Phishing und Schadsoftware ebnen in vielen Fällen den Weg für Ransomware oder Datendiebstahl. Eine aktuelle Analyse von SophosLabs zeigt, wie Cyberkriminelle Google Forms für ihre Betrugsversuche nutzen.
(Quelle: Alexander Geiger/Shutterstock)
Der neue Report „Phishing and Malware Actors Abuse Google Forms for Credentials, Data Exfiltration“ von SophosLabs deckt auf, wie Cyberkriminelle Google-Formulare missbräuchlich verwenden. „Das Ausmaß, mit dem Angreifer Google Forms für sich verwenden, kam ans Licht, als wir untersuchten, wie Schadsoftware die Verschlüsselung missbraucht, um Aktivitäten und Kommunikation zu verschleiern“, erklärt Sean Gallagher, Senior Threat Researcher bei Sophos.
Google Forms: Setup liefert eine kostenlose Angriffsinfrastruktur
„Google Forms macht es Cyberkriminellen dabei besonders leicht: Die Formulare sind einfach umzusetzen und vertrauenswürdig, sowohl für die Organisation als auch für den Konsumenten. Der Datenstrom zu und vom Service ist durch Transport Layer Security (TLS)-Verschlüsselung geschützt, so dass er sich nicht so einfach von den Verteidigern inspizieren lässt. Das ganze Setup beinhaltet also im Wesentlichen eine kostenlose Angriffsinfrastruktur“, so Gallagher weiter.
Die Analyse zeigt, dass der häufigste Missbrauch von Google-Formulare in den Bereichen Phishing und Betrug stattfindet, was eher wenig Qualifikation erfordert. Zunehmend lassen sich aber Anzeichen beobachten, dass Angreifer die Plattform für komplexere Attacken nutzen. In den Beispielen setzten die Kriminellen Google Forms für Datenexfiltration und die Schadsoftware Command-and-Control ein. Besonders häufig treten folgende sieben Arten der kriminellen Nutzung der Umfrageverwaltungs-Software auf:
1. Phishing per Google Forms
Google warnt Nutzer auf jeder Seite von Forms, keine Passwort-Details preiszugeben. Dennoch fanden die Sophos-Experten verschiedene Beispiele, bei denen Angreifer potenzielle Opfer dazu bringen wollten, ihre persönlichen Zugangsdaten in ein gefälschtes Google Formular einzutragen. Diese sind oft verbunden mit schadhaften Spam-Kampagnen.
2. Schadhafte Spam-Kampagnen
Eine der größten Quellen für diese Phishing-Links im Spam waren „Abmeldelinks“ in betrügerischen Marketing-E-Mails. Sophos fing eine Reihe dieser Phishing-Kampagnen ab, die es auf Microsoft-Online-Konten, inklusive Office365, abgesehen hatten. In den Spams hieß es, dass die E-Mail-Konten des Empfängers geschlossen werden, wenn er diese nicht sofort verifiziert. Dabei wurde ein gefälschter Link mitgeschickt, der zwar mit Microsoft-Grafiken versehen war, aber bei dem es sich ganz eindeutig nicht um ein echtes Google-Formular handelte.
3. Diebstahl von Zahlungskarten
Betrüger auf Anfängerniveau verwenden vorgefertigte Google-Forms-Entwurfsvorlagen gerne, um Daten aus Kartenbezahlungen mithilfe von gefälschten und scheinbar sicheren E-Commerce-Seiten zu stehlen.
4. PUAs (Potentially Unwanted Applications), wie zum Beispiel Werbesoftware
Besonders Windows-Nutzer sind oft davon betroffen. Diese Anwendungen gebrauchen Google-Forms-Seiten heimlich, während die Web-Anfragen gesammelt und automatisch an die Formulare weitergeleitet werden – eine Nutzer-Interaktion ist nicht nötig.
5. Gefälschte Nutzeroberfläche für schädliche Android-Apps
Sophos entdeckte einige schadhafte Android-Anwendungen, die Google Forms dazu verwenden, Daten zu erfassen ohne eine Backend-Webseiten programmieren zu müssen. Die meisten dieser Apps waren Werbesoftware oder PUAs, so auch SnapTube, eine Video-App, die Entwicklern Einnahmen via Werbebetrug generieren und die eine Google-Formular-Seite für Bewertungen beinhaltet.
6. Datenlöschung per Google Forms
Die Analysten spürten eine Anzahl von noch raffinierteren Bedrohungen auf, die Google Forms für sich nutzen. Dazu gehören beispielsweise schadhafte Windows-Anwendungen, die Web-Anfragen an die Software einsetzen, um gestohlene Computerdaten in eine Google-Tabelle zu „schieben“.
7. Teil einer bösartigen Cyberangriff-Infrastruktur
Sophos hat eine Nummer von PowerShell-Skripten entdeckt, die mit Google-Formularen interagieren. Die Experten waren dann in der Lage nachzustellen, wie ein PowerShell-Skript dazu verwendet werden kann, Windows Profildaten von einem PC einzusammeln und automatisch in ein Google-Formular einzufügen.
