Betrug, Bedrohungsinformationen

Diese überzeugend wirkenden Urheberrechtshinweise dienen dazu, Google-Anmeldedaten zu stehlen

von Stefan Dasic | 2. Juni 2026
Google-Urheberrechtsbetrug
Als bevorzugte Quelle bei Google hinzufügen

Eine neue Betrugsmasche zielt auf Personen ab, die Chrome veröffentlichen.

Der Betrugsversuch kommt in Form einer offiziell wirkenden „Aufforderung zur Entfernung wegen Urheberrechtsverletzung“, in der behauptet wird, Ihre Erweiterung werde in Kürze aus dem Chrome Store entfernt und Sie hätten 48 Stunden Zeit, Einspruch einzulegen.

Es sieht sogar ganz individuell aus. Nachdem Sie die ID Ihrer Erweiterung eingegeben haben, um sie zu „verifizieren“, zeigt die Seite den tatsächlichen Namen und das Symbol Ihrer Erweiterung an. Doch all das ist Teil eines Phishing-Angriffs, der darauf abzielt, Ihren Google-Benutzernamen und Ihr Passwort zu stehlen.

Wenn Angreifer Zugriff auf ein Entwicklerkonto erlangen, können sie möglicherweise die Erweiterung übernehmen, auf Entwicklerressourcen zugreifen oder den Nutzern potenziell schädliche Updates aufzwingen.

Was ist da eigentlich los?

Wenn Sie eine Chrome veröffentlicht haben, könnte Ihnen eine Seite angezeigt werden, die wie eine offizielle Google-Mitteilung aussieht und in der gewarnt wird, dass Ihre Erweiterung wegen Urheberrechtsverletzung entfernt wird.

Auf der Seite werden Sie aufgefordert, Ihre Erweiterungs-ID einzugeben. Anschließend werden Ihre tatsächlichen Erweiterungsdaten zusammen mit einer Beschwerdenummer und einem Countdown-Zähler angezeigt. Sie werden dazu gedrängt, sich bei Google anzumelden, um Einspruch einzulegen, bevor die Zeit abläuft.

Nichts davon ist echt. Die Seite wird nicht von Google betrieben. Die Beschwerde, die Frist und der Countdown sind erfunden. Das Ziel ist es, Sie dazu zu verleiten, Ihren Google-Benutzernamen und Ihr Passwort in ein gefälschtes Anmeldefenster einzugeben, das vom Betrüger kontrolliert wird.

Die wichtigste Regel, die Sie beachten sollten: Echte Warnungen zu Ihrer Erweiterung werden in Ihrem Chrome Store-Entwickler-Dashboard angezeigt, nicht auf einer Website eines Drittanbieters.

Warum Betrüger Entwicklerkonten wollen

Chrome haben Zugriff auf die Browser der Nutzer und können automatisch aktualisiert werden.

Wenn Angreifer die Kontrolle über ein Entwicklerkonto erlangen, können sie möglicherweise eine Erweiterung verändern, auf Entwicklerressourcen zugreifen oder potenziell schädliche Updates an bestehende Nutzer verteilen.

Genau das macht Entwicklerkonten zu so attraktiven Zielen, und genau deshalb sind Betrugsmaschen wie diese so weit verbreitet.

So sieht der Betrug aus

Die Seite wird auf einer Domain gehostet, die nichts mit Google zu tun hat. In der von uns analysierten Version verwendete die Website die Adresse dmca-chrome-extensions[.]click.

Dennoch nutzt es das Branding von Google und präsentiert sich alsChrome Store Developer Policy Center“.

Auf der Seite wirst du zunächst nach dem Link oder der ID deiner Erweiterung gefragt. Das wirkt harmlos, und genau deshalb funktioniert es.

Gefälschte Aufforderung zur Entfernung von urheberrechtlich geschütztem Material, die vorgibt, vom Chrome Store zu stammen.

