Gefälschte E-Mails von Banken, Amazon, STRATO und Behörden landen täglich in deutschen Posteingängen – und werden immer raffinierter. Hier sehen Sie echte Beispiele aus der Praxis, inklusive gehackter Websites als getarnte Absender und professioneller Fake-Rechnungen mit echten Firmendaten.
Phishing (von engl. „fishing") bezeichnet den Versuch, durch gefälschte E-Mails an sensible Daten zu gelangen: Passwörter, Kreditkartennummern, Zugangsdaten zu Bankkonten oder Unternehmens-Systemen. Die Angreifer täuschen vor, eine bekannte Institution zu sein – Ihre Bank, Amazon, STRATO oder Behörden.
Moderne Angriffe sind deutlich raffinierter als früher: Angreifer hacken legitime deutsche Kleinunternehmen und nutzen deren Mailserver als getarnte Versandstation. Sie fälschen Rechnungen mit echten USt-IdNrn. und Handelsregisternummern. Und sie setzen kyrillische Zeichen ein, die lateinischen Buchstaben identisch sehen – um Spam-Filter zu umgehen.
Die gute Nachricht: Trotz zunehmender Professionalität gibt es verlässliche Erkennungsmerkmale. Wer sie kennt, schützt sich und sein Unternehmen zuverlässig.
Diese Merkmale treten in echten Phishing-Mails immer wieder auf. Eines allein reicht als Alarm – mehrere zusammen bedeuten: Sofort löschen.
Der Anzeigename sieht echt aus – aber die Domain dahinter ist es nicht. Klicken Sie auf den Absendernamen und prüfen Sie die echte E-Mail-Adresse. Echte Unternehmen schreiben von ihrer eigenen Domain. Achtung: Auch Domains gehackter seriöser Websites werden als Tarnung genutzt.
Phishing lebt vom Stress. Drohungen wie "Ihr Konto wird gesperrt", "Zahlung innerhalb von 24 Stunden" oder konkrete Fristen sollen Sie zum unüberlegten Handeln zwingen. Echte Unternehmen geben immer ausreichend Zeit und sperren kein Konto ohne schriftliche Vorankündigung per Post.
Ihre Bank kennt Ihren Namen. "Sehr geehrter Kunde", "Liebe/r Amazon-Kund*in" oder im Widerspruch zum Kontext stehende Anreden sind Warnsignale. Spear-Phishing-Angriffe kennen dagegen Ihren Namen – das macht sie gefährlicher.
Tippfehler im Absendernamen ("Detucshe Bakn"), Leerzeichen zwischen Buchstaben zur Spamfilter-Umgehung, und sogar kyrillische Zeichen die wie lateinische aussehen (сtrato statt strato) sind dokumentierte Techniken. KI-generierte Mails sind heute oft fehlerfrei – das Fehlen von Fehlern ist kein Sicherheitsbeweis.
HTML-Dateien als "Voicemail", PDFs mit kryptischen Dateinamen oder ZIP-Archive von unbekannten Absendern sind klassische Malware-Träger. Öffnen Sie keine Anhänge aus unerwarteten E-Mails – auch nicht wenn Absendername oder Logo vertrauenswürdig klingen.
An keinem Gewinnspiel teilgenommen, aber iPhone, MacBook und PS5 gewonnen? Kriminelle nutzen Gier als Köder. Für angebliche Gewinne müssen Sie nie persönliche Daten eingeben oder vorab zahlen – das ist immer Betrug.
Der Link-Text zeigt strato.de, aber der echte Link führt woanders hin. Fahren Sie mit der Maus über Links (ohne zu klicken) und prüfen Sie die Ziel-URL in der Statusleiste. Auf Mobilgeräten: Link lange halten → "Link kopieren" und in den Text-Editor einfügen.
Reale Screenshots aus einem deutschen Unternehmensposteingang – November 2024 bis Juni 2025. Empfängerangaben sind aus Datenschutzgründen unkenntlich gemacht.
Diese Mail ist ein Paradebeispiel: Schon der Anzeigename verrät die Fälschung. "Detucshe Bakn" – ein offensichtlicher Tippfehler, den keine echte Bank je passieren ließe.
iPhone, MacBook, PS5, Dyson-Sauger – alles auf einmal. Diese Mail nutzt Gier als Köder. Der Absender verrät sich selbst: "amazonsurvde.de" ist keine Amazon-Domain.
Gleich drei Fehler auf einen Blick: Der Absender kommt aus der Slowakei, der Link-Text ist auf Französisch, und das ADAC-Logo ist nur ein gelb eingefärbter Text.
