PRESSEPORTAL Presseportal Logo

mehr Themen

Die Presseportal-AppGoogle PlayApp Store
Alle Storys
Folgen
Keine Story von xorlab AG mehr verpassen.
Warum muss ich meine Email-Adresse eingeben?

xorlab AG

Neue Phishing-Welle missbraucht Googles Application Integration Service

Weitere Informationen

Neue Phishing-Welle missbraucht Googles Application Integration Service

Die xorlab AG mit Hauptsitz in Zürich, spezialisiert auf die Erkennung neuer und bisher unbekannter E-Mail-Bedrohungen, hat eine neue Technik bei Angriffen auf Unternehmen beobachtet — mit täuschend echten Ködern. Angreifer nutzen dabei Googles Application Integration Service, um Phishing-E-Mails von echten @google.com-Adressen zu versenden.

So funktioniert der Angriff

Die Angreifer verwenden Googles Application Integration Infrastruktur, um E-Mails über `noreply-application-integration@google.com` zu versenden. Da diese Nachrichten direkt von Googles Servern stammen, bestehen sie SPF-, DKIM- und DMARC-Prüfungen — und wirken dadurch sowohl für E-Mail-Gateways als auch für Empfänger vollkommen legitim.

Für zusätzliche Glaubwürdigkeit kombinieren die Angreifer diese authentifizierten E-Mails mit Links zu Google-Domains wie `storage.cloud.google.com`, `sites.google.com` und `share.google`. Ausserdem verwenden sie Googles bekannte E-Mail-Vorlagen. Das Ergebnis: Eine E-Mail von Google, mit Links zu Google, die sämtliche Authentifizierungschecks besteht.

Umleitung über share.google

Mehrere Angriffe nutzen Googles URL-Shortener `share.google`, um den eigentlichen Phishing-Link hinter der offiziellen google.com-Domain zu verstecken. Die Weiterleitungskette sieht so aus:

share.google/...

https://www.google.com/share.google/...

https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=...

→ https://….s3.eu-north-1.amazonaws.com/index.html

Das Opfer klickt auf einen vertrauenswürdigen Google-Link, wird über Googles Infrastruktur weitergeleitet und landet schliesslich auf einer Microsoft-OAuth-Seite — die zu einer Credential-Harvesting-Seite auf AWS S3 führt. Jeder Schritt nutzt einen legitimen Dienst, was die Erkennung an jedem einzelnen Punkt erschwert.

Beobachtete Köder

Neben gefälschten Google-Sicherheitsmeldungen mit Links zu `sites.google.com` konnten wir weitere Köder-Kategorien beobachten:

Geteilte Dokumente:

  • Betreff: "Finance shared the Document with you: 'Q4 Financial Statements + Salary Bonus Payments Deductions.xls'"
  • Betreff: "Vista Equity Partners Q4 Failed Distributions — Fund IV. is now published on our Client Reporting Website"

Voicemail- und Aufgabenbenachrichtigungen:

  • Betreff: "Voice Mail (102 seconds) - 2025-12-11 at 19:49."
  • Betreff: "You have a new task."

Diese Betreffzeilen imitieren echte Google-Benachrichtigungen und erhöhen so die Wahrscheinlichkeit, dass Empfänger darauf eingehen.

Warum dieser Angriff so effektiv ist

Dieser Angriff funktioniert dort, wo klassisches Phishing scheitert.

  • Echte Absender-Domain E-Mails kommen von @google.com, nicht von einer Fälschung
  • Besteht Authentifizierung SPF, DKIM und DMARC validieren erfolgreich
  • Vertrauenswürdige Links: URLs zeigen auf legitime Google-Domains
  • Bekanntes Format: Benachrichtigungen sehen aus wie echte Google-Sharing-Alerts.

Für viele Sicherheitstools und Nutzer signalisieren diese Merkmale eine vertrauenswürdige Nachricht.

Empfehlungen

Security-Teams sollten folgende Massnahmen in Betracht ziehen:

  1. Quarantäne oder Kennzeichnung von E-Mails von `noreply-application-integration@google.com` zur manuellen Überprüfung
  2. Alerting auf verdächtige Muster mit `sites.google.com`- oder `storage.cloud.google.com`-Links, besonders in Kombination mit dringlichen Finanz- oder Sicherheitsthemen
  3. Awareness-Training aktualisieren** — Nutzer sollten wissen, dass auch @google.com-Absender bösartig sein können
  4. Monitoring auf Indikatoren** wie unerwartete Application-Integration-Benachrichtigungen in Umgebungen, die diesen Dienst nicht nutzen.

Über xorlab

Ausgeklügelte E-Mail-Angriffe nehmen laufend zu, was das Risiko von Sicherheitsverletzungen erhöht und die Security Teams vor eine immense Arbeitsbelastung stellt. Generative AI (GenAI), Automatisierung und Cybercrime-as-a-Service-Tools ermöglichen es Angreifern, personalisierte Kampagnen in grossem Maßstab zu starten – schnell und zu geringen Kosten. Ob es sich um staatlich gesponserte Angreifer oder gut organisierte Cyberkriminelle handelt, eines bleibt klar: E-Mails sind der effektivste erste Angriffsvektor, was die E-Mail-Sicherheit zu einer entscheidenden Herausforderung für jedes Unternehmen macht.

xorlab ist der einzige europäische Anbieter, der sich auf die Erkennung neuer und bisher unbekannter E-Mail-Bedrohungen spezialisiert hat. Unsere Plattform ermöglicht den Kunden, benutzerdefinierte Erkennungsregeln zu erstellen und zu verwalten. Dadurch kann viel schneller auf neue Bedrohungen reagiert und die Angriffsfläche der Unternehmen besser kontrolliert werden. Mit einem wachsenden Team von rund 30 Fachleuten entwickeln wir eine hochmoderne E-Mail-Sicherheitsplattform, der renommierte Unternehmen und Organisationen aus verschiedenen Branchen vertrauen

xorlab AG

Binzmühlestrasse 170D

8050 Zürich

Adrian Kyburz, Head of Marketing
 +41 78 656 32 14
 adrian.kyburz@xorlab.com
 xorlab.com
Alle Storys
Folgen
Keine Story von xorlab AG mehr verpassen.
Warum muss ich meine Email-Adresse eingeben?
  • Druckversion
  • PDF-Version
Orte in dieser Story
Themen in dieser Story
Weitere Storys: xorlab AG
Weitere Storys: xorlab AG
Alle Storys Alle
Das könnte Sie auch interessieren
Das könnte Sie auch interessieren