Phishing-Mails von vor zehn Jahren waren leicht zu erkennen — krude Übersetzungen, schiefes Layout, falsche Logo-Auflösung. Davon ist nichts mehr übrig. Generative Sprachmodelle liefern perfektes Deutsch, frei verfügbare HTML-Klone der großen Anbieter sind eine Minute Arbeit, kostenlose TLS-Zertifikate machen jede Phishing-Domain optisch seriös. Die Erkennung muss heute auf strukturelle Merkmale setzen, nicht auf Schönheits-Fehler. Dieser Artikel zeigt, worauf du wirklich noch achten kannst — am Desktop und auf dem Smartphone.
Warum die alten Tipps nicht mehr reichen
Drei Tipps, die im 2015er-Sicherheits-Quiz noch funktioniert haben — und heute fast nutzlos sind:
- „Schlechtes Deutsch ist verdächtig." ChatGPT und Konkurrenten formulieren in akzentfreiem Geschäfts-Deutsch. Spelling-Mistake-Phishing ist eine aussterbende Art.
- „HTTPS heißt vertrauenswürdig." Let's Encrypt stellt kostenlos Zertifikate aus — über 90 Prozent aller Phishing-Domains haben heute ein gültiges TLS-Zertifikat. Das grüne Schloss bedeutet nur, dass deine Verbindung verschlüsselt ist; nicht, dass die Seite legitim ist. Siehe sicherheits-mythen.
- „Achten auf das Logo." Hochauflösende Logos lassen sich in zwei Klicks vom Original der Bank ziehen. Layout-Klone von Amazon-, PayPal-, Microsoft-Login-Seiten gibt es als fertige Phishing-Kits.
Was bleibt zuverlässig: die Domain in der URL, die Plausibilität der Geschichte, die Kongruenz zum Kontext (Erwartest du diese Mail? Hast du ein Konto dort? Ist die Anrede in dem Tonfall, den dieser Anbieter sonst nutzt?).
Die URL ist der wichtigste Hinweis
Die meisten Phishing-Angriffe scheitern an einem einzigen Punkt: Wenn du vor dem Klick prüfst, welche Domain dahinter steht — und ob es die echte ist —, fällst du nicht herein.
Wo du die Ziel-Domain siehst, bevor du klickst:
- Desktop-Mail-Client (Thunderbird, Outlook, Apple Mail) — Maus über den Link, ohne zu klicken. Die Ziel-URL erscheint in der Statusleiste oder als Tooltip.
- Webmail im Browser (Gmail, Outlook.com, ProtonMail) — gleiches Hover-Verhalten. Status-Leiste unten links zeigt die Ziel-URL.
- Mobile — Link lange drücken (iOS: drücken und halten, Android: lange tippen) öffnet eine Vorschau mit voller URL.
Die Ziel-Domain steht direkt vor der letzten TLD (Top-Level-Domain). Beispiel:
https://login.paypal.com.security-verify.tk/auth?token=abc
\_____/\___________________________________/\___/\__________/
Scheme Voller Host Pfad Query
Echte Domain ist: security-verify.tk
login.paypal.com ist hier nur eine SUBDOMAIN von .tk!Das ist der häufigste Trick: die Phishing-Domain enthält den Namen des echten Anbieters als Subdomain — paypal.com.example.de, microsoft.com.login-help.io. Beim flüchtigen Hinsehen scheint links die echte Marke zu stehen. Erst die letzte Domain vor dem ersten / ist die wahre Identität.
Homoglyphen und Punycode
Wenn die Domain selbst gefälscht wird, kommen oft visuell ähnliche Zeichen zum Einsatz:
| Original | Fälschung | Trick |
|---|---|---|
| paypal.com | paypal.com mit großem L statt kleinem I | l/I/1 sehen in vielen Schriftarten gleich aus |
| amazon.com | amazon.com mit kyrillischem „о" | Punycode: xn--amazn-mxc.com |
| microsoft.com | rnicrosoft.com | „rn" sieht aus wie „m" |
| google.com | google.com mit doppeltem unicode-o | nur am Pixel-Niveau erkennbar |
| sparkasse.de | sparkassё.de | mit kyrillischem ё |
Punycode ist die offizielle Repräsentation für internationale Domain-Namen (IDN). Eine kyrillische xn--amazn-mxc.com sieht nach dem Rendering durch den Browser nahezu identisch aus wie das Original — der Trick heißt IDN Homograph Attack. Moderne Browser haben Schutz dagegen: wenn eine Domain Zeichen aus gemischten Schriftsystemen oder verdächtige Mischungen enthält, zeigen sie statt der gerenderten Form die Roh-Punycode-Variante (xn--...). Aber: dieser Schutz ist heuristisch und nicht lückenlos.
Praktischer Reflex: bei wichtigen Login-Aktionen die Domain selbst tippen oder aus einem eigenen Bookmark öffnen. Nicht den Link in der Mail klicken.
