Gestern erhielt ich eine professionell wirkende Anfrage für Google Ads-Beratung, die sich als raffinierter Phishing-Versuch entpuppte. Der Angriff nutzte eine echte Google Sites-URL und täuschend echte Domains. Hier die komplette Analyse des Betrugsversuchs und wie du dich davor schützt.
Gestern erhielt ich über das Kontaktformular meiner Website eine Anfrage von einer Person, die sich als Mitarbeiter des Unternehmens Hines ausgab. Auf den ersten Blick wirkte alles seriös.
Erster Kontakt
Am nächsten Tag versuchte ich, den „Interessenten“ telefonisch zu erreichen – die angegebene Telefonnummer existierte nicht.
Daraufhin antwortete ich per E-Mail an die in der Formularanfrage angegebene Adresse: marketing.de@hinesppc.com.
Auf den ersten Blick hätte diese Adresse legitim wirken können – Unternehmen nutzen für bestimmte Abteilungen oder Marketingaktionen durchaus separate Domains. Erst später stellte sich bei einer WHOIS-Prüfung heraus: Die Domain hinesppc.com wurde erst im Juli bzw. August 2025 registriert – ein deutliches Warnsignal.
Die E-Mail, die den eigentlichen Versuch einleitete
Kurz nach meiner Antwort erhielt ich folgende, sehr professionell formulierte Nachricht:
Betreff: Zusammenarbeit mit Hines – Google Ads Zugang
Hallo Benjamin,
Mein Name ist Alexander Möll, Marketing Manager bei Hines Germany – einem globalen Unternehmen für Immobilieninvestitionen, -entwicklung und -management mit einer starken und wachsenden Präsenz in ganz Europa.
Hier in Deutschland intensivieren wir derzeit unsere digitalen Aktivitäten, und Google Ads wird zu einem immer wichtigeren Kanal, um qualifizierte Leads zu generieren und unser Wachstum in wichtigen Märkten zu unterstützen.
Aktuell suche ich nach einer Agentur mit Sitz in Deutschland, die den lokalen Markt wirklich versteht – idealerweise mit Erfahrung im Immobilien- oder anderen hochpreisigen Dienstleistungssektoren – und uns dabei helfen kann, effizient zu skalieren, während unsere Kampagnen leistungsorientiert und kosteneffizient bleiben.
Um unser erstes Gespräch so produktiv wie möglich zu gestalten, würde ich Ihrem Team gerne vorab temporären Lesezugriff auf unser Google Ads MCC-Konto gewähren. So könnten Sie:
Die Struktur unserer aktuellen Kampagnen prüfen
Budgetverteilung und Leistungstrends analysieren
Mit konkreten, umsetzbaren Empfehlungen in unser Gespräch starten
Falls das interessant klingt, senden Sie mir bitte die mit Ihrem Google-Ads-Konto verknüpfte E-Mail-Adresse, und ich richte den Zugriff umgehend ein.
Ich freue mich darauf, von Ihnen zu hören.
Mit freundlichen Grüßen
Alexander Möll
Die eigentliche Masche
Ich schickte eine E-Mail-Adresse zurück, um zu sehen, was passieren würde.
Kurz darauf kam die vermeintliche Einladung – diese hätte, wenn sie echt gewesen wäre, von der offiziellen Google-Adresse ads-account-noreply@google.com kommen müssen.
Stattdessen kam sie von: adsmemberalert@googlemail.com
Das ist keine offizielle Google-Domain und auch ein eindeutiges Warnsignal.
Der Trick mit der Google-Adresse
Ich öffnete den Link vorsichtshalber in einem separaten Browser, in dem ich nicht in Google angemeldet war.
Die Einladung führte zunächst auf eine Google Sites-URL: https://sites.google.com/view/1lfylqb/preview
Das war sehr gewieft: Auf den ersten Blick sah es nach einer absolut offiziellen google.com-Adresse aus – und genau darauf setzen die Angreifer, um Vertrauen zu schaffen. Die Seite war zudem 1:1 nachgebaut wie die echte Seite, die man normalerweise sieht, wenn man einen Google-Ads-Zugang erhält – inklusive der Auswahl:
„Möchten Sie Informationen zu Produktupdates, Aktionen etc. erhalten?“
Nach dieser Auswahl wurde ich erst auf eine neue URL weitergeleitet: google.accounts-authuser.com
Auch hier war die Tarnung geschickt: Die Domain wirkt wie eine echte Google-Adresse, ist es aber nicht. Dafür hätte es accounts-authuser.google.com heißen müssen. Dort sollte ich mich einloggen. Würde man das machen, dann hätte der Täter Zugriff auf den Account.
