Neue Masche: Hacker nutzen Cloudspeicher-Dienste zum Umgehen von Spamfiltern

Viele Anwender wissen mittlerweile, dass das Öffnen von E-Mail-Anhängen aus unbekannten Quellen eine große Gefahr darstellt. Spamfilter sind zudem so gut trainiert, dass sie Anhänge mit Schadsoftware im Idealfall kaum noch durchlassen. Für Hacker ist das ein Problem und deshalb suchen sie nach immer neuen Wegen, um ihre Malware auf dem Computer zu installieren.

Neuste Masche: Verlinken auf Cloudspeicher-Dienste

Als „Alten Wein in neuen Schläuchen“ kann man deshalb auch die neue Masche bezeichnen, die das Netskope Threat Research Lab kürzlich entdeckte. Angreifer verwenden dabei Links auf Cloudspeicher-Dienste, um ihre gefährliche Fracht beim Opfer zu installieren. Das funktioniert erschreckend gut.

Sie senden E-Mails und SMS mit Links zu Google Docs, Amazons AWS, Microsofts Azure oder Alibaba. Durch die offiziellen Links und clever generierten Mails erwecken die Angreifer einen offiziellen Eindruck beim User.

Spamfilter wird durch Links umgangen

Weil die Hacker die Malware nicht direkt per Mail oder SMS verschicken, sondern über einen externen Link, umgehen sie damit erstmal den Spamfilter und weitere Schutz-Vorkehrungen.

Die Absender-Adressen werden dabei laufend neu vom Computer generiert, was es für Spamfilter sehr schwer macht, diese „Mail-Provider“ zu blocken. Da die meisten Cloudspeicher-Dienste mittlerweile – zumindest im Basistarif – gratis sind, fallen den Angreifern auch keine Kosten an.

Im Einzelnen beobachtete Netskope einen Missbrauch von Google Docs, bei dem die Hacker durch Phishing und Smishing (Phishing per SMS) einen Link auf eine vermeintliche Präsentation integrierten. Ein Klick auf den Link führt tatsächlich zu einem Erotik-Angebot, bei dem Name und Kreditkartendaten abgefragt werden.

In anderen Fällen wurden Pharma-Firmen, Dating-Dienste oder ein Tech-Support als Lockmittel verwendet – klassische Scammer-Methoden also.

Smartphones sind besonders gefährdet

Google-Doc-Links werden aber in der Regel nicht von Spamfiltern geblockt. Bei Smartphones kommt erschwerend hinzu, dass solche Links direkt mit der nativen Google-App geöffnet werden. Das wiegt die Anwender in falschem Vertrauen.

In einem anderen Fall führte der Link zu einer vermeintlichen Virus-Warnung von Microsoft mit der Aufforderung zum Anruf bei einer Hotline. Ziel ist auch hier, die Kreditkartendaten des Opfers zu erhalten.

Die wachsende Popularität des Cloudspeicher-Betrugs sieht Netskope vor allem durch folgende drei Punkte begründet:

  1. Günstiges, dynamisches Filehosting: Die Angreifer können bei Deaktivierung ihres Download-Links schnell und kostengünstig auf einen anderen Anbieter ausweichen.
  2. Umgehung traditioneller Filter: Die Links zu offiziellen Anbietern wie Google oder Azure werden von Spamfiltern oft nicht geblockt.
  3. Täuscht dem Opfer Authentizität vor: Die offiziellen Links wecken Vertrauen. Auf Smartphones wird das Problem durch die direkte Integration in native Apps noch verstärkt.