Dass sich Hacker gern an große Marken anhängen und in betrügerischer Absicht deren Seiten und Logos kopieren, um an dem Vertrauensvorschuss zu partizipieren, den solche Marken bei den Nutzern genießen, ist bekannt. Google ist dabei besonders interessant, weil die Firma die größte weltweite Reichweite besitzt und der größte Anbieter von Werbeanzeigen im Internet ist – die ihrerseits mit einer großen Vielfalt aufwarten, so dass sie sich als „Tarnkappe“ für betrügerische Vorhaben quasi anbieten. Cyber-Sicherheitsexperten machen nun auf eine aktuelle Hacker-Kampagne aufmerksam, die Google und Google Ads betrifft.
Es kursieren aktuell Google Werbeanzeigen, in die Hacker betrügerische Links eingebaut haben, um Nutzer auf gefährliche Internet-Seiten zu locken. Dabei brauchen die Nutzer nicht mal auf die Werbeanzeige an sich zu klicken, wie die Sicherheitsforscher von Check Point, einem Anbieter von Cyber-Sicherheitslösungen, und Avanan, einem Anbieter von Anti-Phishing-Software, herausgefunden haben, sondern die Nutzer erhalten eine Phishing-E-Mail, die Google Ads im Hintergrund nutzt.
Im Postfach der Nutzer geht eine Phishing-E-Mail ein, die besagt, der Empfänger habe eine Microsoft-Sprachnachricht erhalten. Der Link jedoch leitet nicht zu Microsoft weiter, sondern zu einer Google Ad. Hier setzen die Betrüger darauf, dass die Empfänger der Phishing-Mail sich zwar wundern, dass sie nicht bei einer Microsoft-Seite landen, aber weil eine legitime Google-Ads-Adresse hinter dem Link steht, diesem trotzdem vertrauen. Sobald die Nutzer diesen Link anklicken, werden sie über Google Ads im Hintergrund weitergeleitet auf die betrügerische Website der Hacker.
Diese neueste Phishing-Taktik, bei der der Markenname eines bekannte Unternehmens – nicht zum ersten Mal handelt es sich dabei um Google – missbraucht wird, um Empfänger einer Phishing-E-Mail in Sicherheit zu wiegen, wird von Sicherheitsforschern als Business E-Mail Compromise 3.0 (BEC 3.0) bezeichnet. Zu dem perfiden Trick gehört, dass legitime Webseiten und Dienste benutzt werden – keine Fälschungen. Sicherheitsforscher raten Unternehmen und Privat-Anwendern zu größter Vorsicht, da sie erwarten, dass Kampagnen wie diese bei Cyber-Kriminellen noch an Beliebtheit gewinnen werden.