Google warnt vor gezielten Phishing-Attacken

Cyberkriminelle nutzen erbeutete Unternehmensdaten für raffinierte Betrugsversuche. Ein Datenleck bei einem Drittanbieter bedroht Millionen von Nutzern – obwohl Googles eigene Systeme sicher blieben.

Die Bedrohung entstand durch einen Angriff auf die KI-Chatbot-Plattform Salesloft Drift, die mit Salesforce – einem weit verbreiteten Kundenverwaltungssystem – verknüpft ist. Hacker kompromittierten Authentifizierungs-Token und verschafften sich so Zugang zu den Salesforce-Instanzen zahlreicher Unternehmen, darunter auch Google selbst.

Google stellte klar: Die ursprünglich kursierenden Berichte über einen direkten Angriff auf alle 2,5 Milliarden Gmail-Nutzer waren falsch. Dennoch reagiert das Unternehmen auf die erhöhte Bedrohungslage durch den Drittanbieter-Vorfall.

Lieferketten-Attacke mit System

Hinter dem Angriff steckt die berüchtigte Hacker-Gruppe ShinyHunters, die zwischen dem 8. und 18. August 2025 große Datenmengen aus Unternehmens-Salesforce-Systemen ergaunerte. Die Angreifer nutzten dabei eine Kombination aus technischem Know-how und Social Engineering.

In einigen Fällen setzten sie auf "Vishing" – Betrug per Telefon. Dabei gaben sich die Kriminellen als IT-Support-Mitarbeiter aus und überredeten Angestellte, ihnen Systemzugriff zu gewähren. War die erste Hürde genommen, konnten sie sensible Geschäftsdaten abgreifen.

Bei Google beschränkte sich der Schaden auf eine Unternehmens-Salesforce-Instanz mit "grundlegenden und größtenteils öffentlich verfügbaren Geschäftsinformationen" wie Firmennamen und Kontaktdaten. Keine Nutzer-Passwörter wurden gestohlen, betont das Unternehmen. Allerdings verschafften sich die Angreifer über die kompromittierten Token Zugang zu E-Mails einer "sehr kleinen Anzahl" von Google Workspace-Konten, die die Drift-Integration aktiviert hatten.

Prominente Opfer, weitreichende Folgen

Die Attacke traf nicht nur Google. Eine wachsende Liste prominenter Technologie- und Cybersicherheitsfirmen bestätigte Betroffenheit: Proofpoint, Tenable, CyberArk, Zscaler, Cloudflare und Palo Alto Networks. Die gestohlenen Daten umfassten hauptsächlich Kundenkontakte wie Namen, geschäftliche E-Mail-Adressen und Telefonnummern.

Dieser Lieferketten-Angriff verdeutlicht eine zentrale Schwachstelle des digitalen Ökosystems: Selbst bei robuster interner Sicherheit können Unternehmensdaten durch die Kompromittierung kleinerer, integrierter Drittanbieter preisgegeben werden.

Die Hacker hatten es besonders auf wertvolle Zugangsdaten abgesehen – einschließlich Amazon Web Services-Schlüssel und andere in den Salesforce-Instanzen gespeicherte Passwörter. Google und Salesforce deaktivierten vorübergehend ihre Drift-Integrationen, um weiteren unautorisierten Zugriff zu verhindern.

Die eigentliche Gefahr: Perfektionierte Betrugsmaschen

Das wahre Risiko für Nutzer und Unternehmen liegt in der zu erwartenden Welle hochentwickelter Phishing- und Vishing-Kampagnen. Mit echten Geschäftskontaktlisten und Metadaten ausgestattet, können Betrüger nun E-Mails und Anrufe verfassen, die außergewöhnlich glaubwürdig wirken.

Diese Attacken können vertrauensvolle Dienstleister, Kollegen oder sogar Googles eigenen IT-Support imitieren. Durch die Verwendung spezifischer Unternehmensinformationen wollen sie Opfer dazu bringen, Anmeldedaten oder andere sensible Informationen preiszugeben.

