen dir dabei, nicht zum Opfer dieses und \u00e4hnlich verzwickter Phishing-Angriffe zu werden.<\/p>\n