{"id":1466,"date":"2022-08-01T07:53:28","date_gmt":"2022-08-01T05:53:28","guid":{"rendered":"https:\/\/certitude.consulting\/blog\/?p=1466"},"modified":"2022-08-01T08:09:57","modified_gmt":"2022-08-01T06:09:57","slug":"bypass-phishing-detections-with-google-translate","status":"publish","type":"post","link":"https:\/\/certitude.consulting\/blog\/de\/bypass-phishing-detections-with-google-translate\/","title":{"rendered":"Mit Google Translate Phishing-Filter umgehen"},"content":{"rendered":"\n

Es ist aktuell eine neue Phishing-Welle im Umlauf (eine Story von derstandard.at dazu finden Sie hier<\/a>). Dabei sollen Ihnen Dokumente von einem Scanner zugesendet worden sein, die Sie sich angeblich runterladen k\u00f6nnen, wie im folgenden Bild zu sehen ist.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Interessant ist dabei zuerst der gr\u00fcne Balken, der das Opfer in den Glauben versetzen soll, der Absender stehe bereits in der eigenen Liste vertrauensw\u00fcrdiger Absender. So eine Liste existiert in der Form jedoch meist gar nicht – es wird blo\u00df versucht dem potenziellen Opfer auf psychologische Weise eine Gefahrlosigkeit der Mail zu suggerieren.<\/p>\n\n\n\n

F\u00fcr das Absenden der Mails und auch das Verschleiern der darin enthaltenen Links wird Sendgrid genutzt. Dabei handelt es sich um eine der bekannteren Plattformen f\u00fcr die Zustellung von z.B. legitimen Marketing-Mails und wird daher bei den meisten Mail-Filtern von vorhinein als vertrauensw\u00fcrdig eingestuft. Die Links in der Mail werden zus\u00e4tzlich automatisch von Sendgrid durch eigene ersetzt. Beim Anklicken der Links gelangt man im Browser also zuerst auf die legitime Domain von Sendgrid und wird von da aus sofort an die eigentliche Ziel-URL geleitet. Das erh\u00f6ht weiters die Chancen der Zustellung solcher Phishing-Mails.<\/p>\n\n\n\n

Bei der eigentlichen URL zu der vom Mail-Zustelldienst Sendgrid weitergeleitet wird, handelt es sich wiederum um einen Verschleierungsschritt. Dabei versucht der Angreifer selbst aufw\u00e4ndigere Mail-Filter, die auch Weiterleitungen pr\u00fcfen, auszutricksen. Er nutzt dazu den Google Translate \u00dcbersetzungsdienst in der Form \u201ehttps[:]\/\/ANGREIFER-URL.translate.goog\u201c, um dem potenziellen Opfer eine Phishing-Seite zu pr\u00e4sentieren. So bleibt die Seite f\u00fcr den Angreifer funktional, wird jedoch in diversen Filtern und anderen Schutzeinrichtungen als vertrauensw\u00fcrdige Google-Domain erkannt.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Eine Analyse der in Google Translate eingebetteten Seite f\u00fchrt zu einer russischen Domain (s. unten). Beim Aufruf werden auch Verbindungen zu weiteren als gef\u00e4hrlich eingestufte Domains und IPs aufgebaut, die z.B. auch schon zur Kommunikation mit bekannter Malware genutzt wurden. Als Schutz vor potenziellen Infektionen wird daher empfohlen nicht nur keine Zugangsdaten einzugeben, sondern die Links gar nicht erst anzuklicken.<\/p>\n\n\n\n

\"\"<\/figure>\n","protected":false},"excerpt":{"rendered":"

Es ist aktuell eine neue Phishing-Welle im Umlauf (eine Story von derstandard.at dazu finden Sie hier). Dabei sollen Ihnen Dokumente von einem Scanner zugesendet worden sein, die Sie sich angeblich runterladen k\u00f6nnen, wie im folgenden Bild zu sehen ist. Interessant ist dabei zuerst der gr\u00fcne Balken, der das Opfer in den Glauben versetzen soll, der […]<\/p>\n","protected":false},"author":8,"featured_media":1470,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":{"footnotes":""},"categories":[34,63],"tags":[],"class_list":["post-1466","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-expert","category-technische-analyse"],"_links":{"self":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/1466","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/comments?post=1466"}],"version-history":[{"count":3,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/1466\/revisions"}],"predecessor-version":[{"id":1480,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/1466\/revisions\/1480"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media\/1470"}],"wp:attachment":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media?parent=1466"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/categories?post=1466"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/tags?post=1466"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}