Die Sicherheits-Experten von Symantec warnen in ihrem Weblog vor einem tückischen Phishing-Angriff auf Nutzer von Google-Diensten. Beim Phishing ahmen Angreifer populäre Webseiten oder Mails von bekannten Absendern nach, um Anwendern Zugangsdaten und Bankdaten zu entlocken oder Schadsoftware auf dem Rechner des Empfängers zu installieren.

Bei der aktuellen Phishing-Welle versuchen die Kriminellen, an die Google-Zugangsdaten ihrer Opfer zu gelangen. Dazu versenden sie E-Mails mit einem Link zu einem angeblich wichtigen Dokument auf Google Docs. Hinter dem Link befindet sich eine gefälschte Anmeldeseite von Google - die aber täuschend echt aussieht.

Das Tückische dabei: Die gefälschte Anmeldeseite liegt laut Symantec sogar auf den Servern von Google. Dazu haben die Kriminellen auf Googles Cloud-Speicherdienst Google Drive einen öffentlichen Ordner angelegt und darin die gefälschte Anmeldeseite abgelegt. Die Vorschaufunktion von Google Drive erzeugt dabei den Link zur Anmeldeseite. Da der Link eine Google-Adresse ist, wirkt er vertrauenswürdig - nicht zuletzt auch deshalb, weil der Vorschau-Link eine SSL-Verschlüsselung nutzt.

Wenn man darauf hereinfällt und seine Google-Anmeldedaten eingibt, dann werden die Anmeldedaten über ein PHP-Skript an die Server der Kriminellen weitergeleitet. Damit das Opfer den Angriff nicht merkt, erscheint nach dem Anmelden tatsächlich ein Dokument auf Google Docs.

Mit den Google-Zugangsdaten können die Kriminellen einiges anstellen: So können sie damit nicht nur auf die Daten des Opfers zugreifen, sondern beispielsweise auch Einkäufe im Google Play Store tätigen.

Laut Symantec lässt sich der Trick kaum erkennen: Denn wenn man zum Beispiel von einem Freund einen Link zu einem Dokument auf Google Docs erhält, erscheint eine Anmeldeseite von Google, die genauso aussieht wie die Fälschung.

Aus welchen Ländern die meisten Spam-Mails kommen, hat der Sophos-Spamreport ermittelt.