Es nutzt deine eigene Endung, um überzeugend zu wirken

Nachdem Sie Ihre Erweiterungs-ID eingegeben haben, wird auf der Seite kurz die Meldung „Erweiterung wird gesucht…“ angezeigt, und anschließend wird eine gefälschte Löschaufforderung rund um Ihre echte Erweiterung erstellt.

Als wir den Betrugsversuch mit Malwarebytes Browser Guard testeten, wurden neben der gefälschten Beschwerde der Name unserer echten Erweiterung, ihr Symbol und ihr Eintrag im Chrome Store angezeigt.

Die gefälschte Website, die öffentlich zugängliche Informationen über Ihre Erweiterung abruft.

Die Website ruft lediglich öffentlich zugängliche Informationen von der Chrome Store-Seite Ihrer Erweiterung ab. Diese Informationen sind für jedermann einsehbar. Die Betrüger nutzen sie, um die gefälschte Benachrichtigung glaubwürdig erscheinen zu lassen.

Alles andere ist erfunden.

Die Beschwerdenummer, das „Eingangsdatum“, die 48-Stunden-Frist, der Countdown-Timer und der Ablauf der Ereignisse werden von der Betrugsseite selbst generiert.

Der Countdown soll dich unter Druck setzen

Ein roter Warnhinweis warnt, dass Ihre Erweiterung dauerhaft entfernt wird, wenn Sie nicht innerhalb von 48 Stunden handeln, und eine Uhr zählt die Sekunden herunter. Das gesamte Layout lenkt Ihren Blick auf eine einzige Schaltfläche: Melden Sie sich bei Google an, um „Ihre Identität zu bestätigen“ und Einspruch einzulegen. 

Diese Dringlichkeit soll Druck erzeugen, damit Sie reagieren, bevor Sie sich die Zeit nehmen, die Behauptung zu überprüfen.

Das gefälschte Anmeldefenster

Wenn Sie auf „Weiter zur Bestätigung“ klicken, erscheint ein Google-Anmeldefenster mit einer Titelleiste, einem Vorhängeschloss und der angezeigten Adresse accounts.google.com.

Ansprechendes Anmeldefenster

Es sieht echt aus, ist es aber nicht.

Das „Fenster“ ist eigentlich Teil der Webseite selbst. Das Vorhängeschloss und die Adresse sind lediglich Grafiken, die so gestaltet sind, dass sie wie ein echtes Browserfenster aussehen.

Die Betrüger passen das Erscheinungsbild sogar an Ihr Betriebssystem an und zeigen windows MacOS windows Mac und windows Windows windows Windows an.

Alles, was in dieses gefälschte Anmeldeformular eingegeben wird, wird direkt an die Betrüger weitergeleitet.

Ein verräterisches Zeichen ist, dass das Fenster die Browserseite nicht verlassen kann. Versuche, es an den Rand deines Bildschirms zu ziehen – es bleibt an der Browserkante stehen. Wenn du den Browser minimierst, verschwindet es ebenfalls.

Vor allem aber wird in der echten Adressleiste Ihres Browsers weiterhin die Adresse der Betrugsseite angezeigt, nicht die von Google.

Wie man sicher bleibt

Die gute Nachricht ist, dass man diesen Betrug mit ein paar einfachen Maßnahmen vereiteln kann.

