{"id":33567,"date":"2026-06-09T13:18:36","date_gmt":"2026-06-09T11:18:36","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33567"},"modified":"2026-06-09T13:55:46","modified_gmt":"2026-06-09T11:55:46","slug":"appsheet-phishing-emails","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/appsheet-phishing-emails\/33567\/","title":{"rendered":"Phishing, getarnt als Google AppSheet-Benachrichtigungen"},"content":{"rendered":"

Phishing-Kampagnen sind in den letzten Jahren immer raffinierter geworden. Immer h\u00e4ufiger tappen arglose Nutzer in die Falle. Die Absenderadressen gleichen den echten (fast) aufs Haar, E-Mails verraten sich nicht mehr durch Rechtschreibfehler, Nutzer werden direkt mit ihren Namen angesprochen. Was tun, wenn eine verd\u00e4chtige E-Mail von einer eindeutig legitimen E-Mail-Adresse stammt?<\/p>\n

Seit Neustem nutzen Phisher die Google AppSheet-Plattform, um betr\u00fcgerische E-Mails zu erstellen, die von einer offiziellen, mit Google verkn\u00fcpften Adresse stammen. Bei erfolgreichen Angriffen stehlen sie die Konten und sensiblen Daten der Opfer.<\/p>\n

Wir erkl\u00e4ren, wie diese neue Diebstahlmethode funktioniert und wie du dich vor heimt\u00fcckischen Phishing-Angriffen sch\u00fctzen kannst.<\/p>\n

Ein Jobangebot von Google. Oder Coca-Cola. Oder vielleicht Volvo. Wer steckt wirklich dahinter?<\/h2>\n

AppSheet ist ein Google-Dienst, mit dem man auch ohne Programmierkenntnisse Apps erstellen kann. Er wird h\u00e4ufig von kleinen Unternehmen verwendet, um routinem\u00e4\u00dfige Arbeitsabl\u00e4ufe zu automatisieren. Und genau diese Vereinfachung macht AppSheet f\u00fcr Cyberkriminelle so attraktiv. Um eine Phishing-Kampagne auf den Weg zu bringen, braucht man heutzutage nur ein paar Euro<\/a> und schon kann man aus vorgefertigten Befehlen und Bl\u00f6cken eine App zusammenstellen.<\/p>\n

Das Prinzip f\u00fcr Phishing-Angriffe via AppSheet ist eine ziemliche Antiquit\u00e4t. Das Opfer erh\u00e4lt eine E-Mail von einem bekannten Unternehmen und wird oft mit seinem wirklichen Namen angesprochen. Offenbar analysieren die Angreifer durchgesickerte Daten, um Namen und E-Mail-Adressen abzugleichen.<\/p>\n

Dann besch\u00e4ftigen sich die Angreifer mit den Emotionen des Empf\u00e4ngers und versuchen, ihn zu manipulieren\u00a0\u2013 mit Zuckerbrot oder Peitsche. Entweder versetzen sie das Opfer mit nachdr\u00fccklichen Warnungen in Panik und fordern sofortiges Handeln. Sie behaupten beispielsweise: \u201eDein Konto wird demn\u00e4chst deaktiviert\u201c oder \u201eEine verd\u00e4chtige Aktivit\u00e4t wurde erkannt\u201c. Oder sie werfen verlockende K\u00f6der aus, versprechen einen verifizierten Account oder laden zu einem Vorstellungsgespr\u00e4ch bei einem Technologieriesen ein. Gef\u00e4lschte Jobangebote schmeicheln dem Opfer. Sie erwecken den Anschein, als w\u00e4re seine Bewerbung schon in der engeren Auswahl und der Job sei schon so gut wie sicher.<\/p>\n

Viele Empf\u00e4nger sch\u00f6pfen keinen Verdacht. Die E-Mail landet nicht im Spam-Ordner, denn das Absenderfeld<\/em> zeigt genau den Namen des Unternehmens an, das zu der Nachricht passt. Leider ist die E-Mail deshalb noch lange nicht authentisch: Angreifer k\u00f6nnen den angezeigten Namen beliebig \u00e4ndern. Und um ehrlich zu sein: Meistens wird die E-Mail-Adresse des Absenders gar nicht genau \u00fcberpr\u00fcft.<\/p>\n

