Cyberkriminelle, Google

Cyberkriminelle kapern Google Forms und SharePoint für Betrug

16.12.2025 - 11:49:11

Cyberkriminelle kapern Google Forms und SharePoint für Betrug - Foto: über boerse-global.de
Cyberkriminelle kapern Google Forms und SharePoint für Betrug - Foto: über boerse-global.de

Hacker nutzen im Weihnachtsgeschäft legitime Plattformen wie Google Forms und Microsoft SharePoint für ihre Phishing-Angriffe. Sie umgehen damit die Sicherheitsfilter von Unternehmen und Privatnutzern. Experten warnen vor einer neuen Qualität der Täuschung.

In der Hochphase des Online-Shoppings verbirgt sich zwischen echten Versandbestätigungen eine gefährliche Bedrohung. Cyberkriminelle setzen nicht mehr nur auf gefälschte Webseiten, sondern missbrauchen die Infrastruktur vertrauenswürdiger Anbieter.

Die effektivste Methode der Angreifer heißt „Living off the Land“ (LotL). Statt eigene Server aufzusetzen, nutzen Kriminelle Dienste, die wir täglich verwenden und denen unsere Filter vertrauen.

Aktuelle Analysen von Sicherheitsfirmen zeigen: Plattformen wie Google Forms und Microsoft SharePoint werden massiv für Betrugskampagnen missbraucht. Der Trick ist simpel, aber verheerend.

Anzeige

Passend zum Thema Smartphone-Sicherheit: Quishing-Angriffe über QR-Codes treffen oft Smartphone-Nutzer, weil Mobilgeräte seltener geschützt sind. Ein kostenloses Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen für Android — von sicheren QR-Scanner-Einstellungen über App‑Prüfung bis zu einfachen 2‑Faktor-Checks, die Datendiebstahl verhindern. Der Ratgeber liefert Schritt‑für‑Schritt-Anleitungen, Checklisten und praktische Tipps, die Sie sofort umsetzen können — per E‑Mail und gratis. Gratis-Sicherheitspaket für Android jetzt herunterladen

Das Opfer erhält eine E-Mail mit einem Link zu einem echten Google-Formular. Da die Domain legitim ist, schlagen Spam-Filter oft keinen Alarm. In dem Formular werden Nutzer dann unter Vorwänden wie einer „Krypto-Rückzahlung“ zur Eingabe sensibler Daten aufgefordert.

Das Perfide: Die SSL-Zertifikate sind echt, das „Schloss“-Symbol im Browser suggeriert Sicherheit. Doch die Daten landen direkt bei den Betrügern.

Quishing: Die unsichtbare Gefahr im QR-Code

Parallel dazu verzeichnet die IT-Sicherheitsbranche einen drastischen Anstieg von „Quishing“ (QR-Code-Phishing). Prognosen sahen für 2025 einen Anstieg dieser Angriffe um rund 25 Prozent voraus.

Das Problem beim Quishing ist der Medienbruch: Sicherheitssoftware auf dem Desktop-PC kann den Inhalt eines QR-Codes oft nicht scannen. Der Nutzer zückt sein Smartphone – ein Gerät, das häufig weniger streng geschützt ist.

Besonders perfide sind aktuelle „ClickFix“-Angriffe und falsche 2-Faktor-Authentifizierungs-Aufforderungen. Hierbei wird dem Nutzer vorgegaukelt, er müsse zur „Wiederherstellung des Kontozugriffs“ einen QR-Code scannen.

VoidProxy knackt die Zwei-Faktor-Absicherung

Noch beunruhigender ist die technische Evolution im Hintergrund. Während Nutzer sich durch die Zwei-Faktor-Authentifizierung (2FA) sicher fühlen, setzen Angreifer vermehrt auf Phishing-as-a-Service (PhaaS) Frameworks wie „VoidProxy“.

Diese Tools fungieren als unsichtbarer Mittelsmann. Wenn sich ein Nutzer auf der gefälschten Seite einloggt, leitet der Proxy die Daten in Echtzeit an den echten Dienst weiter. Fordert der echte Dienst einen SMS-Code an, wird diese Aufforderung an das Opfer durchgereicht.

Sobald das Opfer den Code eingibt, fangen die Angreifer das sogenannte „Session-Token“ ab. Damit können sie sich ohne Passwort oder zweiten Faktor in das Konto einloggen – der Nutzer hat ihnen unwissentlich die Tür geöffnet.

Aktuelle Warnungen: Diese Dienste sind im Visier

Das Phishing-Radar der Verbraucherzentrale meldet für Dezember 2025 eine Flut spezifischer Angriffe. Aktuell im Fokus stehen:

  • Volksbanken Raiffeisenbanken: Kunden werden unter dem Vorwand eines neuen „VR-Dashboards“ zur Datenverifizierung aufgefordert.
  • Streaming-Dienste: Tausende Nutzer von Netflix, Disney+ und Spotify erhielten Mails über angeblich gekündigte Abos oder fehlgeschlagene Zahlungen.
  • Paketdienste: Passend zur Weihnachtszeit kursieren gefälschte Benachrichtigungen über hängengebliebene Pakete.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das Jahr 2025 zum „Jahr der E-Mail-Sicherheit“ ausgerufen. Die Behörde warnt eindringlich davor, unter Zeitdruck auf Links zu klicken – eine psychologische Schwachstelle, die im Weihnachtsstress gnadenlos ausgenutzt wird.

So schützen Sie sich sofort

Da technische Filter durch die „Living off the Land“-Taktik zunehmend ausgehebelt werden, bleibt der Mensch die wichtigste Verteidigungslinie.

Diese drei Maßnahmen helfen sofort:

  1. Keine Panik bei Fristen: Eine E-Mail, die „in 24 Stunden“ eine Handlung fordert, ist fast immer Betrug.
  2. App statt Link: Nutzen Sie bei Warnungen niemals den Link in der Mail. Öffnen Sie die App oder tippen Sie die Adresse manuell ein.
  3. Vorsicht bei QR-Codes: Scannen Sie keine Codes aus unaufgeforderten E-Mails, besonders bei „Sicherheitsupdates“.

Die Zeiten, in denen man Phishing an schlechtem Deutsch erkannte, sind vorbei. Heute ist gesundes Misstrauen gegenüber jeder unerwarteten digitalen Aufforderung der wirksamste Schutz.

Anzeige

PS: Viele Nutzer unterschätzen, wie leicht Phisher echte Dienste imitieren – sogar Google Forms oder SharePoint. Wenn Sie Ihr Smartphone richtig absichern, reduzieren Sie das Risiko erheblich. Dieses kostenlose Sicherheitspaket zeigt in fünf einfachen Schritten, welche Einstellungen, Apps und Verhaltensweisen am besten schützen, inklusive QR-Code-Checks und Backup-Tipps. Jetzt Android-Schutzpaket kostenlos anfordern

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler