Phishing, getarnt als Google AppSheet-Benachrichtigungen

Phishing-Kampagnen sind in den letzten Jahren immer raffinierter geworden. Immer häufiger tappen arglose Nutzer in die Falle. Die Absenderadressen gleichen den echten (fast) aufs Haar, E-Mails verraten sich nicht mehr durch Rechtschreibfehler, Nutzer werden direkt mit ihren Namen angesprochen. Was tun, wenn eine verdächtige E-Mail von einer eindeutig legitimen E-Mail-Adresse stammt?

Seit Neustem nutzen Phisher die Google AppSheet-Plattform, um betrügerische E-Mails zu erstellen, die von einer offiziellen, mit Google verknüpften Adresse stammen. Bei erfolgreichen Angriffen stehlen sie die Konten und sensiblen Daten der Opfer.

Wir erklären, wie diese neue Diebstahlmethode funktioniert und wie du dich vor heimtückischen Phishing-Angriffen schützen kannst.

Ein Jobangebot von Google. Oder Coca-Cola. Oder vielleicht Volvo. Wer steckt wirklich dahinter?

AppSheet ist ein Google-Dienst, mit dem man auch ohne Programmierkenntnisse Apps erstellen kann. Er wird häufig von kleinen Unternehmen verwendet, um routinemäßige Arbeitsabläufe zu automatisieren. Und genau diese Vereinfachung macht AppSheet für Cyberkriminelle so attraktiv. Um eine Phishing-Kampagne auf den Weg zu bringen, braucht man heutzutage nur ein paar Euro und schon kann man aus vorgefertigten Befehlen und Blöcken eine App zusammenstellen.

Das Prinzip für Phishing-Angriffe via AppSheet ist eine ziemliche Antiquität. Das Opfer erhält eine E-Mail von einem bekannten Unternehmen und wird oft mit seinem wirklichen Namen angesprochen. Offenbar analysieren die Angreifer durchgesickerte Daten, um Namen und E-Mail-Adressen abzugleichen.

Dann beschäftigen sich die Angreifer mit den Emotionen des Empfängers und versuchen, ihn zu manipulieren – mit Zuckerbrot oder Peitsche. Entweder versetzen sie das Opfer mit nachdrücklichen Warnungen in Panik und fordern sofortiges Handeln. Sie behaupten beispielsweise: „Dein Konto wird demnächst deaktiviert“ oder „Eine verdächtige Aktivität wurde erkannt“. Oder sie werfen verlockende Köder aus, versprechen einen verifizierten Account oder laden zu einem Vorstellungsgespräch bei einem Technologieriesen ein. Gefälschte Jobangebote schmeicheln dem Opfer. Sie erwecken den Anschein, als wäre seine Bewerbung schon in der engeren Auswahl und der Job sei schon so gut wie sicher.

Viele Empfänger schöpfen keinen Verdacht. Die E-Mail landet nicht im Spam-Ordner, denn das Absenderfeld zeigt genau den Namen des Unternehmens an, das zu der Nachricht passt. Leider ist die E-Mail deshalb noch lange nicht authentisch: Angreifer können den angezeigten Namen beliebig ändern. Und um ehrlich zu sein: Meistens wird die E-Mail-Adresse des Absenders gar nicht genau überprüft.

Bei AppSheet-basierten Phishing-Kampagnen lautet der Absender immer noreply{@}appsheet.com. Und der Clou ist: Diese Adresse ist zu 100 Prozent legitim. Sie ist direkt mit der Google-Infrastruktur verbunden, weshalb standardmäßige Spam-Filter solche E-Mails durchwinken, ohne mit der Wimper zu zucken.

Oft klickt das Opfer bedenkenlos auf den Link, um das begehrte Vorstellungsgespräch nicht zu verpassen oder um sein Konto durch ein blaues Häkchen aufzuwerten. Dann wird auf einer nachgeahmten Website seine digitale Identität abgefragt: vollständiger Name, Adresse, Telefonnummer und vieles mehr. Die gesammelten Daten können die Angreifer im Darknet versilbern oder für spätere gezielte Angriffe nutzen. Um das Ganze abzurunden, landet das Opfer anschließend auf einer Phishing-Anmeldeseite, mit der die Angreifer Konten stehlen können.