  • Vertrauen Sie dem Link nicht. Wenn Sie eine Warnung bezüglich Ihrer Erweiterung erhalten, gehen Sie direkt zu Ihrem Entwickler-Dashboard im Chrome Store und überprüfen Sie die Situation dort.
  • Seien Sie misstrauisch, wenn Eile gefordert wird. Seriöse politische Prozesse stützen sich nicht auf Countdown-Uhren, um sofortiges Handeln zu erzwingen.
  • Überprüfen Sie die Adressleiste. Eine echte Google-Anmeldeseite wird unter accounts.google.com in der Adressleiste Ihres Browsers angezeigt.
  • Prüfen Sie das Fenster. Wenn sich ein Anmeldefenster nicht aus dem Browser herausziehen lässt oder verschwindet, wenn der Browser minimiert wird, handelt es sich wahrscheinlich um eine Fälschung.
  • Aktivieren Sie einen stärkeren Anmeldeschutz. Passkeys und Hardware-Sicherheitsschlüssel sorgen dafür, dass gestohlene Passwörter für Angreifer weitaus weniger nützlich sind.
  • Verwenden Sie Sicherheitssoftware mit Phishing- und Webschutz. Unser Browser Guard, das ebenfalls Teil von Malwarebytes Premium ist, kann dabei helfen, bösartige Websites und Phishing-Seiten zu blockieren, bevor Sie sensible Daten eingeben.

Das ist keine plumpe Phishing-Seite. Sie verwendet Ihre echten Erweiterungsdaten, ahmt das Google-Branding nach und vermittelt ein überzeugendes Gefühl der Dringlichkeit.

Sollten Sie eine Warnmeldung zu Ihrer Erweiterung erhalten, folgen Sie bitte nicht dem Link und versuchen Sie nicht, den Countdown zu umgehen. Gehen Sie direkt zu Ihrem Entwickler-Dashboard Chrome Store und überprüfen Sie den Anspruch dort.

Im Zweifelsfall schließe den Tab.

Falls Sie Ihre Daten bereits eingegeben haben

Handeln Sie schnell.

  • Ändern Sie Ihr Google-Passwort umgehend von einem vertrauenswürdigen Gerät aus.
  • Melden Sie sich in den Sicherheitseinstellungen Ihres Google-Kontos von allen aktiven Sitzungen ab.
  • Überprüfen Sie die verbundenen Apps und Geräte auf unbekannte Elemente.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung, vorzugsweise mithilfe eines Passworts oder eines Sicherheitsschlüssels.
  • Überprüfen Sie Ihre Einträge im Chrome Store auf Änderungen, Uploads oder neue Versionen, die Sie nicht veröffentlicht haben.

Indikatoren für Kompromisse (IOCs)

Domain

dmca-chrome-extensions[.]click

Beugen Sie Bedrohungen vor, bevor sie Schaden anrichten können.

Malwarebytes Browser Guard Phishing-Seiten und bösartige Websites automatisch. Kostenlos und mit nur einem Klick zu installieren. Zu Ihrem Browser hinzufügen →

Über den Autor

Stefan Dasic

Stefan Dasic

Stefan ist ein leidenschaftlicher Anhänger von Antiviren-Lösungen und hat sich schon früh mit Malware-Tests und der Qualitätssicherung von AV-Produkten beschäftigt. Als Teil des Malwarebytes widmet sich Stefan dem Schutz der Kunden und der Gewährleistung ihrer Sicherheit.

NEUESTE ARTIKEL

Mobil
Mobil

Gefälschte Virenwarnungen tauchen in Handyspielen auf

Juni 2, 2026

„Dein Gerät ist infiziert!“ Gefälschte Konto- und Virenwarnungen verwandeln manche In-Game-Anzeigen in Malware-Fallen.

Privacy

Gefälschte BlueWallet-App stiehlt Passwörter, Konten und Kryptowährungen von Macs

Juni 1, 2026

Ein gefälschter BlueWallet-Download verleitet Mac dazu, Malware auszuführen, die Passwörter, Krypto-Wallets und Daten aus der Zwischenablage stiehlt.

Nachrichten
Woche der Sicherheit

Eine Woche im Bereich Sicherheit (Mai 25 – Mai 31)

Juni 1, 2026

Eine Liste der Themen, die wir in der Woche vom 25. bis 31. Mai 2026 behandelt haben

Als bevorzugte Quelle bei Google hinzufügen

Verwandte Artikel

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug