Bösartige Links in PDFsCyber-Kriminelle setzen für Phishing-Angriffe verstärkt auf Google Drive
25. April 2025
Für den Januar 2025 haben Forscher der KnowBe4-Threat Labs einen deutlichen Anstieg der über Google Drive verübten Phishing-Angriffe festgestellt: Cyber-Kriminelle laden mit bösartigen Links versehene PDFs auf Google Drive hoch und teilen diese dann mit den von ihnen anvisierten Opfern.
Die von Google beim Teilen des Dokuments automatisch versandte E-Mail-Benachrichtigung, das auf Drive ein Dokument zur Bearbeitung für sie bereit liegt, kann den E-Mail-Schutz vieler Opfer problemlos überwinden. Kicken diese dann auf einen der Links im PDF, werden sie auf eine seriös erscheinende Fake-Landing Page weitergeleitet. Tatsächlich handelt es sich aber um eine Phishing-Website, mit der die Angreifer dann die Anmeldedaten und das Geld ihrer Opfer zu erbeuten suchen.
Zunächst registrieren die Angreifer hierzu eine Domain, erstellen sich dann über diese beim Google Workspace ein Nutzerkonto. Anschließend laden sie bei Google Drive eine PDF-Datei mit serös aussehendem Inhalt – und versehen mit bösartigen Links – hoch, aktivieren die Share-Funktion und geben die Emailadressen der von ihnen ausgewählten Opfer ein.
Google – nicht die Angreifer – sendet den Opfern dann eine Benachrichtigung über die Dateifreigabe samt Einwahllink zu. Dadurch, dass die Benachrichtigungs-E-Mail von Google, einer legitimen E-Mail-Adresse stammt, werden die E-Mail-Sicherheitsmaßnahmen der Opfer, wie die signatur- und reputationsbasierte Erkennung in Microsoft 365 und Secure E-Mail Gateways (SEGs), in aller Regel ausgetrickst. Und da die Opfer der Herkunft einer Google-Mail in aller Regel Vertrauen schenken, öffnen viele das PDF und klicken auf einen der bösartigen Links.
Um ihre Erfolgsaussichten hier weiter zu erhöhen, setzen viele Angreifer zudem auf Social Engineering-Techniken, täuschen Wichtigkeit und Dringlichkeit vor. Meist bringen sie hierzu Themen wie Sicherheitsanforderungen, die Verlängerung, Entsperrung oder Bestätigung eines Nutzerkontos oder die Aktualisierung oder Bestätigung von Rechnungsdaten zur Sprache – sowohl im Betreff der Google-Mail als auch im PDF selbst.
Wenn ihre Opfer dann auf einen der im PDF eingebetteten Links klicken, werden sie auf eine seriös erscheinende Fake-Landing Page weitergeleitet. Auf dieser Seite werden sie dann in aller Regel aufgefordert, ihre Anmeldedaten einzugeben, um das vermeintliche Dokument ansehen zu können. In einer anderen Kampagne wurden die Opfer sogar zu Fake-Finanzportalen weitergeleitet, auf denen sie dann zur Überweisung von Geld aufgefordert wurden.
Dass Angreifer zunehmend auf legitime Domains setzen, um SEGs auszutricksen, hat das Threat Labs-Team von KnowBe4 schon vor geraumer Zeit festgestellt. Der neueste KnowBe4-Bericht über Phishing-Bedrohungstrends zeigt hier einen rasanten Anstieg um sage und schreibe 67,4 Prozent. Vor allem Plattformen wie DocuSign, PayPal, Microsoft, Google Drive und Salesforce haben sich unter Cyber-Kriminellen mittlerweile zu beliebten Ausgangsbasen für Phishing-Angriffe entwickelt.
Die Recherchen des KnowBe4-Threat Labs zeigen, dass Unternehmen intelligenten Anti-Phishing-Technologien beim Ausbau ihrer Cyber-Sicherheit mehr Bedeutung beimessen müssen. Moderne Anti-Phishing-E-Mail-Lösungen kombinieren KI mit Crowdsourcing, um so selbst neueste Zero Day-Bedrohungen frühzeitig aufspüren und rechtzeitig abzuwehren.
Im Gegensatz zu herkömmlichen Lösungen, können diese alle Elemente einer E-Mail ganzheitlich analysieren – einschließlich der Domäne des Absenders, des Inhalts und der Social-Engineering-Taktiken. Das allein reicht aber auch noch nicht. Um Phishing wirklich wirksam zu bekämpfen, müssen Unternehmen neben fortschrittlichen Technologien auch fortschrittliche Schulungen und Trainings zum Einsatz bringen. Sie müssen ihren Mitarbeitern helfen, die subtilen Anzeichen von Phishing rechtzeitig zu erkennen – bevor es zu spät ist.
Moderne Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. Mit solchen und ähnlichen Lösungen ist es Unternehmen möglich, ihre Mitarbeiter zu ihrer besten Verteidigung gegen Cyber-Bedrohungen zu machen und ihre Human Risks zurückzufahren.
Dr. Martin J. Krämer ist Security Awareness Advocate bei KnowBe4.