Vorsichtiges Agieren bei Links auf Google Forms
Sean Gallagher empfiehlt außerdem: „Google schließt häufig Konten, die mit einem massenhaften Missbrauch von Anwendungen in Verbindung stehen, inklusive Google Forms. Eine seltenere, aber gezielte Nutzung der Anwendung durch Schadsoftware könnte allerdings unentdeckt bleiben. Anwender sollten deshalb hellhörig werden, wenn sie Links auf Google-Formulare oder andere scheinbar legitime Links zur Berechtigungsfreigabe entdecken. Sie sollten dabei nicht blind TLS-Traffic zu scheinbar bekannten Domains, wie doc.google.com, vertrauen.“
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Als Anbieter von Next-Generation-Cybersicherheit schützt Sophos mehr als 400.000 Unternehmen jeder Größe in über 150 Ländern vor den neuesten Cyberbedrohungen. Mit SophosLabs und seinem Team für Bedrohungs- und Datenanalyse schützen die Cloud- und KI-gestützten Sophos-Lösungen Endpoints (Laptops, Server und mobile Geräte) sowie Netzwerke vor sich ständig verändernden Cyberangriffen. Hierzu gehören Ransomware, Malware, Exploits, Datenexfiltration, individuellen Hackervorstößen, Phishing und mehr. (sg)
:quality(80)/p7i.vogel.de/wcms/69/bd/69bd7e0f1435fac31256ff2cc9ab0b23/adobestock-1901159977-editorial-use-only-7008x3940v1.jpeg "(Bild: © sdx15 / stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/95/3895d99085cfef033d5827c2abd286b1/celonis-analyze-20illustration-teaserbild-2048x1151v1.jpeg "(Bild: Celonis)")
:quality(80)/p7i.vogel.de/wcms/ef/0a/ef0a8bfee5d22c2a57dda0aba4098893/adobestock-1839117946-philipp-ki-kuenstliche-intelligenz-schule-prompt-992x558v1.jpeg "(Bild: © Philipp/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/ab/3aabad739fd0e957399a534984595e88/ki-angelov-adobestock-613490976-neu-1000x563v1.jpeg "(Bild: © Angelov/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/84/21848da3a7f03051b58bdbe52e8ba35d/genua-produktbild-20genua-20elbit-16-9-1378x774v1.jpeg "Die neue Funkgeräte bieten eine quantenresistente und hardwarebeschleunigte Verschlüsselung für den NATO- und EU-Markt. (Bild: )")
:quality(80)/p7i.vogel.de/wcms/46/11/46115875bb5990ee6804f6d777b1e5d8/telekom-ki-fabrik-cindy-20albrecht-1296x729v1.jpeg "(Bild: Deutsche Telekom AG/Cindy Albrecht, Robert Dieth)")
:quality(80)/p7i.vogel.de/wcms/b7/f6/b7f6c9b708fdee26989483e0765b4a55/open-20source-klss777-adobestock-167191953-neu-1200x674v1.jpeg "(Bild: © klss777/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/b9/2bb935ddf353727ced1d8d4edacffa94/firstcolo-20gmbh-rechenzentrum-rosbach-16-9-1169x657v1.jpeg "Das von firstcolo Datacenters geplante Rechenzentrum in Rosbach soll Ende 2027 in Betrieb gehen. (Bild: firstcolo Datacenters GmbH)")
:quality(80)/p7i.vogel.de/wcms/be/37/be37764fe24754415b09625158cdd123/ki-agenten-journey-20studio7-adobestock-1665723339-neu-1200x675v1.jpeg "(Bild: © Journey Studio7/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/28/b0/28b0216e5416265d1b307f607eb7e975/cyberangriff-greenoptix-adobestock-795873778-neu-1200x675v1.jpeg "(Bild: © GreenOptix/stock.adobe.com )")
:quality(80)/p7i.vogel.de/wcms/7b/42/7b420cd9cd6678e75923f7dfc0532ff7/souver-c3-a4nit-c3-a4t-antto-ai-adobestock-935874090-mitki-1197x673v1.jpeg "(Bild: © Antto-AI/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/5f/19/5f19a2d8158f8f1609eddbeee8d15915/knime-stackit-partner-16-9v1.jpeg "(Bild: Knime)")
:quality(80)/p7i.vogel.de/wcms/6a/e5/6ae58781b7fef346df14ad8780634d2a/adobestock-1887518112-andrey-popov-frauen-empowerment-937x527v1.jpeg "(Bild: © Andrey Popov/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/56/64568ea91127dd62878ac9e611ce2b28/g-20data-20andreas-20l-c3-bcning-cybersicherheit-20in-20zahlen-16-9-1200x675v1.jpeg "Andreas Lüning verantwortet als Vorstand alle technischen Ressorts bei G Data CyberDefense AG. (Bild: G Data CyberDefense)")
:quality(80)/p7i.vogel.de/wcms/1a/76/1a76b02c463630441a9bb531d940bb0c/ki-strategie-pat-20j--adobestock-1023897194-neu-1197x673v1.jpeg "(Bild: © Pat J./stock.adobe.com )")
