Was ist Google Looker Studio?

Google Looker Studio ist ein webbasiertes Tool, mit dem man Informationen wie Diashows oder Tabellen in Diagramme und Grafiken umwandeln kann. Klingt erst einmal harmlos. Doch Cyberkriminelle haben einen Weg gefunden, dieses Tool für bösartigen Zwecke zu missbrauchen.

Wie funktioniert der Phishing Angriff?

Forscher bei Check Point (Soll jetzt definitiv keine Werbung sein!) entdeckten eine Business E-Mail Compromise (BEC)-Kampagne, die Looker Studio nutzt, um Kryptowährungs-Themenseiten zu erstellen. So, zumindest Jeremy Fuchs, Cybersecurity-Forscher/Analyst bei Check Point, in einem kürzlichen Blogbeitrag. Die Angreifer versenden E-Mails, die so aussehen, als kämen sie direkt von Google. Sie enthalten Links zu angeblichen Berichten über Kryptowährungsstrategien und fordern Benutzer auf, sich anzumelden, um mehr zu erfahren.

Wenn das Opfer auf den Link anklickt, landet es auf einer Google Looker-Seite mit einer Diashow, die über den Erwerb von mehr Bitcoin informiert. Ein Gefühl der Dringlichkeit wird vermittelt und die Opfer werden zu einer Login-Seite geleitet, die ihre Anmeldeinformationen stiehlt.

Der technische Kniff

Das Besondere an diesem Angriff ist, wie der Angreifer E-Mail-Sicherheitsmaßnahmen umgeht. Der Angriff kann Technologien, die E-Mails auf bösartige Aktivitäten überprüfen, durch die Nutzung von Googles Autorität täuschen. Dies geschieht unter anderem durch:

• Sender Policy Framework (SPF): Hierbei wird eine Sender-IP-Adresse verwendet, die als autorisierter Sender für eine bestimmte Google-Domain gelistet ist.
• DomainKeys Identified Mail (DKIM): Diese Methode verwendet kryptografische Signaturen, um zu überprüfen, ob der Inhalt einer E-Mail während des Transits verändert wurde. Die Nachrichten passieren diesen Check, weil sie für die legitime Domain google.com verifiziert sind.
• DMARC: Hier können Domainbesitzer festlegen, welche Maßnahmen für E-Mails ergriffen werden sollen, die SPF oder DKIM nicht bestehen. Da die Nachrichten mit der google.com-Domain assoziiert sind, werden sie einfach weiter gewunken.

Wie kann man sich vor Phishing schützen?

Es ist besorgniserregend, dass selbst renommierte Technologien und Protokolle wie SPF, DKIM und DMARC für derartige Angriffsvektoren anfällig sind.

Check Point selbst empfiehlt den Einsatz von KI-basierter Sicherheitstechnologie. Diese kann zahlreiche Phishing-Indikatoren analysieren und identifizieren, um komplexe BEC-Angriffe proaktiv abzuwehren. Es sei auch ratsam, eine umfassende Sicherheitslösung zu verwenden, die Dokument- und Dateiscan-Funktionen sowie ein robustes URL-Schutzsystem bietet.

Meine persönlichen Tipps an dieser Stelle:

Vor Phishing-Attacken zu schützen erfordert sowohl technologische als auch proaktive Maßnahmen. Hier sind einige Tipps und Best Practices für einen effektiven Schutz:

1. Bildung und Aufklärung: Bewusstsein für Phishing-Methoden schaffen und regelmäßige Schulungen durchführen.
2. Verdächtige E-Mails überprüfen: Bei E-Mails, die dringende Maßnahmen erfordern, schlecht formuliert sind oder Rechtschreibfehler enthalten, Vorsicht walten lassen. Den Absender überprüfen, indem man über den Namen oder die E-Mail-Adresse fährt, um die tatsächliche Adresse zu sehen.
3. Links überprüfen: Über Links in E-Mails fahren, um die tatsächliche URL zu sehen. Bei Unsicherheit die bekannte, legitime URL manuell in den Browser eingeben.
4. Aktualisierte Sicherheitssoftware: Sicherstellen, dass aktuelle Antivirus- und Anti-Malware-Software vorhanden ist und regelmäßige Scans durchgeführt werden.
5. E-Mail-Filter: Filter verwenden, die Spam und verdächtige E-Mails erkennen und blockieren.
6. Zwei-Faktor-Authentifizierung (2FA): Wenn möglich, Zwei-Faktor-Authentifizierung für Online-Konten aktivieren.
7. Vermeidung der Preisgabe persönlicher Informationen: Niemals vertrauliche Informationen wie Passwörter, Bankdaten oder Sozialversicherungsnummern in Antwort auf eine unaufgeforderte E-Mail oder Nachricht preisgeben.
8. Sichere Verbindungen nutzen: Sicherstellen, dass Websites mit persönlichen Daten eine sichere Verbindung verwenden (URL sollte mit „https://“ beginnen und ein Vorhängeschloss-Symbol sollte in der Adressleiste sichtbar sein). Grundsätzlich eine VPN-Verbindung verwenden.
9. Regelmäßige Backups durchführen: Regelmäßige Backups von Daten erstellen.
10. Software aktuell halten: Betriebssystem, Browser und andere Software regelmäßig aktualisieren.
11. Starke, eindeutige Passwörter verwenden: Robuste und unterschiedliche Passwörter für jeden Dienst benutzen.
12. Vorsicht bei öffentlichem WLAN: Ohne VPN (Virtual Private Network) in öffentlichen WLAN-Netzen keine Anmeldungen bei persönlichen oder geschäftlichen Konten durchführen.