Unten illustrieren wir diesen Vorgang Schritt für Schritt: Zuerst erhält das Opfer eine gefälschte E-Mail vom Google Recruiting Team und zuletzt wird sein Konto kompromittiert:

Ähnliche Phishing-Kampagnen laufen auch im Namen anderer großer Technologieunternehmen. Nutzer, die ihre Apple-Anmeldedaten weitergeben, riskieren nicht nur ihr Konto, sondern auch die Kontrolle über alle ihre Apple-Geräte zu verlieren. Teilweise fordern die Angreifer ihre Opfer auf, sich von ihrer privaten Apple-ID abzumelden und sich zur Überprüfung bei einem „Unternehmenskonto“ (das in Wirklichkeit den Hackern gehört) einzuloggen. Wenn das Opfer den Anweisungen folgt, versetzen die Kriminellen das Gerät per Fernsteuerung in den „Verloren“-Modus. Dann ist das Opfer ausgesperrt, und die Angreifer können ein Lösegeld erpressen.

Manchmal enthält die erste Nachricht gar keinen bösartigen Link. Die Angreifer bevorzugen einen längeren Weg: Sie verwickeln die Zielperson in ein Gespräch und fragen erst einmal, ob sie wirklich Interesse hat. Solche Umwege erwecken die Illusion, mit einem echten Personalverantwortlichen zu reden. Dieses Drehbuch wird übrigens nicht nur unter dem Namen von Unternehmen aus Silicon Valley eingesetzt. Auch andere international bekannte Firmennamen werden ausgenutzt, beispielsweise Volvo oder Coca-Cola. Natürlich interessieren sich die Angreifer nicht für den Coca-Cola-Account des Opfers (wenn der Nutzer überhaupt einen besitzt). Vermutlich wollen sie vertrauliche Daten stehlen oder den Nutzer dazu zu bringen, sich in einem Phishing-Formular bei Google, Apple oder Facebook anzumelden.

Wie wär’s mit einem blauen Häkchen?

Als Köder dienen natürlich nicht nur „Traumjobs“. Es gibt auch Kampagnen, bei denen der (vermeintliche) Facebook-Support mitteilt, dass Nutzer für das prestigeträchtige Meta Verified-Badge qualifiziert sind – ein blaues Häkchen, das normalerweise Prominenten und namhaften Unternehmen vorbehalten ist. Das begehrte Häkchen kann auf einer anderen Seite (Phishing!) beantragt werden. Dort wartet ein Formular. Und bevor es die versprochene Belohnung gibt, bitte noch den Benutzernamen und das Passwort für Facebook eingeben. Alles nur zu deiner Sicherheit!

Diese gefälschten Websites werden in vielen verschiedenen Sprachen erstellt und sind auf Nutzer in unterschiedlichen Ländern zugeschnitten. Unten die niederländische Variante.

Bei anderen Kampagnen tricksen Angreifer mit AppSheet, um Panik zu verbreiten oder den Nutzer unter Druck zu setzen. Sie behaupten, er habe die Meta-Richtlinie für geistiges Eigentum verletzt, und drohen mit einer dauerhaften Schließung des Facebook-Accounts. Um Einspruch einzulegen, muss das Opfer einem Link zu einer Phishing-Website folgen. Dort werden personenbezogene Daten und natürlich seine Facebook-Anmeldedaten abgefragt.