Eine koordinierte Phishing-Kampagne gegen ein Magdeburger Unternehmen zeigt, wie professionell moderne Angriffe organisiert sind.
contact@[anonymisiert].de Norddeutsche Zoohandlung (gehackt) contact@[anonymisiert].de Aquaristik-Onlineshop (gehackt) contact-[hash]@[anonymisiert].de Musikschule Norddeutschland (gehackt) Schlüsseldetail: Alle Mails enthielten dieselbe Fake-Rechnungsnummer DRP130963894 – eindeutiger Beweis einer koordinierten Kampagne. Die Zoohandlung, der Aquaristik-Shop und die Musikschule sind ebenfalls Opfer: Ihr Ruf und ihre Mail-Reputation wurden missbraucht.
Diese Mail repräsentiert die nächste Eskalationsstufe: Professionell formatierte Rechnung, echter Firmenname, echte Adresse, echte Handelsregisternummer – und trotzdem Betrug.
Die Angreifer hatten die echten Daten der STRATO GmbH aus dem Handelsregister kopiert: Otto-Ostrowski-Straße 7, 10249 Berlin, USt-IdNr. DE 211 045 709, Registergericht Berlin-Charlottenburg. Alles korrekt. Alles echt – außer dem Absender.
Der Versand erfolgte über [email protected] – einem japanischen Elektronikhändler,
dessen Website für diesen Angriff kompromittiert wurde.
Dokumentierte Techniken aus den analysierten Phishing-Mails.
Das kyrillische "с" sieht dem lateinischen "c" identisch. Angreifer schreiben "сtrato" statt "strato" – für Menschen unsichtbar, für Filter ein anderes Wort. Der Text im E-Mail-Header zeigt sogar "Wichtige Benachrichtigung von стrato" – gemischt aus kyrillischen und lateinischen Buchstaben.
"Die s i st ein e dringende Mit teilung" – Leerzeichen zwischen Buchstaben zerlegen Schlüsselwörter für Textmuster-Filter. Im E-Mail-Client werden diese durch CSS-Formatierung wieder als normaler Text dargestellt. Das Muster "dringende Mitteilung" wird im Rohtext nicht erkannt.
Statt [email protected] verwenden Angreifer "noreply-nmXuMLGj@strato-support12.de" oder "contact-8b81fe40d69@[gehackte-domain].de". Jede Mail hat eine andere Absender-Adresse – Blocklisten für konkrete Adressen greifen nicht.
In einem dokumentierten Angriff auf IFCSD wurde eine gehackte japanische
Domain (mituwa-denki.com) als Versandserver genutzt – für eine
angebliche STRATO-Rechnung. Geografisch inkonsistent, aber für Filter
schwer zu erkennen: Die Domain selbst hat keine schlechte Reputation.
"Ich habe Sie über Ihre Webcam aufgenommen" – diese Mails behaupten kompromittierendes Material zu besitzen und fordern Bitcoin-Zahlung (typisch 500–2.000 USD). Das ist ausnahmslos Betrug. Niemals zahlen. Einfach löschen.
Betreff: "Leider gibt es schlechte Neuigkeiten für Sie"
"PLAY_NOW.html" als Voicemail-Benachrichtigung oder ein PDF mit kryptischem Dateinamen sind klassische Malware-Träger. HTML-Anhänge öffnen im Browser und leiten auf Phishing-Seiten oder laden Schadsoftware herunter. Niemals öffnen.
Niemals: Unerwartete HTML-Anhänge öffnen
"Sie haben ein Angebot von 2,83 ETH erhalten" – Nachahmungen von OpenSea, Coinbase & Co. zielen auf Wallet-Zugangsdaten. Kryptowährungen sind nach Übertragung unwiederbringlich verloren. Immer direkt auf der echten Plattform prüfen.
Absender: [email protected] statt opensea.io
"Paket kann nicht zugestellt werden" per SMS oder angeblicher ADAC-Gewinn per Mobilnachricht. Gleiches Muster wie E-Mail-Phishing – nur über einen anderen Kanal. Niemals Links in SMS-Nachrichten unbekannter Absender klicken.
Erkennbar: belgische/slowakische Domain für deutschen Dienst
Wenn Ihre E-Mail-Adresse in einem Datenleck auftauchte, kennen Angreifer möglicherweise weitere Details – das ermöglicht gezielteres Spear-Phishing. Jetzt kostenlos prüfen.
Ein einziger Klick eines Mitarbeiters kann einen Ransomware-Angriff auslösen, der Ihr Unternehmen tagelang lahmlegt. IFCSD hilft mit Schulungen, technischen Schutzmaßnahmen und dem kostenlosen BSI CyberRisikoCheck.