Thought Leadership
Security-Forscher von Check Point haben eine aktive Phishing-Kampagne entdeckt, die Google Classroom als Einfallstor nutzt. Binnen einer Woche versendeten die Angreifer über 115.000 betrügerische E-Mails.
Cyberkriminelle missbrauchen die Bildungsplattform Google Classroom für groß angelegte Phishing-Angriffe. Das berichtet Check Point Software Technologies in einer aktuellen Analyse. Die zwischen dem 6. und 12. August 2025 dokumentierte Kampagne umfasste fünf koordinierte Angriffswellen mit insgesamt mehr als 115.000 betrügerischen E-Mails an 13.500 Organisationen weltweit.
Angriffsmechanismus nutzt Google-Vertrauen aus
Die Angreifer verwenden die legitime Einladungsfunktion von Google Classroom, um gefälschte Kurseinladungen zu versenden. Statt Bildungsinhalte enthalten diese kommerzielle Angebote – von Produktverkäufen bis hin zu SEO-Dienstleistungen. Als Kontaktweg geben die Betrüger eine WhatsApp-Nummer an.
Der Trick funktioniert, weil E-Mail-Sicherheitssysteme Nachrichten von Google-Diensten oft als vertrauenswürdig einstufen und entsprechend weniger streng filtern. Die Ausnutzung der Google-Infrastruktur ermöglicht es den Angreifern, herkömmliche Spam-Filter zu umgehen.
Fünf Angriffswellen binnen einer Woche
Check Points Threat Intelligence dokumentierte folgende Kampagnenstruktur:
- Zeitraum: 6. bis 12. August 2025
- Angriffswellen: Fünf koordinierte Aussendungen
- Volumen: 115.000 Phishing-E-Mails
- Ziele: 13.500 Organisationen global
- Regionen: Europa, Nordamerika, Naher Osten, Asien
- Köder: Gefälschte Classroom-Einladungen mit Werbeangeboten
Die verwendeten Kalendereinladungen führen weiterhin zu scheinbar aktiven virtuellen Klassenzimmern, wobei der Status der dahinterliegenden Kurse unklar bleibt.
Empfohlene Schutzmaßnahmen
Zur Abwehr ähnlicher Angriffe empfehlen die Sicherheitsexperten eine Kombination aus technischen und organisatorischen Maßnahmen. Auf technischer Ebene sollten Organisationen erweiterte E-Mail-Sicherheitslösungen mit KI-basierter Inhaltsanalyse implementieren, die über die reine Absender-Reputation hinausgehen. Zusätzlich ist Cloud-App-Security für SaaS-Plattformen wie Google Workspace erforderlich, um auch legitime Dienste auf missbräuchliche Nutzung zu überwachen. Das Monitoring von Collaboration-Tools sollte dabei über den klassischen E-Mail-Verkehr hinaus ausgedehnt werden.
Organisatorisch sind Security Awareness Trainings entscheidend, die Mitarbeiter für unerwartete Service-Einladungen sensibilisieren. Unternehmen sollten klare Richtlinien für Off-Channel-Kommunikation über Dienste wie WhatsApp oder Telegram entwickeln und Incident Response Procedures speziell für Cloud-basierte Angriffe etablieren.
Einschätzung der Sicherheitsexperten
“Die Kampagne demonstriert, wie Angreifer das Vertrauen in etablierte Cloud-Dienste systematisch ausnutzen”, erklärt David Meister, Global Head of MSSP bei Check Point Software Technologies. “Organisationen müssen ihre Sicherheitsarchitektur auf solche vertrauensbasierten Angriffsvektoren ausrichten.”
Google Classroom als Angriffsziel
Google Classroom verzeichnet nach Unternehmensangaben über 150 Millionen aktive Nutzer weltweit. Die während der Corona-Pandemie stark gewachsene Plattform wird hauptsächlich im Bildungsbereich eingesetzt, aber auch von Unternehmen für interne Schulungen genutzt.
Die hohe Nutzerakzeptanz und das Vertrauen in die Google-Marke machen den Dienst zu einem attraktiven Ziel für Social Engineering. Check Point warnt vor einer möglichen Ausweitung der Angriffsmethodik auf andere Google-Dienste.
(lb/Check Point)
