Worauf du sofort achten solltest

1. Absender & Domain prüfen
   Schau dir genau an, von welcher Adresse die Mail kommt. Häufig ist da etwas nicht ganz korrekt: ein extra Wort, ein seltsames Kürzel, Rechtschreibfehler oder eine Domain, die ähnlich klingt wie die echte, aber eben leicht abgewandelt ist. Im Falle „Citi Legal Services” war etwa die offizielle Bankdomain nicht identisch – das ist ein Warnsignal.
2. Ton & Inhalt hinterfragen
   Wenn in der Mail mit Fristen gedroht wird („sofort“, „binnen 24 Stunden“, „rechtliche Schritte“), oder sie Emotionalität und Angst nutzt („gesetzeswidrige Handlung“, „Kosten“, „Strafe“), dann vorsichtig sein. Seriöse Unternehmen setzen kaum auf Panikmache per E-Mail. Auch standardmäßige Anreden („Sehr geehrter Kunde“, ohne Namen) oder Sätze mit Rechtschreib- und Grammatikfehlern deuten oft auf Scam hin.
3. Anhänge und Links mit Vorsicht behandeln
   Öffne keine Anhänge, besonders keine PDFs oder Office-Dokumente, wenn du dir nicht sicher bist. Oft enthalten sie Links zu gefälschten Webseiten. Und: Klicke niemals auf Links in solchen E-Mails, bevor du die URL genau geprüft hast. Tipp: Mit der Maus über den Link fahren (ohne zu klicken), dann sieht man meist, wohin er wirklich führt.
4. Überprüfung über offizielle Kanäle
   Wenn du unsicher bist: Nie über die Mail antworten oder den angegebenen Link nutzen! Stattdessen selbstständig über die offizielle Webseite des Unternehmens gehen oder dortige Kundendienstnummer wählen (nicht die Nummer aus der verdächtigen E-Mail). Banken, Rechtsdienstleister oder Firmen haben häufig Hinweise auf ihrer Webseite, wie man Phishing-Mails melden oder prüfen kann.

5 einfache Schutzmaßnahmen für den Alltag

• Zwei-Faktor-Authentifizierung (2FA) aktivieren, wo immer möglich (z. B. bei E-Mail-Konto, Onlinebanking). Selbst wenn Login-Daten gestohlen werden, bleibt das Konto so geschützt.
• Regelmäßige Updates: Betriebssystem, Browser, Antivirenprogramm – alles aktuell halten. Viele Sicherheitslücken werden über Updates geschlossen.
• Passwörter stark & einzigartig nutzen: Ein Passwort nur für einen Dienst, möglichst lang, mit Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen. Kein Geburtstagsdatum oder einfache Begriffe.
• Vorsicht bei unerwarteten Mails mit „dringendem Inhalt”, z. B. Paket-Benachrichtigungen, Mahnungen, Rechnung, angebliche Urheberrechtsklagen. Immer prüfen, ob du wirklich mit dem angeblichen Absender Kontakt hast bzw. hattest.
• Aufbewahrung & Meldung: Solche E-Mails nicht sofort löschen – manchmal sind Screenshots oder Dateianhänge hilfreich, z. B. um Betrug anzuzeigen. Informiere ggf. deine Bank / Dienste oder Verbraucherzentralen / Polizei, wenn etwas besonders dreist erscheint.

Ein gesunder Zweifel ist oft der beste Schutz. Wenn eine E-Mail dir Angst macht, verspricht, dich unter Druck setzt oder ungewöhnlich wirkt – dann nimm dir einen Moment, prüf alles in Ruhe. Lieber einmal zu viel misstrauen, als auf einen gut gemachten Scam hereinzufallen. Je bewusster du mit solchen Mails umgehst, desto weniger Chancen haben Betrüger, ihre Tricks anzuwenden.

So war die Absender-E-Mailadresse zwar eine angebliche @sparkasse.de-Adresse, allerdings kein kundenservice@, sondern die kudnenservice@sparkasse.de – der erste Hinweis auf Spam oder einen versuchten Betrug. Im oberen Bereich der Mail (einen Screenshot habe ich weiter unten eingefügt) prangt dann das angebliche Logo der Sparkasse Langen-Seligenstadt, bei der ich gar kein Kunde bin. Aber gut, irgendein Logo müssen die Scammer ja nutzen.