Laut Google machen Phishing- und Vishing-Angriffe bereits etwa 37 Prozent aller erfolgreichen Kontoübernahmen aus. Die erbeuteten Daten machen diese Betrugsversuche erheblich wirkungsvoller als generische Maschen. Nutzer berichten bereits von einer Zunahme betrügerischer E-Mails, SMS und gefälschter Anrufe.

Anzeige: Übrigens: Wenn Phishing‑Mails, SMS-Betrug und gefälschte Support-Anrufe zunehmen, sollten Sie auch Ihr Smartphone absichern – dort landen die meisten Nachrichten zuerst. Ein kostenloses Sicherheitspaket zeigt die 5 wichtigsten Schutzmaßnahmen für Android, inklusive Checklisten für WhatsApp, Online‑Banking und PayPal – ganz ohne teure Zusatz‑Apps. Sichern Sie sich den Schritt‑für‑Schritt‑Ratgeber jetzt: Gratis „5 Schutzmaßnahmen für Ihr Android‑Smartphone“ herunterladen

Schwachstelle Cloud-Vernetzung

Der Vorfall unterstreicht eine fundamentale Wahrheit: In vernetzten Cloud-Umgebungen ist die Sicherheit nur so stark wie das schwächste Glied. Der Angriff auf Salesloft Drift zeigt exemplarisch, wie Kriminelle weniger sichere Drittanbieter-Anwendungen als Einfallstor für hochwertige Ziele nutzen.

Die Wahl von Drift als Angriffsziel war strategisch klug: Die Anwendung verbindet sich direkt mit dem Herzstück der Unternehmens-Verkaufs- und Kundendaten in Salesforce. Die zunehmende Abhängigkeit von Drittanbieter-Integrationen und OAuth-Token schafft neue Angriffsflächen, die traditionelle Netzwerk-Perimeter-Verteidigungen umgehen können.

Die Beteiligung von ShinyHunters, einer für Datendiebstahl und Erpressung bekannten Gruppe, deutet auf mögliche weitere Eskalationen hin. Googles Bedrohungsanalyse-Team vermutet, dass die Gruppe eine Daten-Leak-Website vorbereitet, um Druck auf die Opfer auszuüben.

Kampf gegen Passwort-Schwächen

Google nutzt den Vorfall, um eindringlich für den Abschied von traditionellen Passwörtern zu werben. Das Unternehmen empfiehlt die Adoption von Passkeys, die biometrische Daten wie Fingerabdrücke oder Gesichtserkennung verwenden. Diese sind resistent gegen Phishing-Angriffe, da sie nicht versehentlich an böswillige Akteure weitergegeben werden können.

Für Nutzer, die weiterhin Passwörter verwenden, rät Google zur Aktivierung der app-basierten Zwei-Faktor-Authentifizierung anstelle weniger sicherer SMS-basierter Codes.

Alle betroffenen Google Workspace-Administratoren wurden bereits Anfang August benachrichtigt, die kompromittierten Zugangs-Token wurden widerrufen. Die gestohlenen Daten befinden sich jedoch weiterhin in den Händen der Cyberkriminellen.

Anzeige: Passend zum Thema Kontoschutz: Stärken Sie die Basis auf Ihrem Android‑Handy. Der kostenlose Leitfaden erklärt verständlich, wie Sie Betrugsversuche erkennen, Berechtigungen richtig setzen und Ihr Gerät gegen Datenklau härten – Schritt für Schritt. Jetzt kostenfrei anfordern: Die 5 wichtigsten Android‑Schutzmaßnahmen als PDF

Sicherheitsexperten erwarten verfeinerte Phishing-Kampagnen auf Basis dieser Informationen für die absehbare Zukunft. Nutzer sollten höchste Wachsamkeit walten lassen, offizielle Websites direkt ansteuern statt auf Links in unaufgeforderten E-Mails zu klicken und Sicherheits-Tools nutzen, um zu überprüfen, welche Drittanbieter-Apps Zugang zu ihren Konten haben.