Gmail-Funktion wird zum Einfallstor für Phishing-Angriffe

Eine neue Gmail-Funktion wird zurzeit massiv für Betrugsversuche missbraucht. Sicherheitsexperten warnen vor einer Phishing-Welle, die gezielt das Vertrauen in Google ausnutzt. Besonders gefährdet sind Smartphone-Nutzer.

Die Funktion erlaubt es, die eigene @gmail.com-Adresse zu ändern, während die alte als Alias erhalten bleibt. Kriminelle nutzen diesen Prozess nun für perfide Angriffe. Sie versenden täuschend echte E-Mails, die scheinbar von Google stammen und zur Bestätigung von Adressänderungen auffordern.

Die Gefahr: Diese Nachrichten werden über die legitime Google-Infrastruktur verschickt und zeigen offizielle Absender wie „no-reply@accounts.google.com“. Das macht es extrem schwer, sie als Betrug zu erkennen.

Gefälschte Google-Mails und auf sites.google.com gehostete Phishing-Seiten funktionieren besonders gut auf dem Smartphone, weil URL‑Abweichungen und falsche Login‑Formulare dort schnell übersehen werden. Ein kostenloses Anti‑Phishing‑Paket bietet eine praxisnahe 4‑Schritte‑Anleitung, zeigt aktuelle Maschen der Täter und nennt sofort umsetzbare Schutzmaßnahmen, mit denen Sie Ihre Konten und Mobilgeräte besser schützen können. Jetzt Anti-Phishing-Paket herunterladen

Die perfide Masche mit der vertrauten Domain

Die Angreifer haben eine raffinierte Methode entwickelt. Sie leiten Opfer über Links auf gefälschte Login-Seiten, um deren Anmeldedaten zu stehlen. Das Ziel ist die vollständige Übernahme des Google-Kontos – dem Schlüssel zu vielen Online-Diensten.

Besonders perfide ist der Einsatz von Googles eigenem Dienst:
* Die Phishing-Seiten werden auf der Domain „sites.google.com“ gehostet.
* Diese Domain gilt bei den meisten Spam-Filtern als vertrauenswürdig und wird nicht blockiert.
* Für den Nutzer sehen die Seiten den offiziellen Google-Supportseiten täuschend ähnlich.

Bereits Ende 2025 warnte das IT-Sicherheitsunternehmen Check Point Research vor ersten Angriffen dieser Art.

Warum Smartphone-Nutzer im Visier stehen

Die aktuelle Phishing-Welle zeigt, warum Mobilgeräte das primäre Einfallstor für Kriminelle sind. Die meisten Nutzer checken ihre Mails vorwiegend auf dem Smartphone. Auf dem kleinen Bildschirm sind gefälschte Seiten oder subtile Abweichungen schwerer zu erkennen.

Hinzu kommt der Faktor Mensch: Unterwegs und in Eile überfliegen viele ihre Nachrichten nur. Eine professionelle E-Mail mit einer dringenden „Sicherheitswarnung“ von Google verleitet so schneller zu unüberlegten Klicks. Aktuelle Reports zeigen, dass über 80 Prozent aller Phishing-Seiten speziell für mobile Geräte optimiert sind.

Was Nutzer jetzt tun können

Technische Schutzmaßnahmen stoßen hier an Grenzen. Selbst wenn Google über 99,9 % der Phishing-Versuche blockiert, findet ein gefährlicher Rest den Weg in die Posteingänge. Die Sensibilisierung der Nutzer bleibt daher entscheidend.

Sicherheitsexperten empfehlen dringend diese Schritte:
* Nie auf Links in unerwarteten Sicherheits-E-Mails klicken, um Daten einzugeben.
* Stattdessen die offizielle Google-Kontoseite manuell im Browser aufrufen, um nach Warnungen zu suchen.
* Zwei-Faktor-Authentifizierung (2FA) aktivieren – sie stellt selbst bei gestohlenem Passwort eine zusätzliche Hürde dar.
* Regelmäßig die Sicherheitseinstellungen des Google-Kontos prüfen.
* Für jeden Dienst ein einzigartiges, starkes Passwort verwenden.

Gelingt Angreifern eine Kontoübernahme, sind nicht nur E-Mails, sondern oft auch verknüpfte Dienste wie Google Drive, Fotos und Logins bei Drittanbietern betroffen.

Übrigens: Wer sein Google-Konto wirklich schützen will, profitiert von klaren, sofort anwendbaren Schritten. Das kostenlose Anti‑Phishing‑Paket fasst bewährte Maßnahmen zusammen, erklärt, wie man gefälschte Login‑Formulare erkennt, welche Einstellungen (etwa 2FA) dringend aktiviert werden sollten und wie man verdächtige Aktivitäten frühzeitig entdeckt. Ein kurzer Leitfaden, der sich besonders für Smartphone-Nutzer lohnt. Anti-Phishing-Guide jetzt kostenlos herunterladen