So erkennst du Phishing und schützt deine Benutzerkonten

Phishing-Angriffe werden immer raffinierter, da Angreifer häufig legitime Dienste und Domänen missbrauchen. So schützt du deine Daten und gehst Hackern nicht auf den Leim:

• Ganz wichtig! Nicht alle Phishing-E-Mails landen automatisch im Spam-Ordner. Herkömmliche in E-Mail-Clients integrierte Spam-Filter erkennen komplexe Angriffe oft nicht. Paradebeispiel: AppSheet. Um nicht auf einen Köder hereinzufallen, verwende Kaspersky Premium auf all deinen Geräten. Es fängt Phishing-E-Mails ab und blockiert Links zu gefälschten Websites sofort, selbst wenn sich der Angreifer hinter einer völlig legitimen Domäne versteckt. Die Android-Version erkennt übrigens auch bösartige Links und Phishing-Links in Nachrichten aller Apps.
• E-Mail-Nachrichten auf ungewöhnliche Tippfehler überprüfen! Damit betrügerische Nachrichten keinen Alarm auslösen, fügen Angreifer häufig zusätzliche Leerzeichen ein oder vertauschen einige Buchstaben. Dieses Beispiel haben wir in einer E-Mail entdeckt: Fac eb o ok  S u ppo r t anstatt Facebook Support.
• Bevor du eine beliebige Aktion auf einer Website ausführst: den Domänennamen sorgfältig mit der offiziellen Adresse vergleichen! Angreifer erstellen häufig Adressen, die täuschend echt aussehen. Deshalb noch einmal: immer ganz genau hinsehen! Installiere Kaspersky Premium, um sicherzustellen, dass du nicht auf einer gefälschten Website landest.
• Die Adresse des Absenders anschauen, nicht nur den Anzeigenamen! Wenn eine E-Mail vorgibt, von Google Careers, Apple HR oder Facebook-Support zu stammen, die Absenderadresse jedoch auf AppSheet oder einen anderen irrelevanten Dienst verweist, kannst du dir die Nachricht sparen. Unterschiedliche Domänen sind ein deutliches Zeichen: Das ist eine Falle. Vergleiche die E-Mail-Adressen mit denen, die auf den offiziellen Websites der Unternehmen aufgeführt sind.
• Gibt es E-Mail-Signaturen? Beispiel: Alle über AppSheet gesendeten E-Mails enthalten ganz unten einen entsprechenden Hinweis. Es ist viel wahrscheinlicher, dass du eine legitime AppSheet-Benachrichtigung von einem kleinen oder mittleren Unternehmen erhältst, als von einem Technologieriesen. Große Unternehmen verwenden für ihre E-Mails in der Regel ihre eigenen Domänen.
• Einen Passwort-Manager verwenden! Selbst wenn du auf einer gefälschten Website landest und versuchst, dein Passwort einzugeben, warnt ein zuverlässiger Passwort-Manager vor unstimmigen Domänen und verhindert die Eingabe von Anmeldedaten.
• Zwei-Faktor-Authentifizierung nicht vergessen! Wenn die 2FA aktiviert ist, können Angreifer nicht auf dein Konto zugreifen, sogar wenn sie deinen Benutzernamen und das Passwort kennen. Ohne Einmalcode geht nichts. Manchmal versuchen Kriminelle jedoch, 2FA-Einmalcodes in Erfahrung zu bringen. Deshalb doppelte Vorsicht bei der Eingabe von Zwei-Faktor-Authentifizierungscodes.
• Passkeys anstelle von Passwörtern verwenden! Möglichst überall. Diese Technologie bietet einen hervorragenden Schutz vor Phishing: Selbst wenn du eine bösartige Website besuchst und versuchst, dich anzumelden, funktioniert der Passkey auf einer gefälschten Domäne nicht. Mit Kaspersky Password Manager kannst du Passkeys auf verschiedenen Geräten speichern und synchronisieren. In unserem Beitrag zu diesem Thema erfährst du alles über Passkeys.

Phishing-Angriffe werden immer ausgefeilter. Was du sonst noch über Phishing wissen solltest:

• Was geschieht mit Daten, die per Phishing gestohlen wurden?
• Browser-in-the-Browser-Angriffe: von der Theorie zur Realität
• Phishing und Spam: Die wildesten Kampagnen von 2025
• Phishing in Telegram-Mini-Apps: Was hat Habibs Papakha damit zu tun?
• Phishing und Betrug mit KI