Cyberkriminelle nutzen Googles eigene Infrastruktur für ausgeklügelte Angriffe auf Gmail-Konten. Die raffinierten Fake-Seiten umgehen herkömmliche Sicherheitssysteme und setzen auf das Vertrauen der Nutzer in die bekannte Google-Domain.

Eine hochentwickelte Phishing-Kampagne hat es auf Millionen von Gmail-Nutzern abgesehen – und nutzt dabei ausgerechnet Googles eigene Werkzeuge gegen das Unternehmen. Sicherheitsexperten warnen vor einem dramatischen Anstieg von Attacken, die über Google Sites täuschend echte Anmeldeseiten erstellen.

Die Betrüger setzen auf einen perfiden Trick: Sie hosten ihre gefälschten Login-Portale direkt auf sites.google.com. Für Nutzer wirken diese Seiten dadurch vollkommen vertrauenswürdig – schließlich stammen sie scheinbar von Google selbst. Kombiniert mit gefälschten E-Mails, die von offiziellen Google-Adressen zu kommen scheinen, entsteht eine Bedrohung, die selbst technisch versierte Anwender überlisten kann.

Die Kampagne, die seit Anfang 2025 an Fahrt aufnimmt, zielt auf die gesamte Google-Infrastruktur ab. Wer seine Zugangsdaten preisgibt, riskiert den Verlust seiner Daten in Google Drive, Google Fotos und Google Pay.

Perfide Technik hinter den Attacken

Das Herzstück der Kampagne ist die Ausnutzung von Googles eigener Infrastruktur. Die Angreifer beginnen mit E-Mails, die scheinbar von offiziellen Adressen wie no-reply@google.com stammen. Doch das sind keine simplen Fälschungen: Die Kriminellen setzen auf sogenannte DKIM-Replay-Attacken.

Bei dieser Methode fangen sie echte, kryptographisch signierte Google-E-Mails ab und verwenden deren Signatur für ihre eigenen bösartigen Nachrichten wieder. So passieren die gefälschten Mails alle Authentifizierungs-Checks, die normalerweise gefälschte Nachrichten aufspüren würden.

Die Inhalte sind gezielt auf Panik ausgelegt: Betreffzeilen warnen vor angeblichen Vorladungen oder dringenden Sicherheitsproblemen. Nutzer sollen auf Links wie "Fall anzeigen" oder "Dokumente herunterladen" klicken – und landen dann auf einer täuschend echten Google-Anmeldeseite, die über Google Sites gehostet wird.

Vertrauen als Waffe

Die Raffinesse dieser Phishing-Technik liegt in der Ausnutzung mehrerer Google-Dienste gleichzeitig. Sicherheitsforscher, darunter Entwickler Nick Johnson, haben detailliert aufgeschlüsselt, wie die Angreifer Googles OAuth-System manipulieren.

In manchen Fällen erstellen sie sogar eigene OAuth-Anwendungen, deren Namen der komplette Text der Phishing-Nachricht ist. Wenn sie dieser App von einem kontrollierten Google-Konto aus Zugriff gewähren, löst das eine echte Sicherheitswarnung von Google aus. Diese leiten sie dann an ihre Opfer weiter.

Das Perfide daran: Die weitergeleitete E-Mail behält ihre gültige DKIM-Signatur und wird oft in denselben Conversation-Thread wie echte Sicherheitswarnungen einsortiert. Google hat die Sicherheitslücken bestätigt und arbeitet an Patches für die OAuth- und DKIM-Mechanismen.

Neue Dimension der Cyberkriminalität

Diese Kampagne verdeutlicht einen beunruhigenden Trend: Angreifer nutzen zunehmend legitime Plattformen für ihre kriminellen Machenschaften. Indem sie vertrauenswürdige Dienste wie Google Sites und Googles eigene Benachrichtigungssysteme als Waffen einsetzen, umgehen sie Sicherheitsinfrastrukturen im Milliardenwert.

Die Erfolgsquote ist hoch, weil Nutzer bei google.com-Domains instinktiv weniger misstrauisch sind. Verstärkt wird dieser Effekt durch KI-gestützte Phishing-Methoden, die hochpersonalisierte und überzeugende E-Mail-Texte erstellen.

Anzeige: Viele Gmail-Angriffe treffen Nutzer direkt am Smartphone. Wer Android verwendet, sollte jetzt die wichtigsten Schutzmaßnahmen umsetzen. Ein kostenloses Sicherheitspaket zeigt Schritt für Schritt, wie Sie WhatsApp, Online-Banking, PayPal & Co. absichern – ohne teure Zusatz-Apps. Gratis-Sicherheitspaket für Android sichern

Schutzmaßnahmen und Ausblick

Experten erwarten eine weitere Ausbreitung dieser "Living-off-the-Land"-Taktiken. Während Google die aktuell genutzten Sicherheitslücken schließt, werden die Angreifer neue Schwachstellen in Cloud-Plattformen wie Google Workspace und Microsoft 365 suchen.

Google setzt verstärkt auf KI-gestützte Bedrohungsanalyse, um verdächtige Verhaltensmuster zu erkennen. Für Nutzer bleibt Wachsamkeit entscheidend: Jede Anmeldeseite sollte genau geprüft werden – nur accounts.google.com ist die echte Google-Anmeldung, nicht sites.google.com.

Die wichtigste Schutzmaßnahme bleibt die Zwei-Faktor-Authentifizierung, idealerweise mit Hardware-Sicherheitsschlüsseln. Google empfiehlt gefährdeten Nutzern zusätzlich das Advanced Protection Program. In einer Zeit, in der selbst offizielle Domains als Waffen missbraucht werden können, ist gesunde Skepsis gegenüber unaufgeforderten E-Mails der beste Schutz.