Display-Name-Spoofing
Eine Mail kann mit beliebigem Absender-Namen versendet werden — der Anzeigename ist im SMTP-Protokoll frei wählbar. Du siehst:
Von: Volksbank Stuttgart <info@volksbank-stuttgart-security.cc>
Der Anzeigename suggeriert die Bank; die tatsächliche Mail-Adresse ist eine fremde Domain. Auf Mobile-Geräten wird die Mail-Adresse oft komplett ausgeblendet — Display-Name-Spoofing ist eines der erfolgreichsten Phishing-Verfahren auf Smartphones.
Was du prüfen solltest:
- Mail-Adresse in voller Länge ansehen. Mobile-Apps: Absender antippen, Detail-Ansicht öffnen.
- Domain hinter dem
@prüfen — passt sie zur erwarteten Marke? - Reply-To-Header. Manche Phisher zeigen einen echten Absender, leiten Antworten aber an eine andere Adresse. In den meisten Mail-Apps unter „Quelltext zeigen" oder „erweiterte Header" sichtbar.
Echte Mail-Domains der bekannten Anbieter:
| Anbieter | Echte Domain (Beispiele) |
|---|---|
| PayPal Deutschland | @paypal.de, @paypal.com, @e.paypal.de (Marketing) |
| Amazon Deutschland | @amazon.de, @email.amazon.de, @marketplace.amazon.de |
| Microsoft | @microsoft.com, @account.microsoft.com, @accountprotection.microsoft.com |
| Apple | @apple.com, @email.apple.com, @id.apple.com |
| Sparkasse / Volksbank | Lokal unterschiedlich, immer .de-Endung, oft online-banking.<institut>.de |
| Telekom | @telekom.de, @t-online.de, @nachrichten.telekom.de |
| DHL Deutschland | @dhl.de, @meine.dhl.de, @info.dhl.de |
Bei Verdacht: Domain in der Mail in einer anderen Browser-Tab in die Suchmaschine eintippen — wenn niemand außer dir diese Domain je gesehen hat, ist sie höchst verdächtig.
Die typischen Druck-Signale
Wenn die URL und der Absender unauffällig wirken, lohnt der Blick auf den Text-Inhalt. Phishing-Mails arbeiten fast immer mit einer oder mehreren der folgenden Druck-Achsen:
- Zeit-Druck. „Innerhalb von 24 Stunden", „letzte Mahnung", „sofort handeln, sonst …". Echte Banken und Behörden geben Fristen von Tagen oder Wochen, nicht Stunden.
- Konsequenz-Drohung. „Konto wird gesperrt", „Karte wird deaktiviert", „rechtliche Schritte". Soll Panik erzeugen.
- Bequemlichkeits-Köder. „Bestätigen Sie nur kurz Ihre Daten", „Verifizieren Sie Ihre Identität", „Klicken Sie hier zur Reaktivierung". Niedrigschwellig formuliert, damit der Klick kein „großes Ding" wirkt.
- Ungewöhnliche Aktivität. „Wir haben eine ungewöhnliche Anmeldung bemerkt", „Eine Transaktion über X Euro wurde von einem neuen Gerät durchgeführt". Spielt mit echter Vorsicht — und manipuliert sie zum eigenen Vorteil.
- Gewinn-Versprechen. „Sie haben gewonnen", „Erstattung X Euro steht bereit", „Bonus-Aktion". Weniger verbreitet, aber bei manchen Zielgruppen sehr wirksam.
Faustregel: echter Anbieter, der ein Sicherheits-Problem mit deinem Konto hat, will nicht, dass du klickst — er will, dass du selbst auf seine Webseite gehst und dort einloggst. Eine Mail, die dich zum Login drängt, ist genau das Verhalten, das echte Banken vermeiden — und das echte Phishing maximiert.
Mobile-Erkennung: schwerer und wichtiger
Auf dem Smartphone ist Phishing-Erkennung systematisch schwerer:
- URLs werden gekürzt. Mobile-Browser zeigen oft nur die Domain ohne die ersten Subdomains, manchmal auch nur ein Teil der Adressleiste.
paypal.com.security-help.tkkann alspaypal.com…erscheinen. - Absender wird oft nur als Display-Name angezeigt, ohne die Mail-Adresse.
- Bildschirm ist klein, Aufmerksamkeit fragmentiert, Mail oft im Vorbeigehen gecheckt.
- Hover gibt es nicht. Stattdessen Long-Press — den viele nicht intuitiv nutzen.
Praktische Mobile-Reflexe:
- Bei Verdacht nie sofort klicken. Lieber die Mail später am Desktop aufmachen, wo die URL und der vollständige Absender sichtbar sind.
- Bei Banken-, Provider-, Behörden-Mails: nie über den Link einloggen. Lieber die App des Anbieters öffnen oder die Domain selbst tippen.
- Long-Press auf einen Link zeigt iOS und Android die volle Ziel-URL — Reflex wert, geübt zu werden.
- Mobile-Mail-Apps mit Phishing-Erkennung nutzen — die offiziellen Apple-Mail-, Gmail-, Outlook-Apps integrieren Anbieter-seitige URL-Datenbanken.
