Missbrauch von Google-Cloud-E-Mailfunktionen für mehrstufige Phishing-Angriffe : Legitime Cloud-Dienste werden gezielt ausgenutzt, um Phishing-Kampagnen nahezu unsichtbar zu machen
Eine neue Phishing-Kampagne offenbart das professionelle Vorgehen von Cyberkriminellen. Durch den gezielten Missbrauch legitimer Cloud-Dienste von Google, Microsoft und Amazon umgehen sie klassische Schutzmechanismen. Vertrauenswürdige Absender, bekannte Designs und mehrstufige Weiterleitungen führen weltweit zum Diebstahl sensibler Zugangsdaten.
Cybersecurity-Forscher haben eine groß angelegte Phishing-Kampagne analysiert, bei der Angreifer automatisierte E-Mail-Funktionen von Google Cloud missbrauchen. Nach Erkenntnissen von Check Point setzen die Täter gezielt auf das hohe Vertrauen in etablierte Cloud-Infrastrukturen, um Empfänger zu täuschen und Sicherheitsfilter zu umgehen.
Missbrauch legitimer Google-Cloud-Funktionen
Im Zentrum der Kampagne steht der Application-Integration-Dienst von Google Cloud. Über dessen Funktion „Send Email“ lassen sich automatisierte Benachrichtigungen versenden, die aus einer legitimen Google-Absenderadresse stammen. Die E-Mails wirken wie typische Unternehmensmeldungen, etwa zu Sprachnachrichten oder Zugriffsrechten auf Dokumente. „Die E-Mails imitieren alltägliche Unternehmensbenachrichtigungen und erscheinen dadurch normal und vertrauenswürdig“, so Check Point.
Zwischen Anfang und Mitte Dezember 2025 wurden innerhalb von 14 Tagen insgesamt 9394 Phishing-E-Mails an rund 3200 Organisationen versendet. Betroffen waren Unternehmen in Nordamerika, Europa, dem asiatisch-pazifischen Raum sowie in Lateinamerika. Besonders kritisch ist, dass die Nachrichten von Google-eigenen Domains stammen und dadurch Prüfungen wie Domain-based Message Authentication, Reporting and Conformance (DMARC) sowie Sender Policy Framework (SPF) effektiv umgehen.
Mehrstufige Angriffskette mit vertrauenswürdiger Infrastruktur
Der eigentliche Angriff beginnt mit einem Klick auf einen in der E-Mail enthaltenen Link. Dieser verweist zunächst auf Inhalte, die über storage.cloud.google.com ausgeliefert werden. Anschließend erfolgt eine Weiterleitung zu googleusercontent.com, wo eine gefälschte Captcha- oder Bildprüfung angezeigt wird. Diese dient dazu, automatisierte Sicherheitsscanner auszubremsen, während echte Nutzer problemlos weitergeleitet werden.
Nach dieser Validierungsstufe landen die Opfer auf einer gefälschten Anmeldeseite von Microsoft 365, die auf einer nicht zu Microsoft gehörenden Domain gehostet ist. Dort eingegebene Zugangsdaten werden unmittelbar abgegriffen.
Reaktion von Google und betroffene Branchen
Google hat nach Bekanntwerden der Kampagne die missbräuchliche Nutzung der E-Mail-Benachrichtigungsfunktion blockiert und zusätzliche Maßnahmen angekündigt, um eine erneute Ausnutzung zu verhindern. Der Vorfall verdeutlicht jedoch, wie leicht sich legitime Automatisierungsfunktionen zweckentfremden lassen.
Die Angriffe richteten sich vor allem gegen Unternehmen aus Fertigung, Technologie, Finanzdienstleistungen, professionellen Dienstleistungen und Einzelhandel. Darüber hinaus waren auch Medien, Bildungseinrichtungen, Gesundheitswesen, Energieversorgung, öffentliche Verwaltung sowie Reise- und Transportsektor betroffen. „Diese Branchen setzen stark auf automatisierte Benachrichtigungen und Freigabeprozesse, was Google-markierte Warnmeldungen besonders überzeugend macht“, heißt es in der Analyse.
Eskalation durch OAuth-Phishing und Multi-Cloud-Missbrauch
Eine spätere Analyse von xorlab und Ravenmail zeigt, dass die Kampagne inzwischen weiterentwickelt wurde. Neben klassischem Credential Harvesting kommt nun auch OAuth-Consent-Phishing zum Einsatz. Opfer werden dazu gebracht, einer schädlichen Azure-Active-Directory-Anwendung weitreichende Zugriffsrechte zu erteilen.
„Die Angreifer bringen die Opfer dazu, einer bösartigen Anwendung Zugriff auf Cloud-Ressourcen zu gewähren – einschließlich Abonnements, virtueller Maschinen, Speicher und Datenbanken“, so xorlab. Die gefälschten Anmeldeseiten werden dabei teilweise auf Infrastrukturen von Amazon Web Services gehostet. „Jeder Sprung nutzt vertrauenswürdige Infrastruktur – Google, Microsoft, Amazon – was eine Erkennung an einzelnen Kontrollpunkten erheblich erschwert.“
Die Kampagne verdeutlicht eindrucksvoll, dass moderne Phishing-Angriffe längst keine simplen Täuschungsversuche mehr sind, sondern hochgradig orchestrierte Operationen, die gezielt auf das Vertrauen in große Cloud-Anbieter setzen.