Eine groß angelegte Phishing-Kampagne nutzt gezielt Google Translate und Firebase aus, um weltweit tausende Login-Daten zu stehlen. Die als „GTFire“ bekannte Attacke umgeht konventionelle Sicherheitssysteme, indem sie das Vertrauen in etablierte Google-Domänen missbraucht. Sicherheitsanalysten warnen vor einer neuen Qualität von Cyberangriffen, die selbst die vertrauenswürdigsten Internetdienste ins Visier nehmen.
Angesichts immer raffinierterer Methoden wie der GTFire-Kampagne wird der Schutz der eigenen Infrastruktur für Unternehmen zur Überlebensfrage. In 4 Schritten zeigt dieser Experten-Guide, wie Sie branchenspezifische Gefahren erkennen und eine wirksame Hacker-Abwehr gegen modernes Phishing aufbauen. In 4 Schritten zur erfolgreichen Hacker-Abwehr: So schützen Sie Ihr Unternehmen vor Phishing
So funktioniert der mehrstufige Betrug
Die Angreifer hosten ihre betrügerischen Login-Seiten zunächst auf Google Firebase, einer legitimen Entwicklerplattform. Dadurch landet der Schadcode auf einer „.web.app“-Subdomäne, die von vielen Sicherheitstools als vertrauenswürdig eingestuft wird.
Die eigentliche Tarnung übernimmt dann Google Translate: Die bösartige Firebase-URL wird durch den Übersetzungsdienst geleitet. Dem Opfer wird dadurch eine scheinbar harmlose „translate.goog“-Adresse angezeigt. Diese Technik umgeht erfolgreich E-Mail-Filter und Web-Gateways, die Google-Domänen normalerweise durchlassen.
Klickt das Opfer, landet es auf einer täuschend echten Login-Seite eines bekannten Dienstes. Nach der Eingabe von Benutzername und Passwort werden die Daten an die Server der Angreifer gesendet – das Opfer wird unbemerkt auf die echte Website weitergeleitet.
Globale Kampagne mit tausenden Opfern
Die Analyse der Infrastruktur offenbart ein professionell organisiertes, globales Ernteunternehmen für Zugangsdaten. Auf den entdeckten Command-and-Control-Servern fanden sich tausende gestohlene Credentials von Opfern aus über 1.000 Organisationen in mehr als 200 Branchen und 100 Ländern.
Die höchste Opferkonzentration verzeichnet Mexiko, insbesondere in den Sektoren Fertigung, Bildung und öffentliche Verwaltung. Es folgen die USA, Spanien, Indien und Argentinien. Die Angreifer arbeiten effizient mit wiederverwendeten Phishing-Vorlagen, die sie nur minimal anpassen – eine Fließbandmethode für maximale Reichweite.
Trend: Missbrauch von Vertrauensinfrastrukturen
GTFire ist kein Einzelfall, sondern Teil eines bedrohlichen Trends. Cyberkriminelle zielen gezielt auf die vertrauensbasierten Grundlagen des Internets ab. So warnte erst am 3. März 2026 Microsoft vor einer parallelen Kampagne, die den OAuth-Authentifizierungsmechanismus angreift. Dabei werden scheinbar legitime Login-Prozesse von Microsoft oder Google manipuliert, um Opfer auf Schadsoftware-Seiten umzuleiten.
Hinzu kommt ein neuartiger Angriff, der die normalerweise für Infrastruktur reservierte „.arpa“-Domäne für Phishing-Seiten missbraucht – eine Domäne, die von den meisten Sicherheitstools nicht überwacht wird.
Die Herausforderung für die Sicherheitsbranche
Die Wirksamkeit dieser Angriffe basiert auf einem simplen Prinzip: dem Ausnutzen des inhärenten Vertrauens, das sowohl Nutzer als auch Sicherheitssysteme in etablierte Dienste wie Google oder Microsoft setzen. Die Angreifer operieren bewusst innerhalb der Grenzen des als „sicher“ definierten Datenverkehrs.
Das stellt Verteidiger vor immense Probleme. Es reicht nicht mehr aus, nur bekannte bösartige Domänen zu blockieren. Sicherheitssysteme müssen Verhalten und Kontext besser analysieren können – etwa ungewöhnliche Umleitungsmuster auch von vertrauenswürdigen Domänen erkennen.
Da 73 % der deutschen Unternehmen unzureichend auf solche Cyberangriffe vorbereitet sind, ist proaktives Handeln für Geschäftsführer jetzt Pflicht. Dieser kostenlose Report enthüllt effektive Strategien zur Stärkung Ihrer IT-Sicherheit, ohne dass dafür hohe Investitionen oder zusätzliches Personal nötig sind. Experten-Report: IT-Sicherheit stärken ohne Budget-Explosion
Schutzmaßnahmen für Unternehmen und Nutzer
Experten empfehlen eine mehrschichtige Abwehrstrategie. Unternehmen sollten ihre Sicherheitstools so konfigurieren, dass sie verdächtige Weiterleitungen aggressiver inspizieren und markieren. Zudem sind erweiterte Identitätsschutz-Richtlinien zur Erkennung ungewöhnlicher Login-Aktivitäten essenziell.
Für den einzelnen Nutzer bleibt Wachsamkeit die wichtigste Waffe. Statt auf Links in unerwarteten Nachrichten zu klicken, sollte man sich stets direkt über ein Lesezeichen oder die manuelle Adresseneingabe auf der offiziellen Website anmelden. Die Botschaft ist klar: In der aktuellen Bedrohungslage verdient jede Aufforderung zur Anmeldung – selbst von vertrauenswürdigsten Absendern – einen kritischen zweiten Blick.
