Aktuell kursieren angebliche Jobangebote und Interview-Einladungen großer Marken per E-Mail. Die Nachrichten wirken professionell, nennen bekannte Unternehmen und nutzen teils echte Namen und Fotos von Recruitern.
Die Masche ist jedoch Phishing. Aktuellen Berichten nach sollen Empfänger über mehrere Weiterleitungen auf eine gefälschte Termin- oder Login-Seite gelockt werden. Ziel sind vor allem Google-Zugangsdaten von Menschen aus dem Marketingbereich.
Die Marken werden nur als Köder benutzt
Die Betrüger geben sich laut der Analyse als mehr als 30 bekannte Unternehmen aus. Genannt werden unter anderem Adidas, Netflix, Coca-Cola, Red Bull, FIFA, Adobe, Booking.com, Delta Air Lines, Marriott, McKinsey, OpenAI und Sephora.
Wichtig ist: Die genannten Unternehmen sind nach aktuellem Stand nicht die Absender dieser Mails. Ihre Namen und Marken werden missbraucht, um Vertrauen zu erzeugen. Genau das macht die Kampagne glaubwürdig: Wer eine scheinbar seriöse Nachricht von einer bekannten Marke erhält, prüft Links und Absender oft weniger kritisch.
Der Trick führt zum Google-Login
Die Mails geben vor, von Recruitern zu stammen, die ein Gespräch über eine mögliche Stelle vereinbaren möchten. Ein Link führt angeblich zu einer Kalender- oder Terminseite.
Dort sollen sich Betroffene mit ihrem Google-Konto anmelden. Dieser Login ist jedoch nicht echt. Laut Bericht wird ein gefälschtes Google-Anmeldefenster innerhalb der Phishing-Seite angezeigt. Diese Methode ist als „Browser-in-the-Browser“ bekannt: Die Seite imitiert ein echtes Browserfenster, obwohl es nur aus HTML- und CSS-Elementen besteht.
Das Ziel ist klar: Wer dort seine Google-Zugangsdaten eingibt, übermittelt sie direkt an die Betrüger.
Legitime Dienste machen die Masche glaubwürdiger
Besonders tückisch ist, dass die Kampagne offenbar legitime Plattformen und Weiterleitungen nutzt. Im Bericht werden unter anderem PeopleForce, Salesforce Marketing Cloud beziehungsweise ExactTarget sowie weitere Cloud-Dienste genannt.
Das bedeutet nicht automatisch, dass diese Dienste selbst kompromittiert wurden. Solche Plattformen können auch über echte, missbrauchte oder betrügerisch angelegte Konten in eine Weiterleitungskette eingebunden werden. Für Empfänger sieht der Link dadurch zunächst seriöser aus, als er tatsächlich ist.
Woran Betroffene die Mails erkennen
Verdächtig sind vor allem unerwartete Jobangebote, die sofort zu einem Login führen. Ein echtes Unternehmen verlangt für eine erste Terminvereinbarung in der Regel nicht, dass Bewerber ihre Google-Zugangsdaten auf einer fremden Seite eingeben.
Auffällig sind außerdem Domains, die nur ähnlich aussehen wie die echte Unternehmensseite, etwa mit Zusätzen wie „hiring“, „career“, „jobs“ oder firmennahen Begriffen. Auch echte Namen und Fotos von Recruitern sind kein Beweis: Genau diese Details können von öffentlich sichtbaren Profilen übernommen werden.
Wer unsicher ist, sollte nicht auf den Link klicken, sondern die Karriere-Seite des Unternehmens direkt im Browser aufrufen. Eine angebliche Einladung lässt sich außerdem über offizielle E-Mail-Adressen oder LinkedIn-Profile der Recruiter gegenprüfen – aber nicht über die Kontaktdaten aus der verdächtigen Mail.

Was tun, wenn man Daten eingegeben hat?
Wer seine Google-Zugangsdaten auf einer solchen Seite eingegeben hat, sollte sofort das Passwort ändern und alle aktiven Sitzungen im Google-Konto prüfen. Zusätzlich sollten Zwei-Faktor-Authentifizierung oder Passkeys aktiviert werden.
Wichtig ist auch ein Blick auf Weiterleitungen, verbundene Apps und Sicherheitswarnungen im Google-Konto. Betrüger versuchen nach einem erfolgreichen Login oft, Zugriff dauerhaft zu sichern oder weitere Konten zu übernehmen.
Bewertung: Betrügerisch. Die angeblichen Jobangebote nutzen bekannte Markennamen und echte Recruiter-Daten als Vertrauenssignal, führen aber zu gefälschten Google-Loginseiten.
FAQ zum Thema: Fake-Jobangebote von großen Marken
Sind Jobangebote von Adidas, Netflix oder Red Bull per Mail immer gefälscht?
Nein. Echte Unternehmen kontaktieren Bewerber durchaus per Mail. Verdächtig wird es, wenn ein unerwartetes Angebot über fremde Domains läuft und zur Eingabe von Google-Zugangsdaten auffordert.
Warum wirken diese Phishing-Mails so echt?
Die Täter nutzen bekannte Marken, echte Namen und Fotos von Recruitern sowie legitime Dienste in der Weiterleitungskette. Dadurch wirkt die Nachricht seriöser, obwohl der eigentliche Login gefälscht ist.
Sollte man auf den Terminlink klicken?
Nein, wenn die Mail unerwartet kommt oder die Domain nicht eindeutig zum Unternehmen gehört. Sicherer ist es, die Karriere-Seite des Unternehmens direkt aufzurufen und dort nach dem Kontakt oder der Stelle zu suchen.
Was ist ein Browser-in-the-Browser-Angriff?
Dabei wird ein gefälschtes Loginfenster innerhalb einer Webseite angezeigt. Es sieht wie ein echtes Browserfenster aus, ist aber Teil der Phishing-Seite und übermittelt eingegebene Daten an die Täter.
LinkedIn | Paulina Manzo, Adidas
Februar 2026
BleepingComputer
6. Juli 2026
Hinweis: Stand zum Veröffentlichungsdatum.
Verwendete Bilder, Screenshots und Medien dienen ausschließlich der sachlichen Auseinandersetzung im Sinne des Zitatrechts (§ 51 UrhG).
Teile dieses Beitrags können KI-gestützt erstellt und redaktionell geprüft worden sein.
(Mehr zur Arbeitsweise)