Das Schaffen von Bewusstsein für potenzielle Bedrohungen und die Implementierung von Best Practices sind die effektivsten Verteidigungsmaßnahmen gegen Phishing-Angriffe.

Fazit

In der sich ständig weiterentwickelnden Welt der Cyberkriminalität ist es unerlässlich, informiert und wachsam zu bleiben. Durch das Verständnis für Techniken und Werkzeuge, die potenzielle Angreifer verwenden, können wir bessere Abwehrstrategien entwickeln und uns sowie unsere Daten sicherer machen. Bleiben Sie sicher! 😉

Der Beitrag Phishing – Googles Looker Studio im Visier von Cyberkriminellen erschien zuerst auf CEOsBay.

Entstehungsgeschichte von XSS

Die Wurzeln von XSS liegen in den frühen Tagen des Webs. Mit der wachsenden Beliebtheit von interaktiven Webanwendungen und der steigenden Komplexität von JavaScript entstand ein Bedarf, diese Skripte sicher beherrschen. Es ist schwer zu bestimmen, wer genau den ersten Angriff mit dieser Methode durchgeführt hat, da viele Webentwickler unabhängig voneinander auf diese Sicherheitslücke stießen. Der Begriff „Cross-Site Scripting“ selbst entstand in den 1990er Jahren und war eine Anspielung auf „Cross-Site Tracking“.

Funktionsweise von XSS

Ein einfaches Beispiel: Eine Webseite erlaubt es Benutzern, Kommentare zu posten. Ein Angreifer könnte nun einen Kommentar posten, der im eigentlichen Sinn ein schädliches Skript ist:

<script>alert('XSS Angriff!');</script>

Würde die Webseite diesen Kommentar ohne Überprüfung anzeigen, würde jeder Besucher dieses Kommentars eine Popup-Nachricht mit „XSS Angriff!“ sehen. Das ist ein einfaches Beispiel, aber in der Praxis können derartige Angriffe viel komplexer und schädlicher sein, etwa indem sie Cookies stehlen oder andere Aktionen im Namen des Benutzers ausführen.

Arten von XSS-Angriffen

1. Reflektiertes XSS: Hier wird der schädliche Code über die URL oder durch eine andere externe Eingabe an die Webseite übermittelt und direkt ausgeführt, ohne das eine Speicherung auf der Webseite erfolgen muss.
2. Gespeichertes XSS: Dieser Angriff beinhaltet das Speichern des schädlichen Skripts auf der Webseite. Beispielsweise durch einen Kommentar. Wenn andere Benutzer die Seite besuchen, erfolgt die Ausführung des Skripts.
3. DOM-basiertes XSS: Bei diesem Angriff wird der schädliche Code durch Manipulation des Document Object Models (DOM) der Seite eingefügt und ausgeführt.

Schutz vor XSS

Sicherheit dagegen erfordert eine robuste Eingabevalidierung und -desinfektion. Folgende Praktiken helfen dabei:

• Nutzen von Content Security Policies (CSP), die das Ausführen von nicht autorisierten Skripten blockieren.
• Validierung sämtlicher Eingaben vor der Verarbeitung.
• HTML– und JavaScript-Code mithilfe von Bibliotheken oder Funktionen wie htmlspecialchars() in PHP oder encodeForHTML() in Java desinfizieren.
• Verwendung von HTTP-only-Cookies, um das Stehlen von Cookies zu verhindern.

Fazit

XSS ist eine ernste Bedrohung im modernen Web, aber durch sorgfältige Entwicklung und die Implementierung von Best Practices lässt sich das Risiko erheblich reduzieren. Es bleibt entscheidend, immer auf dem neuesten Stand der Sicherheitspraktiken zu bleiben und Webanwendungen regelmäßig auf Schwachstellen zu überprüfen. Ansonsten kann ich an dieser Stelle auch den Beitrag über OWASP empfehlen (Zur offiziellen Seite von OWASP geht es hier entlang).

Der Beitrag XSS Cross-Site Scripting erschien zuerst auf CEOsBay.