Neue Phishing-Welle bei Google Ads: Gefälschte MCC-Einladungen im Umlauf
Aktuell läuft eine neue, koordinierte Phishing-Welle gegen Google Ads Konten. Angreifer verschicken gefälschte MCC-Zugriffs-Einladungen, die echten Google-Mails täuschend ähnlich sehen. Wer die Anfrage akzeptiert, gibt Fremden Zugriff auf das eigene Konto. Wie du die Falle erkennst und was du jetzt tun solltest.
Es ist nicht das erste Mal, dass Google Ads ins Visier von Betrügern gerät. Bereits im letzten Jahr gab es eine größere Phishing-Welle, über die ich hier ausführlich berichtet habe. Aktuell läuft eine neue Variante. Mehrere PPC-Spezialisten, darunter Jeremy Young, Selina Naomi Patel und Hana Kobzová, haben unabhängig voneinander Hinweise gemeldet. Das Muster ist klar: gefälschte Zugriffs-Einladungen, die echten Mails von Google ähneln, mit dem Ziel, Kontrolle über Werbekonten zu erlangen.
Wie funktioniert die aktuelle Masche?
Die Angreifer schicken E-Mails, die wie offizielle Google Ads Einladungen aussehen. In Wahrheit handelt es sich um Anfragen aus einem unbekannten MCC-Konto, die nach Annahme vollen oder teilweisen Zugriff auf dein Werbekonto gewähren.
Eine MCC-Einladung ist eigentlich ein normaler Vorgang. Wenn du mit einer Agentur oder einem Berater arbeitest, bekommst du eine solche Anfrage und gibst Zugriff frei. Genau diese Routine machen sich Angreifer zunutze. Sie schicken Einladungen, die im Posteingang harmlos wirken, und hoffen, dass jemand im Unternehmen reflexhaft auf „Annehmen” klickt.
Drei Warnsignale tauchen in den aktuellen Fällen besonders häufig auf. Erstens: Die Absender-Adresse ist eine Gmail-Adresse statt einer offiziellen google.com-Domain. Zweitens: Der Link in der Mail führt nicht direkt zu ads.google.com, sondern über Umwege oder zu unbekannten Domains. Drittens: Der Name des anfragenden MCC-Kontos sagt dir nichts. Es ist kein Berater, mit dem du tatsächlich zusammenarbeitest.
Was passiert, wenn du auf so eine Einladung klickst?
Im schlimmsten Fall: vollständige Übernahme deines Werbekontos. Die Angreifer können neue Kampagnen starten, dein Budget umlenken, Conversion-Aktionen manipulieren oder das Konto komplett für eigene Zwecke missbrauchen. Bei einem MCC-Zugriff mit Administrator-Rechten reicht ein einziger falscher Klick, um die Kontrolle abzugeben.
Besonders bitter ist, dass solche Vorfälle oft erst auffallen, wenn das Budget schon weg ist. Plötzlich steigen die Kosten, neue Kampagnen tauchen auf, die niemand im Team kennt, oder das Konto wird von Google wegen verdächtiger Aktivität gesperrt. Bis das Ganze rückgängig gemacht ist, vergehen Tage bis Wochen, in denen das Werbegeschäft praktisch stillsteht.
Wer schon einmal mit einem solchen Fall konfrontiert war, weiß, wie aufwendig die Schadensbegrenzung ist. Genau deshalb lohnt sich Vorsicht beim Annehmen jeder unerwarteten Einladung.
Wie schützt du dein Konto?
Die wichtigste Regel ist auch die einfachste: Nimm keine Einladung an, von der du nicht weißt, dass sie kommt. Das klingt banal, ist aber in der Praxis der häufigste Einstiegspunkt für Angreifer. Wenn du zusätzlich mit einem Berater arbeitest, kläre intern ab, dass MCC-Einladungen immer vorher angekündigt werden, idealerweise mit konkretem MCC-Namen und Datum.
Ein zweiter Schutzschritt ist regelmäßiges Aufräumen in den Konto-Zugriffen. In Google Ads kannst du unter „Verwaltung” → „Zugriff und Sicherheit” sehen, wer Zugriff auf dein Konto hat. Wenn dort Namen oder Konten auftauchen, die du nicht zuordnen kannst, ist sofortiges Handeln angesagt: Zugriff entziehen und prüfen, was in der Zwischenzeit im Konto passiert ist.
