Phishing-Kampagne
Gezielte Phishing-Kampagne nutzt Google AppSheet aus
Angreifer geben sich als Meta aus
Seit März 2025 beobachten unsere Sicherheitsexperten eine neue, besonders raffinierte Welle von Phishing-Angriffen. Die Angreifer nutzen dabei die Google-Plattform AppSheet, um sehr gezielt gefälschte E-Mails zu verschicken – mit dem Ziel, an Login-Daten und Zwei-Faktor-Codes zu gelangen. In den meisten Fällen geben sie sich als Meta (die Muttergesellschaft von Facebook und Instagram) aus. Technisch setzen sie auf hochentwickelte Methoden wie personalisierte Identifikatoren, ausgeklügelte Man-in-the-Middle-Proxys und Techniken zur Umgehung der Multi-Faktor-Authentifizierung.
Höhepunkt der Kampagne: 20. April 2025
Besonders auffällig war der 20. April: An diesem Tag stammten 10,88 Prozent aller weltweit identifizierten Phishing-E-Mails – laut unserem System KnowBe4 Defend – von AppSheet. In über 98 Prozent der Fälle gaben sich die Angreifer dabei als Meta aus, der Rest täuschte PayPal als Absender vor.
Wie funktioniert der Angriff genau?
Alle analysierten Phishing-E-Mails wurden von KnowBe4 Defend erkannt und blockiert. Unser Threat-Labs-Team hat die dahinterstehende Kampagne weiter untersucht.
Die Angreifer nutzen AppSheet – eigentlich ein legitimer Google-Dienst für automatisierte Arbeitsabläufe – um massenhaft Phishing-Mails zu versenden. Diese Mails stammen von der echten Domain noreply[at]appsheet.com, was sie schwerer erkennbar macht: Viele E-Mail-Sicherheitslösungen verlassen sich auf die Vertrauenswürdigkeit von Domains und können solche Nachrichten daher nicht zuverlässig blockieren.
Inhaltlich wirken die E-Mails täuschend echt. Sie verwenden Meta-Logos, gefälschte Signaturen und eine Sprache, die zur sofortigen Reaktion drängt – zum Beispiel mit Warnungen vor einer angeblich bevorstehenden Kontolöschung. Durch das Vertrauen in bekannte Marken und die geschickte Aufmachung steigt die Wahrscheinlichkeit, dass Empfänger auf die E-Mail hereinfallen.
Die E-Mail im Detail:
Die Phishing-Nachricht gibt sich als Support-Mail von „Facebook“ aus und kommt von einer echten, aber missbrauchten AppSheet-Adresse. Sie enthält eine Schaltfläche mit dem Text „Beschwerde einreichen“ – klickt man darauf, gelangt man auf eine täuschend echt gestaltete Webseite.
Emotionaler Druck durch Zeitdruck
In der Mail steht, dass das eigene Facebook-Konto angeblich wegen eines Verstoßes gelöscht werden soll – man habe nur 24 Stunden, um Einspruch einzulegen. Diese künstlich erzeugte Dringlichkeit ist eine typische Social-Engineering-Taktik, um Menschen zu unüberlegtem Handeln zu verleiten.
Warum ist die Kampagne so schwer zu erkennen?
Ein weiterer Trick: Jede Phishing-Mail enthält leicht unterschiedliche Informationen, zum Beispiel individuelle „Fallnummern“. Diese Unterschiede helfen den Angreifern, gängige Erkennungssysteme zu umgehen – denn solche Systeme suchen meist nach Mustern oder bekannten schädlichen Links. Durch die Variabilität bleibt die Erkennung schwierig, selbst für IT-Teams.
Was passiert nach dem Klick?
Wer auf den Link klickt, landet auf einer professionell gestalteten Phishing-Website, die das Facebook-Login perfekt imitiert – inklusive animiertem Meta-Logo und vertrauter Oberfläche. Diese Seite läuft über Vercel, einen seriösen Hosting-Anbieter, was sie noch glaubwürdiger macht.
Auf der Seite sollen Nutzer ihre Login-Daten und 2FA-Codes eingeben – und zwar zweimal. Der erste Versuch wird absichtlich als „fehlgeschlagen“ angezeigt, um die Opfer zur Wiederholung zu bringen. So stellen die Angreifer sicher, dass die Daten korrekt sind.
Echtzeit-Diebstahl durch Man-in-the-Middle-Technik
Besonders gefährlich: Die eingegebenen Zugangsdaten werden in Echtzeit an den echten Meta-Dienst weitergeleitet. Der Angreifer kann so eine gültige Sitzung übernehmen – trotz Zwei-Faktor-Authentifizierung – und sich direkt Zugriff auf das Konto verschaffen.
Phishing mit System: der größere Trend
Die AppSheet-Kampagne ist kein Einzelfall. Unser Threat-Labs-Team sieht einen klaren Trend: Immer häufiger nutzen Cyberkriminelle legitime Dienste wie AppSheet, Microsoft , Google , QuickBooks oder Telegram , um herkömmliche Schutzmechanismen zu umgehen. In Kombination mit überzeugenden Fälschungen und psychologischer Manipulation wird es für klassische E-Mail-Security-Systeme zunehmend schwer, solche Angriffe zuverlässig zu erkennen.
Was hilft gegen solche Angriffe?
Moderne Bedrohungen erfordern moderne Sicherheitsmaßnahmen. Viele Unternehmen setzen deshalb auf spezialisierte Lösungen wie KnowBe4 Defend, die mithilfe von KI gefährliche Links und Anhänge erkennen – selbst dann, wenn sie über scheinbar vertrauenswürdige Kanäle kommen.
Zusätzlich sorgt gezielte Awareness-Schulung dafür, dass Mitarbeiter solche Phishing-Versuche frühzeitig erkennen. Besonders effektiv ist dabei die Umwandlung echter Phishing-Versuche in realistische Schulungssimulationen – etwa mit KnowBe4 PhishER .
