Thought Leadership
Wie das Sicherheitsunternehmen Kaspersky berichtet, missbrauchen Angreifer das Benachrichtigungssystem von Google Tasks, um an Zugangsdaten von Unternehmensaccounts zu gelangen.
Die E-Mails stammen von einer legitimen @google.com-Domain und wirken daher auf den ersten Blick vertrauenswürdig. Im Zentrum der Kampagne stehen scheinbar harmlose Aufgabenbenachrichtigungen mit dem Hinweis „You have a new task“. Die Nachricht suggeriert, dass im jeweiligen Unternehmen Google Tasks als internes Organisationstool eingeführt wurde.
Durch eine als dringend markierte Aufgabe mit knapper Frist erzeugen die Täter zusätzlichen Zeitdruck. Dieser psychologische Effekt soll dazu führen, dass Empfänger weniger kritisch reagieren und den enthaltenen Link schnell anklicken.
Gefälschte Verifizierungsseite sammelt Zugangsdaten
Nach dem Klick werden Betroffene auf eine professionell gestaltete Website weitergeleitet. Dort werden sie aufgefordert, ihre Unternehmenszugangsdaten einzugeben, angeblich zur Bestätigung ihres Beschäftigtenstatus.
Tatsächlich handelt es sich um eine Phishing-Seite. Die eingegebenen Anmeldedaten landen direkt bei den Angreifern. Mit diesen Informationen können sich die Täter unbefugt Zugang zu internen Systemen verschaffen, sensible Daten abgreifen oder weiterführende Angriffe vorbereiten.
Nach Einschätzung von Kaspersky ist diese Kampagne kein Einzelfall, sondern Teil einer breiteren Entwicklung. Cyberkriminelle nutzen verstärkt etablierte Plattformen und deren offizielle Benachrichtigungsdienste, um Spam- und Phishing-Filter zu umgehen.
Da die E-Mails von anerkannten Domains stammen, werden sie von technischen Schutzmechanismen oft nicht blockiert. Gleichzeitig sinkt bei vielen Empfängern die Wachsamkeit, wenn die Nachricht scheinbar aus einem vertrauten Unternehmenskontext kommt.
Wie sich Unternehmen und Mitarbeitende schützen können
Angesichts solcher Angriffsmethoden gewinnt ein bewusster Umgang mit digitalen Benachrichtigungen an Bedeutung. Unerwartete Aufgaben, Einladungen oder Verifizierungsaufforderungen sollten auch dann hinterfragt werden, wenn sie von bekannten Diensten stammen.
Vor dem Anklicken eines Links empfiehlt es sich, die Zieladresse genau zu prüfen und auf ungewöhnliche Schreibweisen oder fremde Domains zu achten. Zugangsdaten sollten niemals über Links in E-Mails eingegeben werden, ohne die Echtheit der Seite zweifelsfrei zu verifizieren.
Darüber hinaus gilt: Multi-Faktor-Authentifizierung erhöht den Schutz deutlich, da gestohlene Passwörter allein nicht ausreichen, um sich anzumelden. Unternehmen sollten zudem auf mehrschichtige E-Mail-Sicherheitslösungen setzen, um verdächtige Aktivitäten frühzeitig zu erkennen.
