Cyberkriminelle nutzen Google Tasks für großangelegte Phishing-Angriffe

Paradigmenwechsel bei Phishing-Angriffen

Die Grundannahme der Unternehmenssicherheit lautet seit Jahren: E-Mails von vertrauenswürdigen Plattformen mit bestandener Authentifizierung gelten als sicher. Diese Logik wird nun systematisch ausgenutzt. Cyberkriminelle setzen zunehmend auf den Missbrauch legitimer Cloud-Infrastrukturen, statt eigene Systeme aufzubauen.

Der entscheidende Unterschied: Die Angriffe basieren nicht auf gefälschten Domains oder gehackten Mail-Servern. Stattdessen nutzen Täter vertrauenswürdige Google-Dienste als Versandmechanismus. Die E-Mails durchlaufen SPF, DKIM und DMARC ohne Auffälligkeiten und verwenden von Google gehostete URLs als Zieladressen.

Sicherheitsforscher haben dokumentiert, dass Angreifer Google-Dienste gezielt auswählen, da diese mehrere Vorteile bieten: hohe Absenderreputation, nahezu universelle Whitelisting-Status und das Vertrauen der Nutzer. Diese Kampagnen umgehen sowohl Secure E-Mail Gateways als auch native Schutzmaßnahmen, da die Nachrichtenübermittlung technisch keine verdächtigen Merkmale aufweist.

Anatomie des Google Tasks-Angriffs

Die im Dezember 2025 identifizierte Kampagne richtete sich hauptsächlich gegen Fertigungsunternehmen. Die E-Mails präsentierten sich als interne Aufgaben und forderten Empfänger auf, auf Schaltflächen wie „Aufgabe anzeigen“ oder „Als erledigt markieren“ zu klicken. Sämtliche Links führten zu Seiten auf Google Cloud Storage.

Technische Umsetzung

Die Absenderadresse lautete „noreply-application-integration@google.com“ – eine gültige Google-Adresse. Aus infrastruktureller Sicht waren die E-Mails einwandfrei. Es gab kein Spoofing, keine ähnlichen Domains und keine fehlerhaften Header.

Die Nachrichten nutzten das Branding von Google Tasks und gaben vor, „Aufgaben für alle Mitarbeiter“ zu sein. Empfänger sollten ein Formular zur Mitarbeiterverifizierung ausfüllen.

Vier zentrale Elemente der Angriffstaktik:

Die Täter nutzten Googles Anwendungsintegrationsframework, um E-Mails mit der Absenderreputation und Zustellungszuverlässigkeit von Google zu versenden. Diese Methode entspricht einem branchenweit beobachteten Trend, bei dem vertrauenswürdige SaaS-Plattformen als Umgehungsweg für E-Mail-Gateways dienen.

Die visuelle Gestaltung war nahezu identisch mit echten Google-Benachrichtigungen: Google Tasks-Benutzeroberfläche, authentische Fußzeilen und Branding sowie bekannte Call-to-Action-Buttons. Strukturell und optisch waren die Fälschungen kaum von legitimen Nachrichten zu unterscheiden.

Statt auf verdächtige Domains zu verlinken, führten die Schaltflächen zu Google Cloud Storage-URLs wie „https://storage.cloud.google.com/…/loading.html„. Die Nutzlast befand sich damit auf einer vertrauenswürdigen Google-Domain, was URL-basierte Erkennungssysteme wirkungslos machte. Analysen zeigen: Legitime Google Tasks-Workflows verwenden niemals Cloud Storage-URLs für Aufgabenaktionen.

Psychologisch setzten die Nachrichten auf Autoritätsrahmen („Aufgabe für alle Mitarbeiter“), Dringlichkeit („Hohe Priorität“ mit festgelegtem Termin) und minimale Erklärungen, um unmittelbares Handeln zu provozieren.

Warum traditionelle Abwehr versagt

Konventionelle E-Mail-Sicherheitsplattformen basieren auf folgenden Kriterien: Absenderreputation, Domain-Vertrauenswürdigkeit, Authentifizierungsergebnisse sowie bekannte bösartige URLs oder Anhänge.

Im vorliegenden Fall erfüllten die Angriffs-E-Mails alle Vertrauenskriterien: Der Absender war Google, die Authentifizierung erfolgreich, die Domain vertrauenswürdig und es gab keine Anhänge. Aus traditioneller Perspektive fehlte jeder Blockierungsgrund.

Dieses Muster wurde in mehreren unabhängigen Untersuchungen dokumentiert, einschließlich Kampagnen, die Google Cloud-Automatisierungs- und Anwendungsintegrationsdienste zur Umgehung der Erkennung nutzen.