Weiter geht es dann mit der Anrede „Sehr geehrter Kunde“ – nicht persönlich, kein Herr oder Frau (und das bei meinem Vornamen, der durchaus auch weiblich sein könnte). Noch ein Hinweis darauf, dass es sich keinesfalls um eine offizielle E-Mail der Sparkasse handelt.

In der Mail selber heißt es dann:

„Wir müssen Sie darüber in Kenntnis setzen, dass wir zeitnah ein neues Sicherheitsverfahren für unsere Kunden implementieren werden. Durch unser neues, ausgeprägtes Sicherheitsverfahren namens S-CERT, werden Ihre vertraulichen Daten noch besser verschlüsselt und sind somit noch mehr gesichert.

Durch eine neue Datenschutzreform müssen wir jeden Kunden auf unser neues System hinweisen.“

Phishing-Mail der angeblichen Sparkasse

Dazu gibt es dann noch einen klickbaren Button „Zum Verfahren“, der allerdings NICHT zur Sparkasse führt, sondern eine .org.ng Domain öffnet. Die dahintersteckende Webseite sieht der einer Sparkasse allerdings täuschend ähnlich, die im Browser angezeigte URL macht jedoch schnell deutlich, dass es nicht die Sparkasse ist, die hier Änderungen ankündigt. Vorsicht also!

Das erwähnte S-CERT Verfahren seitens der Sparkassen gibt es im Übrigen scheinbar auch gar nicht, wohl aber eine Firma S-CERT, die hier vermutlich als Anregung genutzt wurde.

Auf der Webseite der echten Sparkasse wird bereits vor dieser Phishing-Mail gewarnt (und auch vor weiteren Methoden): Computer-Notfallteam der Sparkassen-Finanzgruppe mit wichtigen Infos

Ähnliche Spam- und Phishing-Mails anderer Banken bekomme ich regelmäßig. Aber da ich dort nie Kunde bin oder war, lösche ich diese meist direkt. Wie sieht es bei euch im Posteingang so aus?

Wörtlich heißt es in der Mail:

Umstellung bei Amazon.de

Guten Tag Hauke Eilers,

aufgrund der zunehmenden Zahlungsunsicherheit mittels Lastschrift- und Rechnungszahlung ist es in Zukunft leider nicht mehr möglich, eine Zahlung bei Amazon.de mit diesen Zahlungsarten ohne hinterlegte Kreditkarte zu tätigen.

Es ist daher notwendig, dass alle Kunden eine Kreditkarte als Zahlungsmittel hinterlegen. Diese dient lediglich zu Sicherheitszwecken, Lastschrift- und Rechnungszahlung wird Ihnen weiterhin wie gewohnt zur Verfügung stehen. Sollten Sie bereits eine Kreditkarte hinterlegt haben, bitten wir Sie, diese erneut zu hinterlegen.

Sollten Sie noch keine Kreditkarte besitzen, legen wir Ihnen gerne die Amazon VISA-Kreditkarte ans Herz. Diese wird Ihnen in Kooperation mit der LBB bereitgestellt. (weitere Infos finden Sie auf Amazon.de)

Nutzen Sie zur Hinterlegung Ihrer Kreditkarte bitte den folgenden Link:

Link zum Phishing-Angebot

Bitte beachten Sie, dass Sie Ihr Amazon.de-Kundenkonto ohne hinterlegte Kreditkarte in Zukunft nicht mehr wie gewohnt nutzen können.

Mit freundlichen Grüßen,
Ihr Amazon.de Kundenservice

Soweit, so gut. Entschlüsselt man allerdings den eingefügten Link, der via Button eingebunden wurde, sieht man die Zieladresse amazon-sicherheitsmanager.com. Die Hauptdomain weist keine Inhalte auf, lediglich die verlinkte Subdomain enthält Content, der auf den ersten Blick dem Webangebot von amazon.de gleicht. Auf den zweiten Blick fällt allerdings auf, dass man nicht eingeloggt ist und das Design wirkt ein wenig verschoben.

Als Registrar für die Domain ist ein Matthias Heuer aus Diepholz eingetragen. Die Nameserver laufen allerdings in Russland. Meiner Meinung allerdings ein klarer Phishing-Fall bei dem es lediglich darum geht, die Kreditkartendaten sowie eine Kontoverbindung des amazon-Kunden zu ergaunern. Vorsicht und auf keinen Fall mit Daten absenden!