Fiese Gmail-Phishing-Attacke zielt auch auf erfahrene Benutzer ab

Phishing-Attacken kommt man in der Regel schnell auf die Schliche. Oft sind solcherlei Inhalte in schlechtem Deutsch abgefasst oder es werden falsche Sachverhalte wie E-Banking-Anfragen vorgegaukelt, die man sofort und 100 Meter gegen den Wind erkennt. Doch auch erfahrene Nutzer sollten aufpassen. Nach demselben Prinzip funktioniert auch eine aktuelle Masche, von der GoogleWatchBlog berichtet – jedoch mit einem perfiden Trick: Das Opfer begegnet im Webinterface des Gmail-Kontos unter Umständen einer Phishing-Mail mit dem Absender eines vertrauten Kontakts. Grund: Fällt jemand auf die Masche herein, verbreitet sich die Nachricht wurmartig im Bekanntenkreis. Es kommt aber noch schlimmer: Die fingierte E-Mail sieht deswegen so täuschend echt aus, weil die Angreifer mit Zugriff auf die Google-Kontodaten auch Screenshots echter Anhänge und Betreffzeilen anheften.

Beim eigentlichen Angriff klickt ein Nutzer auf einen vermeintlichen Anhang. Dabei handelt es sich eigentlich nur um einen Link, der in einem Screenshot statt in einem echten Anhang untergebracht ist. Darauf öffnet sich ein neues Fenster mit der Meldung «Sie wurden ausgeloggt». Es folgt eine Weiterleitung auf eine Fake-Seite, auf der Nichtsahnende aufgefordert werden, Benutzernamen und Passwort neu einzugeben. Hier genau passiert das Gefährliche: Die Angreifer haben nun vollen Zugriff auf alle Kontodaten und damit auch auf sämtliche Kontaktdaten eines jeden Opfers.

Erste Warnungen zu diesem Vorfall gab es anscheinend schon im Herbst letzten Jahres. Im Moment scheint die Attacke wieder Wellen zu schlagen.

Bei jedem Vorgang, bei dem Sie heikle Kontodaten eintippen müssen, sollten Sie immer die Adresszeile im Browser-Fenster überprüfen. Bei nicht vorhandener HTTPS-Verschlüsselung oder einem Link, der auf keinen Fall zum Dienst gehören kann, ist höchste Vorsicht geboten! Noch besser: Bei Kontowiederherstellunungen und dergleichen rufen Sie am besten die Wiederherstellungsseite eigenhändig über den Browser auf.

Am besten schützen Sie sich vor Phishing-Angriffen, wenn Sie bei allen wichtigen Onlinediensten auf Zwei-Faktor-Authentifizierung setzen. Google erklärt das auf dieser Hilfeseite.