Das Integrity360 Security Operations Center (SOC) hat vor kurzem eine fortschrittliche Phishing-Kampagne identifiziert und analysiert, die legitime Google-Umleitungs-URLs, insbesondere Domains wie share.google, nutzt, um das endgültige Ziel bösartiger Links zu verschleiern und die Wahrscheinlichkeit einer Nutzerinteraktion deutlich zu erhöhen.
Diese Aktivität entspricht einem breiteren, gut dokumentierten globalen Trend, der von mehreren Cybersecurity-Forschungsorganisationen und Threat-Intelligence-Anbietern beobachtet wurde und den zunehmenden Missbrauch von Google-Umleitungsmechanismen als Umgehungs- und Social-Engineering-Technik hervorhebt. Die Ergebnisse des Integrity360 SOC stimmen vollständig mit öffentlich gemeldeten Forschungsergebnissen überein und bestätigen, dass diese Kampagnen von Ende 2025 bis Anfang 2026 aktiv blieben und sich weiterentwickelten.
Während der routinemäßigen Überwachungs- und Incident-Response-Aktivitäten stellte das Integrity360 SOC eine Zunahme von Phishing-E-Mails fest, die von Microsoft Defender gekennzeichnet wurden und URLs mit den folgenden Merkmalen enthielten:
- URLs, die mit https://share.google/ beginnen
- URL-Pfade, die aus scheinbar zufälligen alphanumerischen Zeichenfolgen bestehen
- Keine offensichtlichen bösartigen Indikatoren im Anfangsteil der URL
- Umleitung zu externen, nicht-Google Domains
Ein repräsentatives Beispiel, das beobachtet wurde, war:
https://share.google/WZVPCOYZZLbKAmFeF
Auf den ersten Blick erscheinen solche Links den Endnutzern aufgrund des mit der Marke Google verbundenen Vertrauens legitim. Eine dynamische Analyse bestätigte jedoch, dass diese URLs als Umleitungen fungieren, die Nutzer zu externen und potenziell bösartigen Zielen weiterleiten.
Die vom Integrity360 SOC durchgeführte Sandbox-Analyse ergab, dass das endgültige Weiterleitungsziel nicht statisch ist. Stattdessen kann es von verschiedenen Faktoren abhängen, darunter der Benutzer-Agent, der Browsing-Kontext und Umgebungsattribute. In einigen Fällen wurden Sandbox-Umgebungen auf gutartige oder zufällige Websites umgeleitet, während echte Benutzer auf aktive Phishing-Seiten weitergeleitet wurden.
Dieses Verhalten steht im Einklang mit fortschrittlichen Techniken zur Umgehung der Sandbox, die darauf ausgelegt sind, die automatische Erkennung, URL-Reputationssysteme und die Analyse von sicheren E-Mail-Gateway-Links zu umgehen.
Ein weiteres bemerkenswertes Merkmal, das bei der Untersuchung festgestellt wurde, war der scheinbare Absender der Phishing-E-Mails. In mehreren Fällen schienen die E-Mails vom persönlichen Google Mail-Konto des Empfängers zu stammen und wurden an dessen Firmen-E-Mail-Adresse weitergeleitet.
Diese Technik, die gemeinhin als Self-Spoofing oder Replay-Phishing bezeichnet wird, nutzt das Vertrauen und die Vertrautheit der Nutzer aus, wodurch die Glaubwürdigkeit der Nachricht erheblich gesteigert und das Misstrauen der Nutzer verringert wird. Indem sie die legitime Google-Infrastruktur nutzen, können diese E-Mails grundlegende Vertrauens- und Authentifizierungsprüfungen aushebeln.
Die vom Integrity360 SOC beobachteten Techniken entsprechen weitgehend denen, die von mehreren Cybersecurity-Forschern und -Anbietern dokumentiert wurden. Öffentliche Untersuchungen haben immer wieder gezeigt, dass Angreifer verschiedene Umleitungsmechanismen von Google missbrauchen, darunter share.google, google.com/url, google.sm, Google AMP, Google Translate und Google Maps, um bösartige Ziele zu verschleiern und Sicherheitskontrollen zu umgehen.
Angreifer wechseln häufig Domains, Pfade und Parameter, um statische Erkennungsregeln zu umgehen, und verlassen sich dabei auf die hohe Reputation von Google-eigenen Domains, die in Unternehmensumgebungen oft implizit als vertrauenswürdig oder zulässig eingestuft werden.
Diese Phishing-Techniken stellen aus mehreren Gründen ein erhebliches Risiko für Unternehmen dar. Vertrauenswürdige Google-Domains verringern die Skepsis der Nutzer, statische URL-Filter werden unwirksam, Sandbox-Umgebungen können das wahre bösartige Verhalten nicht erkennen, und selbst gefälschte E-Mails verringern die Wachsamkeit der Nutzer drastisch.
Organisationen, die sich in erster Linie auf Domain-Reputation oder statische Link-Überprüfung verlassen, sind besonders anfällig für diese Kampagnen.
Auf der Grundlage der Ergebnisse empfiehlt das Integrity360 SOC einen mehrschichtigen Verteidigungsansatz. Die E-Mail-Authentifizierungskontrollen sollten eine strenge DMARC-Durchsetzung mit Quarantäne oder Ablehnung, einen engen SPF-Abgleich und eine obligatorische DKIM-Signierung für ausgehende E-Mails umfassen, um die Wirksamkeit von Spoofing- und Replay-Angriffen zu verringern.
Web-Sicherheitskontrollen sollten so konfiguriert werden, dass sie Umleitungsketten analysieren und Szenarien blockieren, in denen vertrauenswürdige Domänen zu nicht vertrauenswürdigen Zielen umleiten. Sicherheitsteams sollten sich bei der Bewertung der Sicherheit von Links nicht nur auf die ursprüngliche Domäne verlassen.
Die Sensibilisierung der Nutzer bleibt entscheidend. Die Nutzer sollten darüber aufgeklärt werden, dass Links mit der Marke Google nicht per se sicher sind, dass E-Mails, die scheinbar von ihnen selbst stammen, mit Vorsicht zu genießen sind und dass sich hinter Umleitungslinks Phishing-Seiten verbergen können.
Die Integrity360 SOC-Analyse bestätigt, dass der Missbrauch von Google-Umleitungen eine der effektivsten und hartnäckigsten Phishing-Techniken darstellt, die derzeit im Einsatz sind. Durch die Kombination von vertrauenswürdiger Infrastruktur, dynamischer Umleitung und ausgeklügeltem Social Engineering sind Angreifer in der Lage, sowohl technische Kontrollen als auch menschliche Abwehrmechanismen zu umgehen.
Diese Bedrohungslage unterstreicht die Notwendigkeit mehrschichtiger Sicherheitskontrollen, Verhaltensanalysen, kontinuierlicher Benutzerschulungen und aktueller Bedrohungsdaten. Das Integrity360 SOC überwacht diese Kampagnen aktiv und unterstützt seine Kunden bei der Erkennung, Eindämmung und Reaktion auf diese sich entwickelnde Bedrohung.