Eine aktuelle Untersuchung von Check Point Research zeigt, wie Angreifer zunehmend auf legitime Cloud-Dienste setzen, um bestehende Sicherheitsbarrieren zu umgehen. Ziel der Kriminellen war diesmal Google Classroom – ein Service, der eigentlich zur digitalen Zusammenarbeit zwischen Lehrkräften und Schülern dient und weltweit von Millionen Menschen genutzt wird.

Zwischen dem 6. und 12. August 2025 wurden in fünf koordinierten Angriffswellen insgesamt rund 115.000 Phishing-E-Mails verschickt. Betroffen waren mehr als 13.500 Organisationen aus Europa, Nordamerika, dem Nahen Osten und Asien. Die Mails imitierten Einladungen zu digitalen Klassenräumen, enthielten jedoch Inhalte, die nichts mit Bildung zu tun hatten. Stattdessen wurden die Empfänger mit Angeboten wie Produkt-Reselling oder SEO-Dienstleistungen geködert. Alle Nachrichten führten zu einer WhatsApp-Kontaktnummer – ein gängiges Mittel, um die Kommunikation aus den gesicherten E-Mail-Systemen von Unternehmen herauszulenken.

Beispiel einer Phishing-Mail, in der eine Beratungsleistung zur SEO-Optimierung ange-boten wird. © Check Point Software Technologies Ltd.

Nach Angaben der Sicherheitsforscher nutzten die Angreifer gezielt die Tatsache aus, dass viele E-Mail-Sicherheitslösungen Nachrichten von Google-Diensten standardmäßig als vertrauenswürdig einstufen. Dadurch konnten die betrügerischen Einladungen an zahlreichen Abwehrmechanismen vorbeigeschleust werden. „Angreifer finden weiterhin kreative Wege, um legitime Dienste wie Google Classroom auszunutzen, um Vertrauen zu gewinnen, Abwehrmaßnahmen zu umgehen und Ziele in großem Umfang zu erreichen. Mit über 115.000 E-Mails in nur einer Woche zeigt diese Kampagne, wie leicht Cyberkriminelle digitale Plattformen für Betrugsdelikte missbrauchen können”, so die Experten von Check Point.

Obwohl ein erheblicher Teil der Nachrichten erfolgreich an Firewalls und Gateways vorbeikam, wurden laut Check Point die meisten Versuche durch zusätzliche Sicherheitsschichten blockiert. Eingesetzt wurde unter anderem die firmeneigene Erkennungstechnologie SmartPhish, die nicht nur Absenderadressen, sondern auch Kontext und Absichten der Nachricht analysiert.

Die Forscher betonen, dass klassische E-Mail-Gateways zunehmend an ihre Grenzen stoßen. Da Angreifer auf Dienste wie Google, Microsoft 365 oder Dropbox zurückgreifen, können sie den Anschein seriöser Kommunikation erwecken und sich so Zutritt zu geschützten Postfächern verschaffen. Neben technischen Schutzmechanismen sei daher auch die Schulung der Beschäftigten entscheidend.

Empfohlen werden mehrere Maßnahmen:

• Sensibilisierung: Beschäftigte sollten unerwartete Einladungen und Links, selbst wenn sie von bekannten Plattformen stammen, grundsätzlich kritisch prüfen.
• Erweiterter Schutz: KI-gestützte Sicherheitslösungen, die Kontext und Inhalte analysieren, erhöhen die Chancen, Angriffe frühzeitig zu erkennen.
• Plattformübergreifende Überwachung: Unternehmen sollten nicht nur den E-Mail-Verkehr, sondern auch Kollaborations- und Messaging-Tools in ihre Abwehrstrategien einbeziehen.
• Bewusstsein für Social Engineering: Kriminelle weichen zunehmend auf Kanäle wie WhatsApp aus, um Unternehmensrichtlinien zu umgehen.

Die Dimension der Kampagne zeigt, wie schnell Cyberkriminelle in der Lage sind, legitime Plattformen umzunutzen und Vertrauen in digitale Dienste auszunutzen. Betroffen waren nach Angaben der Forscher Organisationen unterschiedlicher Branchen, von Bildungseinrichtungen über Industrieunternehmen bis hin zu Dienstleistern.