Russische Hackergruppen missbrauchen Google-App-Passwörter, um die Multi-Faktor-Authentifizierung zu umgehen und Zugriff auf sensible Gmail-Konten zu erhalten.
Sicherheitsforscher beobachten gezielte Social-Engineering-Angriffe auf Kritiker des russischen Regimes – eine Methode, die für jedes Unternehmen zur Bedrohung werden kann. Alles Infos über die Vorgehensweise bekommen Sie bei uns.
Unser Beitrag über Google-App-Passwörter im Überblick:
Was sind Google-App-Passwörter?
Google-App-Passwörter sind 16-stellige Zugriffscodes, die speziell für den Einsatz mit Anwendungen oder Geräten gedacht sind, die selbst keine Zwei-Faktor-Authentifizierung unterstützen. Nutzer können sie direkt im Google-Konto generieren und damit Drittanbieter-Apps wie E-Mail-Clients oder Kalenderdienste verknüpfen.
Weniger sichere Apps können damit also ohne Abfrage eines zweiten Faktors auf Ihr Google-Konto zugreifen. Im Unterschied zum herkömmlichen Login entfällt bei App-Passwörtern der zweite Authentifizierungsschritt vollständig.
Genau diese Lücke machen sich Angreifer zunutze – denn trotz Sicherheitsbedenken sind App-Passwörter bei Google weiterhin aktiv verfügbar. Besonders kritisch: Bei falscher Anwendung können Dritte ohne Kenntnis des Hauptpassworts dauerhaft auf das Konto zugreifen.
Allerdings warnt Google vor der Verwendung von Google-App-Passwörtern und sagt: „App-Passwörter werden nicht empfohlen und sind in den meisten Fällen nicht erforderlich. Verwenden Sie zum Schutz Ihres Kontos die Option „Über Google anmelden“, um Apps mit Ihrem Google-Konto zu verbinden.“
Google selbst warnt vor der Verwendung von App-Passwörtern, bietet die Funktion aber dennoch an. Bild: Screenshot Google
Angreifer umgehen Multi-Faktor-Authentifizierung
Die beobachteten Angriffe zeigen, wie gezielt und effektiv Google-App-Passwörter ausgenutzt werden. Anstatt Sicherheitsbarrieren wie Zwei-Faktor-Authentifizierung zu überwinden, lassen die Angreifer diese einfach aus – durch gezielte Manipulation der Zielpersonen. So läuft der Betrug:
- Die Methode beginnt in der Regel mit einer unauffälligen E-Mail, die nicht direkt bösartig wirkt. Um Authentizität zu suggerieren, werden zusätzlich gefälschte Absenderadressen im CC-Feld verwendet – ein Trick, der Vertrauen aufbauen soll, bevor überhaupt eine Schadkomponente ins Spiel kommt. Oft handelt es sich um angebliche Einladungen. Ziel ist es, eine Antwort zu provozieren.
- Wer auf die erste E-Mail reagiert, erhält in Folge-E-Mails einen unauffälligen PDF-Anhang, der gefälschte Anweisungen zum Zugriff auf eine angebliche Cloudumgebung enthält. Die Zielperson wird dazu aufgefordert, ein App-Passwort mit einem vorgegebenen Namen wie „ms.state.gov“ für das eigene Google-Konto zu erstellen – und diesen Zugangscode an die Angreifer weiterzuleiten;Phishing also.
Mit dem erhaltenen App-Passwort richten die Angreifer dann unbemerkt einen E-Mail-Client ein und lesen dauerhaft E-Mails mit – ohne weitere Sicherheitsabfragen. Die Multi-Faktor-Authentifizierung bleibt dabei, wie bereits vor einigen Jahren bei WebView2, vollständig außen vor. Und die Opfer verlieren mit nur wenigen Klicks die Kontrolle über Ihren E-Mail-Account.
Google-App-Passwörter: Social Engineering
Die Kampagnen setzen gezielt auf Social Engineering. Hinter den Angriffen vermuten Sicherheitsforscher die Gruppe UNC6293, die in Verbindung mit APT29 steht – einer bekannten russischen Hackerorganisation, auch bekannt unter Namen wie Midnight Blizzard, Cozy Bear oder Nobelium. Diese Gruppierung wird westlichen Geheimdiensten seit Jahren als Teil des russischen Auslandsgeheimdienstes SVR zugeordnet.
APT29 ist für gezielte Cyberangriffe auf westliche Behörden, Politiker und Organisationen bekannt – etwa im Zuge der Angriffe auf Microsoft oder Bundestagsabgeordnete. In den aktuellen Kampagnen nutzten die Angreifer eine wiederkehrende Infrastruktur, darunter residential proxies und virtuelle Server, um ihre Spuren zu verschleiern. So konnte etwa die IP-Adresse 91.190.191.117 bei mehreren Vorfällen zugeordnet werden – ein Hinweis darauf, dass dieselben Ressourcen für unterschiedliche Opfer eingesetzt wurden.
Diese technische Ausführung zeigt: Der Angriff ist nicht nur perfide, sondern hochgradig professionell und langfristig angelegt.