Bei AppSheet-basierten Phishing-Kampagnen lautet der Absender immer noreply{@}appsheet.com<\/strong>. Und der Clou ist: Diese Adresse ist zu 100\u00a0Prozent legitim. Sie ist direkt mit der Google-Infrastruktur verbunden, weshalb standardm\u00e4\u00dfige Spam-Filter solche E-Mails durchwinken, ohne mit der Wimper zu zucken.<\/p>\n

Oft klickt das Opfer bedenkenlos auf den Link, um das begehrte Vorstellungsgespr\u00e4ch nicht zu verpassen oder um sein Konto durch ein blaues H\u00e4kchen aufzuwerten. Dann wird auf einer nachgeahmten Website seine digitale Identit\u00e4t abgefragt: vollst\u00e4ndiger Name, Adresse, Telefonnummer und vieles mehr. Die gesammelten Daten k\u00f6nnen die Angreifer im Darknet versilbern oder f\u00fcr sp\u00e4tere gezielte Angriffe nutzen<\/a>. Um das Ganze abzurunden, landet das Opfer anschlie\u00dfend auf einer Phishing-Anmeldeseite, mit der die Angreifer Konten stehlen k\u00f6nnen.<\/p>\n

Unten illustrieren wir diesen Vorgang Schritt f\u00fcr Schritt: Zuerst erh\u00e4lt das Opfer eine gef\u00e4lschte E-Mail vom Google Recruiting Team und zuletzt wird sein Konto kompromittiert:<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tHerzlich willkommen, lieber Bewerber! Bist du an einem Vorstellungsgespr\u00e4ch interessiert? Dann klicke einfach auf den Link zu unserer gef\u00e4lschten Google-Website. \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Eine\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tDer Link aus der E-Mail f\u00fchrt zu einer gef\u00e4lschten Website, die dem Original t\u00e4uschend \u00e4hnlich sieht. Das Opfer wird aufgefordert, ein Formular auszuf\u00fcllen: Vollst\u00e4ndiger Name, gesch\u00e4ftliche E-Mail-Adresse, Telefonnummer und das gew\u00fcnschte Datum f\u00fcr ein Vorstellungsgespr\u00e4ch werden abgefragt, \u2026 \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Das\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\u2026 sobald das Formular ausgef\u00fcllt ist, soll sich das Opfer bei Google anmelden. Alle Daten landen direkt bei den Angreifern. \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

\u00c4hnliche Phishing-Kampagnen laufen auch im Namen anderer gro\u00dfer Technologieunternehmen. Nutzer, die ihre Apple-Anmeldedaten weitergeben, riskieren nicht nur ihr Konto, sondern auch die Kontrolle \u00fcber alle ihre Apple-Ger\u00e4te zu verlieren<\/a>. Teilweise fordern die Angreifer ihre Opfer auf, sich von ihrer privaten Apple-ID abzumelden und sich zur \u00dcberpr\u00fcfung bei einem \u201eUnternehmenskonto\u201c (das in Wirklichkeit den Hackern geh\u00f6rt) einzuloggen. Wenn das Opfer den Anweisungen folgt, versetzen die Kriminellen das Ger\u00e4t per Fernsteuerung in den \u201eVerloren\u201c-Modus. Dann ist das Opfer ausgesperrt, und die Angreifer k\u00f6nnen ein L\u00f6segeld erpressen.<\/p>\n