Die ursprüngliche Google-Sites-Seite ist inzwischen von Google gesperrt worden.
Merke: Wenn eine Seite zum Login auffordert, sollte man immer die vollständige Domain genau prüfen – und nicht nur auf bekannte Wörter wie „google“ im Namen achten.
Weitere Recherchen
Ich prüfte die WHOIS-Daten sowohl der Domain hinesppc.com als auch der Domain google.accounts-authuser.com: Beide wurden erst im Juli bzw. August 2025 registriert – ein klares Indiz für frisch eingerichtete Scam-Infrastruktur.
Ungewöhnliche Quelle
Ursprünglich hatte ich vermutet, dass die Anfrage über das Google Partner Verzeichnis gekommen sein könnte. Das wäre allerdings eine sehr ungewöhnliche Quelle: Das Partner-Verzeichnis wird in der Regel dazu genutzt, zu überprüfen, ob ein Unternehmen tatsächlich Google Partner ist, oder um gezielt nach einer Agentur zu suchen.
Da es dort eine große Anzahl an Einträgen gibt und mein Unternehmen mit „C“ beginnt (und somit alphabetisch weiter hinten steht), halte ich es für äußerst unwahrscheinlich, dass der erste Kontakt tatsächlich auf diesem Weg zustande kam. Es ist also gut möglich, dass diese Information nur als zusätzlicher „Vertrauensanker“ eingefügt wurde.
Bestätigung vom echten Unternehmen
Ich nahm Kontakt zum echten Unternehmen Hines auf. Dort bestätigte man mir, dass diese Anfrage nicht von ihnen kam – und dass sie bereits mehrere ähnliche Anfragen von anderen erhalten haben.
So schützt du dich davor – darauf solltest du achten
Der Angriff war ungewöhnlich raffiniert, weil er zunächst über eine echte Google-Domain (Google Sites) lief und erst später auf eine täuschend echt aussehende Phishing-Seite umleitete. Wer im Alltag schnell klickt, hätte diese Täuschung leicht übersehen können.
Darauf solltest du achten:
- Niemals Login-Daten eingeben, wenn man eigentlich schon angemeldet ist
- Domains bei Logins immer vollständig prüfen, nicht nur auf bekannte Wörter achten
- Vorsicht bei Links, die zunächst wie eine offizielle Domain aussehen, später aber umleiten
- Domains und E-Mail-Adressen genau mit den offiziellen Daten vergleichen
- WHOIS-Abfrage bei verdächtigen Domains durchführen
- Vor der Vergabe von Zugängen immer telefonisch rückbestätigen, ob die Anfrage echt ist
E-Mail-Adressen:
marketing.de@hinesppc.com – in der Formularanfrage angegeben, wirkt seriös, Domain jedoch erst im Juli/August 2025 registriert
adsmemberalert@googlemail.com – Absender der gefälschten „Google Ads“-Einladung, keine offizielle Google-Adresse
(Echte Einladung würde von ads-account-noreply@google.com kommen)
Domains & Links:
hinesppc.com – neu registrierte Domain, als Absenderadresse genutzt
https://sites.google.com/view/1lfylqb/preview – Google-Sites-URL, 1:1 Nachbau der echten Google-Ads-Einladungsseite, mittlerweile gesperrt
google.accounts-authuser.com – täuschend echt klingende Fake-Domain, auf die später umgeleitet wurde
Updates umsetzen oder Chancen verpassen?
Googles Entwicklungen zeigen eine klare Richtung: Mehr Automatisierung, strengere Datenschutz-Compliance und bessere Self-Service-Tools. Das bietet Chancen für KMUs mit begrenzten Zeitressourcen – allerdings ersetzt Technologie nie dein Geschäftsverständnis und deine Kundenkenntnis. Nutze diese Tools als Unterstützung für deine Strategie, nicht als Ersatz.
Wenn dir die Umsetzung dieser Neuerungen zu komplex erscheint, stehe ich dir zur Seite. In einem kostenlosen Beratungsgespräch identifizieren wir gemeinsam die für dein KMU relevantesten Maßnahmen und entwickeln einen praktikablen Implementierungsplan.