Google Cloud: Phishing-Kampagne nutzt legitime Google-Server

Eine neue Phishing-Welle versendet täuschend echte Betrugsmails direkt von Google-Servern. Sicherheitsexperten warnen vor Tausenden E-Mails, die herkömmliche Spam-Filter umgehen.

Die Angreifer missbrauchen dafür den legitimen Google Cloud Application Integration-Service. Dieses Automatisierungstool nutzen sie, um ihre Köder mit dem Absender noreply-application-integration@google.com zu verschicken. Da die Nachrichten aus der echten Google-Infrastruktur stammen, bestehen sie alle gängigen Authentifizierungsprüfungen wie SPF und DKIM problemlos.

Warum traditionelle Filter versagen

„Die Sicherheitstools suchen nach schlechten Domains – hier gibt es aber keine“, erklärt Authentifizierungsexperte Kevin Surace. Der Trick: Statt eine Domain zu fälschen, leben die Kriminellen von der makellosen Reputation der Google-Adresse. Die E-Mails landen so direkt im Posteingang, oft sogar vor dem Spam-Ordner.

Passend zum Thema E-Mail-Sicherheit: Weil die Phisher echtes Google-Cloud-Messaging nutzen und SPF/DKIM passieren, reichen klassische Filter nicht mehr. Das kostenlose Anti-Phishing-Paket zeigt in einer klaren 4‑Schritte-Anleitung, wie Sie verdächtige Weiterleitungen erkennen, Mitarbeiter schnell schulen und technische Schutzmaßnahmen etablieren. Enthalten sind Checklisten, Vorlagen zur Kommunikation und branchenspezifische Empfehlungen für IT-Teams. Ideal für Mittelstand und Großunternehmen, die sensiblen Daten schützen wollen. Jetzt kostenloses Anti-Phishing-Paket herunterladen

Die Inhalte imitieren typische Geschäftsbenachrichtigungen:
* Hinweise auf verpasste Voicemails
* Benachrichtigungen über geteilte Dokumente
* Dringende Sicherheitswarnungen des Google-Supports

So funktioniert der mehrstufige Angriff

Klickt ein Opfer auf den Link, landet es zunächst auf einer echten storage.cloud.google.com-Seite. Dort täuschen die Betrüger CAPTCHA-Abfragen oder Verifizierungs-Buttons vor. Dies beruhigt den Nutzer und blockiert gleichzeitig automatisierte Sicherheits-Scanner.

Erst danach erfolgt die Weiterleitung zur eigentlichen Phishing-Seite. Diese kopiert täuschend echt die Login-Masken von Microsoft 365 oder Google Workspace, um Anmeldedaten abzugreifen.

Tausende Unternehmen weltweit betroffen

Allein im Dezember 2025 verschickten die Angreifer über 9.000 solcher E-Mails. In den letzten 72 Stunden erreichte die Kampagne einen neuen Höhepunkt. Insgesamt gerieten etwa 3.200 Organisationen ins Visier, besonders in den USA, Europa und dem asiatisch-pazifischen Raum.

Betroffen sind vor allem Branchen wie:
* Verarbeitendes Gewerbe
* Technologieunternehmen
* Der Finanzsektor

Google betont, es handele sich nicht um einen Hack, sondern um den Missbrauch legitimer Funktionen. Das Unternehmen kündigte angepasste Richtlinien und Filter an.

Was bedeutet das für die Zukunft der Abwehr?

Die Kampagne markiert eine neue Eskalationsstufe. Die Branche sieht sich mit einem grundlegenden Problem konfrontiert: Das Allowlisting vertrauenswürdiger Domains wie google.com wird zur Sicherheitslücke.

Die Zukunft der Abwehr liegt daher nicht mehr in der Frage wer sendet, sondern was gesendet wird. KI-gestützte Verhaltensanalysen müssen künftig erkennen, warum ein Cloud-Automatisierungstool plötzlich Tausende externe „Voicemail“-Benachrichtigungen verschickt.

Für Nutzer gilt mehr denn je: Auch bei E-Mails von offiziellen Absendern ist Skepsis geboten – besonders, wenn nach einer Weiterleitung zur Passworteingabe aufgefordert wird.

PS: Schützen Sie Ihre Firma jetzt – die neue Kampagne hat bereits Tausende Organisationen getroffen. Das kostenlose Anti-Phishing-Paket liefert eine sofort umsetzbare Checkliste, konkrete Maßnahmen gegen CEO-Fraud, praxiserprobte Vorlagen für interne Warnungen und Schulungsmaterial für Mitarbeiter. Nutzen Sie die Anleitung, um privilegierte Zugänge zu sichern und Phishing-Versuche frühzeitig zu erkennen. Anti-Phishing-Paket gratis herunterladen