Das Vorgehen der Cyberkriminellen ist bekannt: Mitarbeiter*innen von Unternehmen erhalten Emails, deren Anhänge Schadsoftware enthalten oder auf präparierte Webseiten verweisen. Werden diese geöffnet, infiziert die Software das System des Unternehmens und ermöglicht den Zugriff auf oder die Verschlüsselung von Betriebsdaten. Damit diese Angriffe funktionieren, müssen etwa entsprechende Emails oder Webseiten möglichst seriös wirken. Daher nutzen Kriminelle eigentlich harmlose Anwendungen wie Google Forms, um ihre Angriffe zu vertuschen, wie Sophos in einem kürzlich erschienen Bericht klarstellt.
„Das Ausmaß, mit dem Angreifer*innen Google Forms für sich verwenden, kam ans Licht, als wir untersuchten, wie Schadsoftware die Verschlüsselung missbraucht, um Aktivitäten und Kommunikation zu verschleiern“, erklärt Sean Gallagher, Senior Threat Researcher bei Sophos. „Google Forms macht es Cyberkriminellen dabei besonders leicht: die Formulare sind einfach umzusetzen und vertrauenswürdig, sowohl für die Organisation als auch für den Konsumenten. Der Datenstrom zu und vom Service ist durch Transport Layer Security (TLS)-Verschlüsselung geschützt, so dass er sich nicht so einfach von den Verteidigern inspizieren lässt. Das ganze Set-up beinhaltet also im Wesentlichen eine kostenlose Angriffsinfrastruktur.“
Die Analyse zeigt, dass der häufigste Missbrauch von Google Forms in den Bereichen Phishing und Betrug stattfindet, was eher wenig Qualifikation erfordert. Zunehmend lassen sich aber Anzeichen beobachten, dass Angreifer*innen die Plattform für komplexere Attacken nutzen. In den Beispielen setzten die Kriminellen Google Forms für Datenexfiltration und Schadsoftware Command-and-Control ein.
Sieben Arten der kriminellen Nutzung von Google Forms fielen den Sophos-Analyst*innen besonders ins Auge
1. Phishing: Google warnt Nutzer*innen auf jeder Seite von Forms, keine Passwort-Details preiszugeben. Dennoch fanden die Sophos-Expert*innen verschiedene Beispiele, bei denen Angreifer*innen potenzielle Opfer dazu bringen wollten, ihre persönlichen Zugangsdaten in ein gefälschtes Google Formular einzutragen. Diese sind oft verbunden mit schadhaften Spam-Kampagnen.
2. Schadhafte Spam-Kampagnen: Eine der größten Quellen für diese Phishing-Links im Spam waren „Abmeldelinks“ in betrügerischen Marketing-E-Mails. Sophos fing eine Reihe dieser Phishing-Kampagnen ab, die es auf Microsoft-Online-Konten, inklusive Office365, abgesehen hatten. In den Spams hieß es, dass die E-Mail-Konten des Empfängers geschlossen werden, wenn er diese nicht sofort verifiziert. Dabei wurde ein gefälschter Link mitgeschickt, der zwar mit Microsoft-Grafiken versehen war, aber bei dem es sich ganz eindeutig nicht um ein echtes Google-Formular handelte.
3. Diebstahl von Zahlungskarten: Betrüger*innen auf Anfängerniveau verwenden vorgefertigte Google-Forms-Entwurfsvorlagen gerne, um Daten aus Kartenbezahlungen mithilfe von gefälschten und scheinbar sicheren E-Commerce-Seiten zu stehlen.
4. PUAs (Potentially Unwanted Applications), wie zum Beispiel Werbesoftware: Besonders Windows-Nutzer*innen sind oft davon betroffen. Diese Anwendungen gebrauchen Google-Forms-Seiten heimlich, während die Web-Anfragen gesammelt und automatisch an die Formulare weitergeleitet werden – eine Nutzer*innen-Interaktion ist nicht nötig.
5. Gefälschte Nutzeroberfläche für schädliche Android-Apps: Sophos entdeckte einige schadhafte Android-Anwendungen, die Google Forms dazu verwenden, Daten zu erfassen ohne eine Backend-Webseiten programmieren zu müssen. Die meisten dieser Apps waren Werbesoftware oder PUAs, so auch SnapTube, eine Video-App, die Entwickler*innen Einnahmen via Werbebetrug generieren und die eine Google-Formular-Seite für Bewertungen beinhaltet.
6. Datenlöschung: Die Analyst*innen spürten eine Anzahl von noch raffinierteren Bedrohungen auf, die Google Forms für sich nutzen. Dazu gehören beispielsweise schadhafte Windows-Anwendungen, die Web-Anfragen an Google Forms einsetzen, um gestohlene Computerdaten in eine Google-Tabelle zu „schieben“.
7. Teil einer größeren, bösartigen Cyberangriff-Infrastruktur: Sophos hat eine Nummer von PowerShell-Skripten entdeckt, die mit Google Forms interagieren. Die Expert*innen waren dann in der Lage nachzustellen, wie ein PowerShell-Skript dazu verwendet werden kann, Windows Profildaten von einem PC einzusammeln und automatisch in ein Google-Formular einzufügen.
Sean Gallagher empfiehlt außerdem: „Google schließt häufig Konten, die mit einem massenhaften Missbrauch von Anwendungen in Verbindung stehen, inklusive Google Forms. Eine seltenere aber gezielte Nutzung von Google Forms durch Schadsoftware könnte allerdings unentdeckt bleiben. Anwender*innen sollten deshalb hellhörig werden, wenn sie Links auf Google-Formulare oder andere scheinbar legitime Links zur Berechtigungsfreigabe entdecken und dabei nicht blind TLS-Traffic zu scheinbar bekannten Domains, wie doc.google.com, vertrauen.“