Check Point Software Technologies hat eine groß angelegte Phishing-Kampagne aufgedeckt, die Google-Classroom missbraucht und noch aktiv ist. Millionen von Lehrern und Schülern weltweit nutzen die Plattform zur Bereitstellung von Leistungsnachweisen, Schulaufgaben und Lehrmaterial. Innerhalb von nur einer Woche starteten die Angreifer fünf koordinierte Wellen und versendeten mehr als 115 000 Phishing-E-Mails an 13 500 Organisationen aus verschiedenen Branchen. Die Attacken zielen auf Unternehmen in Europa, Nordamerika, den Nahen Osten und Asien.
Ein vertrauenswürdiges Tool wird zum trojanischen Pferd
Mit Google-Classroom können Lehrer ihre Schüler über Einladungen zu digitalen Klassenzimmern einladen. Die Angreifer nutzen das Vertrauen in die Plattform und natürlich den bekannten Markennamen aus und versenden gefälschte Einladungen mit gefälschten kommerziellen Angeboten. Diese reichen von Verkaufsangeboten bis hin zu SEO-Dienstleistungen. Jede E-Mail fordert die Empfänger auf, die Betrüger über eine WhatsApp-Telefonnummer zu kontaktieren – eine Taktik, die häufig mit Betrugsmaschen in Verbindung gebracht wird.
Der Täuschungsversuch kann Filtersysteme umgehen, weil diese dazu neigen, E-Mails als vertrauenswürdig einzustufen, die von legitimen Google-Diensten stammen. Durch die Nutzung der Infrastruktur von Google Classroom konnten Angreifer bestimmte herkömmliche Sicherheitsebenen umgehen. So versuchten sie, die Posteingänge von mehr als 13 500 Unternehmen zu erreichen, bevor die Abwehrmaßnahmen ausgelöst wurden.
Aufbau der Kampagne
- Umfang: 115 000 Phishing-E-Mails wurden zwischen dem 6. und 12. August 2025 versandt. Die Einladungen über den Kalender scheinen weiterhin zu einem virtuellen Klassenzimmer zu führen. Ob der dahinterliegende Kurs selbst noch aktiv ist, bleibt unklar.
- Ziele: 13 500 Organisationen weltweit aus verschiedenen Branchen.
- Köder: Gefälschte Google-Classroom-Einladungen mit kommerziellen Angeboten, die nichts mit Lehrinhalten zu tun haben.
- Wozu die Nutzer aufgefordert werden: Eine WhatsApp-Telefonnummer zu kontaktieren, um die Konversation vom E-Mail-Verkehr in einen Kanal jenseits der Unternehmensüberwachung zu verlagern.
- Versandmethode: Fünf Wellen an Mails, die jeweils die Legitimität von Google Classroom ausnutzen, um Filter zu umgehen.
Wie Bildungseinrichtungen sich schützen können:
- Benutzer schulen: Mitarbeiter trainieren, unerwartete Einladungen (auch von bekannten Plattformen) mit Vorsicht zu behandeln.
- Erweiterte Bedrohungsprävention einsetzen: KI-gestützte Erkennung nutzen, die nicht nur die Reputation des Absenders, sondern auch den Kontext und die Absicht analysiert.
- Cloud-Anwendungen überwachen: Den Phishing-Schutz über E-Mails hinaus auf Collaboration-Apps, Messaging-Plattformen und SaaS-Dienste ausweiten.
- Schutz vor Social Engineering: Bewusstsein dafür schaffen, dass Angreifer zunehmend zu Off-Channel-Kommunikation (z. B. WhatsApp) drängen, um Unternehmenskontrollen zu umgehen.
Angreifer finden immer wieder neue kreative Wege, um legitime Dienste wie Google Classroom auszunutzen, um Abwehrmaßnahmen zu umgehen und ihre Ziele zu erreichen. Mit über 115 000 E-Mails in nur einer Woche zeigt diese Kampagne, wie leicht Cyber-Kriminelle digitale Plattformen für ihre Betrugsmaschen missbrauchen können.
David Meister, Global Head of MSSP bei Check Point Software Technologies: „Angreifer nutzen genau die Plattformen aus, denen die Menschen am meisten vertrauen. Diese Kampagne zeigt, dass sogar Tools von weithin vertrauenswürdigen Marken wie Google als Waffen eingesetzt werden können und, dass Unternehmen sie entsprechend schützen müssen.“
Wie Check Point den Angriff abgewehrt hat
Trotz der ausgeklügelten Nutzung vertrauenswürdiger Infrastrukturen durch die Angreifer konnte die SmartPhish-Technologie von „Check Point Harmony Email & Collaboration“ die meisten dieser Phishing-Versuche automatisch erkennen und blockieren. Zusätzliche Sicherheitsebenen verhinderten, dass die restlichen Nachrichten die Endbenutzer erreichten.
Dieser Vorfall unterstreicht die Bedeutung mehrschichtiger Abwehrmaßnahmen. Angreifer nutzen zunehmend legitime Cloud-Dienste als Waffen, sodass herkömmliche E-Mail-Gateways nicht mehr ausreichen, um die weiterentwickelten Phishing-Taktiken zu stoppen.
#CheckPoint