Drittens hilft eine grundsätzliche Sensibilisierung im Team. Wer immer mit Google Ads zu tun hat, sollte wissen, wie eine echte Einladung aussieht und wie ein Phishing-Versuch aussieht.
Wenn du eine MCC-Einladung bekommst, prüfe immer den Absender und den Inhalt der Mail genau, bevor du klickst. Eine echte Anfrage von Google enthält den Namen des MCC-Kontos und einen Link, der direkt auf ads.google.com führt. Im Zweifel: Logge dich manuell in Google Ads ein und prüfe dort, ob die Anfrage wirklich vorliegt, statt auf den Link in der Mail zu klicken.
Was tun, wenn du eine verdächtige Einladung schon angenommen hast?
Wenn du den Verdacht hast, dass du eine Phishing-Einladung akzeptiert hast, ist Geschwindigkeit entscheidend. Erstens den Zugriff sofort wieder entziehen. Zweitens alle aktiven Kampagnen prüfen, ob fremde Anpassungen vorgenommen wurden. Drittens das eigene Google-Konto-Passwort ändern und die Zwei-Faktor-Authentifizierung aktivieren oder überprüfen, falls das noch nicht passiert ist.
Im nächsten Schritt lohnt sich ein Kontakt zu Googles Werbe-Support. Bei Verdacht auf unautorisierten Zugriff kann Google das Konto temporär sperren und eine Sicherheits-Prüfung anstoßen. Auch wenn der Vorgang lästig ist, ist das immer noch besser, als das Konto unbeobachtet weiterlaufen zu lassen.
Wer mehr über die Mechanik solcher Angriffe verstehen möchte, findet in meinem ausführlichen Bericht zur Phishing-Welle aus dem letzten Jahr eine detaillierte Analyse einer ähnlichen Masche, inklusive der typischen Tarnung über echte Google-Sites-URLs.
Warum trifft es gerade jetzt wieder Google Ads?
Werbekonten sind aus zwei Gründen ein attraktives Ziel. Zum einen liegt dort echtes Budget, das innerhalb von Stunden für eigene Kampagnen umgelenkt werden kann. Zum anderen sind sie oft schwächer abgesichert als zentrale Bank- oder Cloud-Zugänge, weil die Wahrnehmung als „Marketing-Tool” weniger Sicherheits-Reflexe auslöst.
Genau das ändert sich aktuell. Wer Google Ads aktiv nutzt, sollte das eigene Konto wie einen Banking-Zugang behandeln: starkes Passwort, Zwei-Faktor-Authentifizierung, regelmäßige Zugriffs-Prüfung und gesundes Misstrauen bei jeder unerwarteten Einladung.
Deine Checkliste
Empfohlener Ablaufplan für die Umsetzung:
- Einladungen niemals reflexartig annehmen. Jede MCC-Anfrage prüfen: Kennst du den Absender, ist es ein erwarteter Vorgang, sieht der Link plausibel aus?
- Aktuelle Zugriffe kontrollieren. In Google Ads unter „Verwaltung” → „Zugriff und Sicherheit” alle aktiven Zugriffe durchgehen und unbekannte Einträge entfernen.
- Zwei-Faktor-Authentifizierung aktivieren. Falls noch nicht aktiv, jetzt einrichten. Das ist die wichtigste Hürde für Angreifer, die deine Login-Daten erbeutet haben.
- Team sensibilisieren. Alle Mitarbeitenden mit Google-Ads-Zugriff über die aktuelle Phishing-Welle informieren und klare Regeln für den Umgang mit Einladungen vereinbaren.
- Verdächtige Mails melden. Phishing-Mails an Google weiterleiten und im Posteingang als Spam markieren, damit die Filter besser werden.
Verlierst du mit Google Ads mehr Geld, als du solltest?
In einer kostenlosen Analyse zeige ich dir, wo dein Account Potenzial verschenkt.
Kostenlosen Performance-Plan sichern
Verlierst du mit Google Ads mehr Geld, als du solltest?
Ich zeige dir, wo dein Account Potenzial verschenkt – und wie du mehr aus deinem Budget herausholst.
Performance-Plan sichern →