Der Betrug beginnt mit einer scheinbar harmlosen E-Mail mit einer PDF-Datei im Anhang. Bild: Pexels/Maksim Goncharenok
Perfide Angriffstechnik ohne Malware
Im Gegensatz zu klassischen Phishing-Angriffen arbeiten die aktuellen Kampagnen nicht mit schädlichen Anhängen oder infizierten Links. Vielmehr wird gezielt psychologischer Druck aufgebaut, um die Opfer zur freiwilligen Herausgabe sicherheitsrelevanter Informationen zu bewegen – ohne dass Malware zum Einsatz kommt.
Besonders tückisch: Google-App-Passwörter wirken legitim. Sie werden auf offizieller Google-Infrastruktur erstellt und generieren keine Sicherheitswarnung, da sie ursprünglich für legitime Drittanwendungen gedacht sind. In der Praxis jedoch dienen sie den Angreifern als Hintertür – mit vollem Zugriff auf E-Mail-Inhalte, Benachrichtigungen und damit auch auf andere verknüpfte Dienste.
Hinzu kommt: Der Zugriff über ein App-Passwort bleibt oft lange unbemerkt. Ohne zusätzliche Authentifizierungsabfrage und ohne verdächtige Login-Meldungen kann der Datenabfluss über Wochen oder Monate erfolgen – mit potenziell gravierenden Folgen.
Alternative: Advanced Protection Program
Wer App-Passwörter nutzt, sollte sich der Risiken bewusst sein – insbesondere in sicherheitskritischen Umgebungen. Google selbst rät ausdrücklich zur Zurückhaltung bei deren Verwendung. Ein wirksamer Schutz besteht darin, Google-App-Passwörter nur im Ausnahmefall zu generieren und regelmäßig zu überprüfen sowie ungenutzte Codes umgehend zu löschen.
Für besonders gefährdete Personen – etwa politische Aktivisten, Journalistinnen oder IT-Verantwortliche in KMU – empfiehlt sich der Umstieg auf das Advanced Protection Program (APP) von Google. Dieses spezielle Sicherheitsprogramm verhindert unter anderem die Erstellung von App-Passwörtern vollständig. Zusätzlich kommen hier Hardware-Sicherheitsschlüssel und strengere Prüfverfahren zum Einsatz.
Jeder mit Google-Konto sollte mindestens folgende Maßnahmen ergreifen:
- Zwei-Faktor-Authentifizierung aktivieren und regelmäßig auf Integrität prüfen
- Zugriffsdaten niemals auf Anfrage per E-Mail weitergeben – auch nicht auf scheinbar vertrauenswürdige Kontakte
- Verdächtige Login-Aktivitäten im Google-Konto unter „Sicherheitsüberprüfung“ regelmäßig kontrollieren
Im betrieblichen Umfeld sind Schulungen zur Sensibilisierung von Mitarbeitern ein effizientes Mittel, um über potenzielle Gefahren aufzuklären.
Unternehmen sind auf sichere Kommunikationstools und geschulte Mitarbeiter angewiesen. Bild: Pexels/Andrea Piacquadio
Google-App-Passwörter in Unternehmen
Gerade kleine und mittlere Unternehmen sind auf zuverlässige Kommunikationstools wie Gmail angewiesen – und damit ein attraktives Ziel für gezielte Cyberangriffe. Die hier beschriebene Angriffstechnik zeigt, wie leicht selbst scheinbar sichere Konten unterwandert werden können, wenn menschliche Schwächen wie Vertrauensseligkeit oder Unwissenheit ausgenutzt werden.
IT-Verantwortliche sollten deshalb zeitnah prüfen, ob App-Passwörter im Unternehmen im Einsatz sind – und wenn ja, für welche Anwendungen und in welchem Umfang. Auch lohnt sich ein Blick in die Google-Sicherheitsprotokolle, um auffällige oder veraltete Zugriffsdaten zu identifizieren und zu deaktivieren. Zudem kann jeder Kontoinhaber den Google-Sicherheitscheck durchführen.
Neben technischen Maßnahmen ist Aufklärung entscheidend: Schulungen zum Erkennen von Social-Engineering-Versuchen und verbindliche Sicherheitsrichtlinien helfen dabei, Mitarbeiter zu sensibilisieren und potenzielle Angriffe frühzeitig zu stoppen.
IT-Sicherheit stärken mit PC-SPEZIALIST
Ob gezielte Phishing-Kampagnen, Social Engineering oder technische Ausnutzung legitimer Funktionen – moderne Cyberangriffe erfordern eine ebenso moderne Verteidigung. PC-SPEZIALIST unterstützt Sie dabei, Ihre IT-Sicherheitsstruktur zukunftsfähig aufzustellen und Ihre sensiblen Daten bestmöglich zu schützen.
Unsere IT-Dienstleister vor Ort analysiert vorhandene Risiken, identifiziert potenzielle Sicherheitslücken in Ihren Systemen und hilft bei der Einführung wirksamer Schutzmaßnahmen – von der Zwei-Faktor-Authentifizierung über die sichere E-Mail-Nutzung bis hin zum Passwort-Management und der Netzwerksicherheit.
Darüber hinaus beraten wir Sie zu Programmen wie Googles Advanced Protection, prüfen den Einsatz von App-Passwörtern in Ihrer Umgebung und unterstützen bei der Sensibilisierung Ihrer Mitarbeitenden für digitale Bedrohungen. Nehmen Sie gern Kontakt zu uns auf.
_______________________________________________
Quellen: Google, Google-Support, Golem, connect, Pexels/Vitaly Gariev (Headerbild)
Schreiben Sie einen Kommentar