Eine konkrete Prüf-Sequenz
Wenn du eine verdächtige Mail bekommst — diese 30 Sekunden vor jedem Klick:
- Erwarte ich diese Mail? Wenn nein: Misstrauen-Score hoch.
- Macht der Anbieter so etwas normalerweise per Mail? Banken-Sperrungen über Mail-Links sind sehr ungewöhnlich.
- Steht die echte Domain rechts vom letzten Punkt vor dem ersten Slash? Wenn ich die Maus hovere oder lang drücke: Was steht da?
- Stimmt die Absender-Mail-Adresse? Volle Adresse, nicht nur der Display-Name.
- Wird Zeitdruck aufgebaut? „24 Stunden", „sofort", „letzte Warnung" — sehr verdächtig.
- Persönliche Anrede mit echtem Namen, nicht nur „Sehr geehrter Kunde"? Echte Banken kennen deinen Namen — das schließt Phishing nicht aus, aber Massen-Mails mit anonymer Anrede sind ein deutliches Signal.
Wenn auch nur zwei Punkte verdächtig sind: nicht klicken. Im Zweifel direkt die offizielle Webseite des Anbieters oder die App nutzen — dort siehst du, ob es das beschriebene Problem wirklich gibt.
Häufige Stolperfallen
QR-Codes im PDF-Anhang werden gerade Mode
Statt einer Phishing-URL im Mail-Text schicken Angreifer ein PDF-Dokument mit einem QR-Code („Bitte scannen Sie zum Login"). Das umgeht E-Mail-URL-Scanner, weil der Link nicht im Mail-Text steht. Aufpassen: QR-Codes in unerwarteten Anhängen sind oft Phishing. Siehe QR-Codes und Quishing.
Reply-To-Header als verstecktes Signal
Manche Phisher fälschen den sichtbaren Absender perfekt (z. B. via DMARC-Lücken bei alten Anbietern) — leiten aber Antworten an eine fremde Adresse über den Reply-To-Header. Wer auf eine Mail antwortet, sendet seine Antwort an den Angreifer. Beim leisesten Verdacht: ganzer Quelltext der Mail ansehen.
Echte Microsoft-Mails werden auch nicht persönlich
„Sehr geehrter Kunde" ist nicht zwingend Phishing-Signal — viele große Anbieter (Microsoft, GitHub, Apple) versenden Massen-Mails ohne Namen, weil die DSGVO eine Verwendung des Namens im Massen-Mailing zumindest diskutabel macht. Verlass dich nicht auf die Anrede allein.
DMARC, SPF, DKIM helfen — wenn die Empfänger-Seite sie prüft
Echte Mail-Anbieter (Gmail, Outlook, ProtonMail, Apple Mail-Server) prüfen die SPF/DKIM/DMARC-Records des Absenders. Wenn die Mail einen DMARC-Fehler hat, landet sie meist im Spam — oder bekommt eine Warnung. Wer einen eigenen Mail-Server betreibt, sollte sicherstellen, dass diese Prüfungen aktiv sind. Auf Endnutzer-Seite: Warnungs-Banner („Diese Mail kommt von außerhalb Ihrer Organisation") nicht reflexhaft wegklicken.
Generative KI als Phishing-Beschleuniger
Studien aus 2023/24 zeigen, dass mit GPT-Modellen erzeugte Phishing-Mails Klick-Raten um den Faktor 2–3 höher haben als handgeschriebene Massen-Versionen. Die Mail ist plausibler, individueller, schreibstilistisch näher am Empfänger. Bedeutet für Empfänger: nicht auf Stil-Brüche verlassen, auf Struktur achten (URL, Absender, Erwartung).
Phisher kaufen Look-alike-Domains aktiv
Domain-Registrare wie GoDaddy, Namecheap, Porkbun werden täglich für Hunderte neu registrierte Look-alike-Domains genutzt. Wer eine Marke betreibt, sollte die häufigsten Tippfehler-Varianten der eigenen Domain selbst registrieren (Defensive Domain Registration). Wer nicht: die Wahrscheinlichkeit ist hoch, dass jemand anderes sie für Phishing nutzt.
Browser-Adressleiste zeigt URL — aber nicht den Tab-Titel
Phishing-Seiten setzen oft einen Tab-Titel wie „PayPal Login" — der erscheint in Lesezeichen oder bei Tab-Übersichten und kann Nutzer:innen täuschen. Verlass dich auf die Adressleiste, nicht auf den Tab-Titel.
Weiterführende Ressourcen
Externe Quellen
- BSI – Wie erkenne ich Phishing-E-Mails
- Verbraucherzentrale – Phishing-Radar
- Anti-Phishing Working Group – Trends Reports
- Unicode Technical Standard #39 – IDN Homograph Attacks
- Google Safe Browsing
- Microsoft Defender SmartScreen
- PhishTank – Community-Datenbank gemeldeter Phishing-URLs