Manchmal enth\u00e4lt die erste Nachricht gar keinen b\u00f6sartigen Link. Die Angreifer bevorzugen einen l\u00e4ngeren Weg: Sie verwickeln die Zielperson in ein Gespr\u00e4ch und fragen erst einmal, ob sie wirklich Interesse hat. Solche Umwege erwecken die Illusion, mit einem echten Personalverantwortlichen zu reden. Dieses Drehbuch wird \u00fcbrigens nicht nur unter dem Namen von Unternehmen aus Silicon Valley eingesetzt. Auch andere international bekannte Firmennamen werden ausgenutzt, beispielsweise Volvo oder Coca-Cola. Nat\u00fcrlich interessieren sich die Angreifer nicht f\u00fcr den Coca-Cola-Account des Opfers (wenn der Nutzer \u00fcberhaupt einen besitzt). Vermutlich wollen sie vertrauliche Daten stehlen oder den Nutzer dazu zu bringen, sich in einem Phishing-Formular bei Google, Apple oder Facebook anzumelden.<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Betr\u00fcgerische\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tEin \u201eMitarbeiter der Personalabteilung\u201c von Coca-Cola lobt das Opfer: Fachwissen und Leistungen, analytisches Denken und Kreativit\u00e4t \u2026 Mit weiteren Informationen sind die Angreifer jedoch sparsam. Das Ziel bleibt unklar: Entweder wollen sie das Opfer auf eine Phishing-Website locken, sein Konto oder einfach Geld stehlen \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Betr\u00fcgerische\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tEine \u00e4hnliche E-Mail, die vorgibt, vom Volvo-Akquise-Team zu stammen \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

Wie w\u00e4r\u2019s mit einem blauen H\u00e4kchen?<\/h2>\n

Als K\u00f6der dienen nat\u00fcrlich nicht nur \u201eTraumjobs\u201c. Es gibt auch Kampagnen, bei denen der (vermeintliche) Facebook-Support mitteilt, dass Nutzer f\u00fcr das prestigetr\u00e4chtige Meta Verified-Badge qualifiziert sind\u00a0\u2013 ein blaues H\u00e4kchen, das normalerweise Prominenten und namhaften Unternehmen vorbehalten ist. Das begehrte H\u00e4kchen kann auf einer anderen Seite (Phishing!) beantragt werden. Dort wartet ein Formular. Und bevor es die versprochene Belohnung gibt, bitte noch den Benutzernamen und das Passwort f\u00fcr Facebook eingeben. Alles nur zu deiner Sicherheit!<\/p>\n

Diese gef\u00e4lschten Websites werden in vielen verschiedenen Sprachen erstellt und sind auf Nutzer in unterschiedlichen L\u00e4ndern zugeschnitten. Unten die niederl\u00e4ndische Variante.<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Gef\u00e4lschte\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tUm das blaue H\u00e4kchen zu erhalten, muss der Nutzer \u201ezus\u00e4tzliche Informationen\u201c bereitstellen. Das Angebot ist auf wenige Tage befristet \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Gef\u00e4lschte\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tDas Opfer soll zuerst Vor- und Nachname, Telefonnummer, private und gesch\u00e4ftliche E-Mail-Adresse und Geburtsdatum eingeben, dann wird es aufgefordert, sich bei Facebook anzumelden \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

Bei anderen Kampagnen tricksen Angreifer mit AppSheet, um Panik zu verbreiten oder den Nutzer unter Druck zu setzen. Sie behaupten, er habe die Meta-Richtlinie f\u00fcr geistiges Eigentum verletzt, und drohen mit einer dauerhaften Schlie\u00dfung des Facebook-Accounts. Um Einspruch einzulegen, muss das Opfer einem Link zu einer Phishing-Website folgen. Dort werden personenbezogene Daten und nat\u00fcrlich seine Facebook-Anmeldedaten abgefragt.<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Gef\u00e4lschte\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tDamit das Ganze plausibel wirkt, soll der Nutzer nicht nur seine personenbezogenen Daten ausf\u00fcllen, sondern auch ausf\u00fchrlich begr\u00fcnden, warum die Sperrung des Benutzerkontos falsch ist \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Gef\u00e4lschte\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tZum Schluss wird der Nutzer aufgefordert, seinen Widerspruch zu best\u00e4tigen und sich dazu bei \u201eFacebook\u201c anzumelden. In Wirklichkeit erhalten die Angreifer dadurch die Anmeldedaten des Opfers \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

So erkennst du Phishing und sch\u00fctzt deine Benutzerkonten<\/h2>\n

Phishing-Angriffe werden immer raffinierter, da Angreifer h\u00e4ufig legitime Dienste und Dom\u00e4nen<\/a> missbrauchen. So sch\u00fctzt du deine Daten und gehst Hackern nicht auf den Leim:<\/p>\n