Der Ablauf des Angriffs ist so einfach wie genial: Die Kriminellen fügen einem Google-Dokument einen Kommentar mit einem kompromittierten Link hinzu. Das potenzielle Opfer wird dabei mit einem @Nutzername gekennzeichnet. Dadurch erhält es automatisch eine E-Mail von Google zugeschickt, die den vollständigen Wortlaut des Kommentars inklusive bösartigem Link enthält. So muss das Opfer nicht einmal das Dokument öffnen. Der Verfasser des Kommentars wird nur mit seinem Namen genannt, seine E-Mail-Adresse ist nicht ersichtlich. Das erleichtert es den Kriminellen, ihre Identität zu verschleiern und unter dem Namen eines realen Kollegen zu operieren. Für Malware-Scanner und Spamfilter macht es dieses Vorgehen extrem schwer, den Angriff zu erkennen, denn die E-Mail mit dem verseuchten Link stammt direkt von Google. Und Google ist als Absender in den meisten Protokollen zugelassen.
Bekannt ist dieses Vorgehen schon seit einiger Zeit. Bereits 2020 veröffentlichte Google ein Sicherheitsupdate für das Problem. Aus der Welt ist es damit offenbar noch lange nicht. Avanan berichtet von mehr als 500 betroffenen Posteingängen, wobei auf Seiten der Hacker über 100 verschiedene Gmail-Konten verwendet wurden. Hauptsächlich wurden, dem Bericht nach, Benutzer des E-Mail-Client Outlook attackiert, jedoch nicht ausschließlich.
Der Fall zeigt einmal mehr: Bei rein digitalem Kontakt – auch zu bekannten Personen und Kollegen – ist erhöhte Vorsicht geboten. Denn auch wenn die Art und Weise, wie die kompromittierten Links in die Posteingänge der Opfer gelangen, sehr kreativ ist, handelt es sich doch „nur“ um eine weitere Phishing-Variante. Nutzer sollten daher alle Links – auch solche von legitimen Absendern – immer mit Vorsicht behandeln. Dazu gehört auch, die Links und den eingebetteten Hyperlink zu überprüfen, bevor man daraufklickt. Das ist z. B. möglich, indem man den Cursor über dem Link platziert – ohne ihn anzuklicken – und sich im Mouseover-Fenster ansieht, wohin man tatsächlich geleitet wird.