:quality(80)/p7i.vogel.de/wcms/aa/bf/aabf618fa492f4b775fc1f5671efae10/ecm-bartek-adobestock-968760125-mitki-1243x699v1.jpeg "(Bild: © Bartek/stock.adobe.com – generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/4c/16/4c16eb20eb695e5f23757e09fcd603ed/quantenc--20www-freund-foto-de-adobestock-652196310-mitki-1067x600v1.jpeg "(Bild: © www.freund-foto.de/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/36/c33654fc43bbf9b4a4cc81a2ac05e4fa/iqm-quantencomputing-20system-16-9-3943x2216v1.jpeg "Die IQM Germany GmbH, Kooperationspartner des Q-GeneSys-Projekts, entwickelt Quantencomputing-Systeme. (Bild: IQM Germany GmbH)")
:quality(80)/p7i.vogel.de/wcms/af/47/af479f0e67c7b76697bc28e48f7f3039/quantencomputer-patrick-20helmholz-adobestock-618298224-mitki-1200x674v1.jpeg "(Bild: © Patrick Helmholz/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/d5/a9d54191479552aaf1f04e59165f9647/quantencomputer-paolo-adobestock-754407110-mitki-1067x600v1.jpeg "(Bild: © Paolo/stock.adobe.com )")
:quality(80)/p7i.vogel.de/wcms/01/77/0177df0b26d49b9f660a7cc02709f1a4/adobestock-1739868363-khfd-digitale-souveraenitaet-969x545v1.jpeg "(Bild: © Khfd/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/de/2cde95af1562c54d4f3c66ad5a1d6c63/vier-datensouver-c3-a4nit-c3-a4t-16-9-1200x674v1.jpeg "(Bild: Vier GmbH)")
:quality(80)/p7i.vogel.de/wcms/bc/91/bc9141b985b19a0664b7770d5f63587c/adobestock-1425063409-mutshino-artwork-digital-health-996x560v1.jpeg "(Bild: © Mutshino_Artwork/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/9b/319b8fe5d2c59cc300886409a20250d3/deutsche-20telekom-ti-connect-16-9-1149x646v1.jpeg "Der TI-Connect soll Arztpraxen, Pflegeeinrichtungen und Krankenhäusern die Arbeit spürbar erleichtern. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/d4/68/d46829993cb41bbafedd7bda7419754f/digital-20health-sansert-adobestock-1525412792-neu-1188x668v1.jpeg "(Bild: )")
:quality(80)/p7i.vogel.de/wcms/13/de/13de1e25b6bab32e092a3992697aca88/chinabrand-medizintechnik-20mit-20ki-16-9-1200x674v1.jpeg "Unternehmen wie Infervision entwickeln Digital-Health-Lösungen mit integrierter KI. (Bild: InferVision)")
:quality(80)/p7i.vogel.de/wcms/18/57/1857a82b6e8a7046aaf37a4049d6647e/uhv-leitstelle-foto-20state-20grid-20corp-16-9-1200x675v1.jpeg "Die State Grid Corporation of China betreibt ein Netz von Leitstellen und Kontrollzentren, um die Stromversorgung für über 1,1 Milliarden Menschen in China zu sichern. (Bild: State Grid Corp.)")
:quality(80)/p7i.vogel.de/wcms/2e/b3/2eb3cb81c900fcc9ee017f3287637d84/omnibus-nazeerart-adobestock-1437707158-mitki-1400x788v1.jpeg "(© NazeerArt/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/9a/59/9a59f9ffabe7c603729033611a18f232/nachhaltigkeit-supatman-adobestock-896256258-neu-1200x675v1.jpeg "(Bild: © Supatman/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/fd/f6fd2d935cbbba7bb38bffa6c3ff03b3/cloud-20sicherheit-srinard-adobestock-1226129412-5798x3264v1.jpeg "(Bild: © Srinard/stock.adobe.com )")
:quality(80)/p7i.vogel.de/wcms/20/8e/208e5cfb6d60ca2662e97d30524e115a/nis2-hikmet-adobestock-921854235-mitki-1197x673v1.jpeg "(Bild: © Hikmet/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/3b/9c/3b9c76757aaa17f89ed0010a3ec1cc83/ki-strategie-pat-20j--adobestock-1023897194-neu-1197x673v1.jpeg "(Bild: © Pat J./stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/66/27/66276a182029e/dvelop-logo-grey.jpeg "dvelop-logo-grey (d.velop AG)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/5c/1a/5c1a291bdd960958d084a1993d2110fc/ransoware-exquisine-adobestock-605698536-neu-939x528v1.jpeg "ransoware-exquisine-adobestock-605698536-neu-939x528v1 (Bild: ExQuisine/Adobe Stock)")
:quality(80)/p7i.vogel.de/wcms/a7/39/a739e651a3430d7ca7af0db7ec1ea284/cyberhygiene-202-0-bild-201-neu-1190x670v1.png "cyberhygiene-202-0-bild-201-neu-1190x670v1 (Bild: generiert mit KI-Tool Flux Ultra )")