Alternative Erkennungsansätze

Sicherheitsforscher von RavenMail entdeckten die Kampagne, indem sie die Absicht und den Workflow-Kontext analysierten, anstatt sich ausschließlich auf die Anmeldedaten des Absenders zu verlassen. Moderne Abwehrsysteme wie RavenMail setzen auf kontextbasierte Analyse statt auf reine Vertrauenssignale. Drei Kernaspekte ermöglichten die Identifikation:

Bei der Kontextanalyse fiel auf: Die Verwendung von Google Tasks für HR-Verifizierungen ist unüblich. Interne Mitarbeiteraktionen sollten von Unternehmensdomains ausgehen. Externe Absenderbanner widersprechen der Darstellung als interne Aufgabe.

Statt zu fragen „Ist dies eine vertrauenswürdige Domain?“, prüfte das System: Ergibt dieser Workflow Sinn? Entspricht diese URL dem legitimen Verhalten von Google Tasks? Ist Cloud Storage ein plausibler Endpunkt für diese Aktion? In allen Fällen lautete die Antwort nein.

Die E-Mail wurde als interaktionsgesteuert statt informativ klassifiziert – ein Indikator, der stark mit Credential-Phishing korreliert.

Breiteres Missbrauchsmuster

Bedrohungsanalysen haben ergeben, dass Angreifer den Anwendungsintegrationsdienst von Google Cloud systematisch ausnutzen. Da diese E-Mails von echten Google-Domains versendet werden, passieren sie kritische Authentifizierungsprüfungen.

In einer dokumentierten Kampagne wurden über zwei Wochen mehr als 9000 Phishing-E-Mails an rund 3200 Unternehmen versendet. Die Nachrichten imitierten legitime Unternehmensbenachrichtigungen wie Voicemail-Alerts oder Dateizugriffsanfragen. Erste Klicks landeten auf vertrauenswürdigen Google Cloud-URLs, bevor Nutzer auf Credential-Harvesting-Seiten weitergeleitet wurden.

Dies ist Missbrauch, keine Kompromittierung – Googles Systeme wurden nicht gehackt. Stattdessen manipulieren Täter Workflow-Automatisierungsdienste, die für Geschäftsprozesse konzipiert sind.

Angreifer hosten zudem Phishing-Seiten und mehrstufige Weiterleitungen auf Google Cloud Storage – einem vollständig vertrauenswürdigen, HTTPS-gestützten Domain-Bereich. Da viele URL-Reputationssysteme Cloud-Anbieter-Domains als harmlos einstufen, bleiben diese Links oft unerkannt.

Andere Kampagnen haben Google-Plattformen wie Google Classroom und Google Forms genutzt, um Phishing-Inhalte in großem Umfang zu verbreiten und Sicherheitsfilter zu umgehen, die unbekannte oder niedrig bewertete Domains blockieren.

Verbindung zu AppSheet-Kampagne

Die Google Tasks-Kampagne reiht sich in ein umfassenderes Muster ein. Zuvor wurde eine Phishing-Kampagne dokumentiert, die Google AppSheet, Googles No-Code-Anwendungsplattform, missbrauchte. Bei diesem Angriff stammten E-Mails aus legitimen Google-Systemen, bestanden Authentifizierungsprüfungen und betteten Phishing-Köder in echte AppSheet-Workflows ein.

Bei beiden Kampagnen – AppSheet und Google Tasks – ist die zugrunde liegende Taktik identisch: Täter missbrauchen vertrauenswürdige SaaS-Workflows, um Phishing ohne Spoofing oder Malware durchzuführen.

Branchenweites Problem

Dies ist kein spezifisches Google-Problem. Was beobachtet wird, ist ein allgemeiner Trend: Angreifer missbrauchen vertrauenswürdige Plattformen wie Salesforce oder Amazon SES. Sicherheitskontrollen sind für veraltete Bedrohungsmodelle optimiert. Phishing entwickelt sich zu Workflow- und Identitätsmissbrauch.

Solange Abwehrmaßnahmen primär auf statische Vertrauenssignale setzen, werden sich Angreifer weiterhin in legitimen Systemen verstecken. Die Herausforderung für Sicherheitsverantwortliche besteht darin, Erkennungssysteme zu entwickeln, die Kontext und Absicht analysieren statt sich ausschließlich auf Authentifizierungsmerkmale zu verlassen.

Beiträge dazu gibt es u.a. bei Check Point:

Phishing-Kampagne nutzt vertrauenswürdige Google Cloud-Automatisierungsfunktionen, um der Erkennung zu entgehen

 

Außerdem bei reddit:

Wie können die Betrüger Google-Sicherheitsabfragen direkt an mein Telefon senden?

 

„Die in diesem Beitrag bereitgestellten Informationen wurden sorgfältig recherchiert, erheben jedoch keinen Anspruch auf Vollständigkeit oder absolute Richtigkeit. Sie dienen ausschließlich der allgemeinen Orientierung und ersetzen keine professionelle Beratung. Die Redaktion übernimmt keine Haftung für eventuelle Fehler, Auslassungen oder Folgen, die aus der Nutzung der Informationen entstehen.“

Mehr Lesestoff: