Bedrohungsbeispiele und Phishing-Betrug

Realistische Beispiele von Phishing-Angriffen aus 7 Kategorien. Jedes Beispiel dient Bildungszwecken und verwendet eine sichere Platzhalter-Domain — keine echten schädlichen Links werden gezeigt. Lernen Sie die Taktiken kennen, die Angreifer in der Praxis einsetzen.

Nur zu Bildungszwecken. Alle gezeigten Domainnamen sind fiktive Platzhalter. Kopieren oder besuchen Sie niemals Domains aus Phishing-Beispielen.

  • Datenschutzorientiert
  • Kein Login erforderlich
  • Keine persönlichen Daten erfasst
  • Anonyme Analyse
  • Bildungs-Sicherheitsplattform

21 Beispiele angezeigt

Very High RiskSMSPaketbetrug

Gefälschte DHL-Nachsendegebuhr

Was Sie sehen

DHL: Ihr Paket (DE789012345) konnte nicht zugestellt werden. Zahlen Sie 1,99 Euro Nachsendegebuhr, um die Zustellung umzuplanen: dhl-nachsenden.example-phishing-domain.com

Warum das verdächtig ist
  • DHL erhebt niemals Nachsendegebuhren per SMS-Link.
  • Die Domain dhl-nachsenden.example-phishing-domain.com ist nicht dhl.de oder dhl.com.
  • Ein kleiner Betrag wird absichtlich eingesetzt, um Ihre Wachsamkeit zu senken — die Eingabe von Kartendaten gibt Angreifern Zugriff auf alle Ihre Zahlungsinformationen.
  • Die Sendungsnummer sieht echt aus, hat hier aber keine reale Bedeutung.
Very High RiskSMSPaketbetrug

Zoll-Nachforderung der Deutschen Post

Was Sie sehen

Deutsche Post: Ihr Paket wird aufgrund ausstehender Zollgebuhren in Hohe von 3,50 Euro zuruckgehalten. Jetzt zahlen, um Rucksendung zu vermeiden: post-zoll-de.example-phishing-domain.com

Warum das verdächtig ist
  • Die Deutsche Post kommuniziert Zollgebuhren uber offizielle Kanale und personlich bei der Abholung — nicht per SMS mit externen Links.
  • Die Domain post-zoll-de.example-phishing-domain.com gehort nicht zur Deutschen Post (deutschepost.de).
  • Die Drohung mit der Rucksendung erzeugt Druck fur sofortige Maßnahmen ohne Prufung.
High RiskEmailPaketbetrug

Amazon-Bestellproblem — Adresse verifizieren

Was Sie sehen

Es gibt ein Problem mit Ihrer kurzlichen Amazon-Bestellung (#302-8472910-3827465). Bitte verifizieren Sie Ihre Lieferadresse innerhalb von 24 Stunden, um eine Stornierung zu vermeiden: amazon-bestellung-verify.example-phishing-domain.com

Warum das verdächtig ist
  • Legitime Amazon-Bestellkommunikationen verlinken ausschließlich auf amazon.de oder amazon.com.
  • Die 24-Stunden-Frist ist ein Druckmittel, das Sie zum Handeln bewegen soll, bevor Sie nachdenken.
  • Amazon fordert Sie nie auf, eine Adresse uber eine Nicht-Amazon-Domain zu verifizieren.
Very High RiskEmailMarkenimitation

PayPal-Konto gesperrt — Typosquatting-Absender

Was Sie sehen

Von: PayPal Sicherheit <noreply@paypa1.example-phishing-domain.com> Ihr PayPal-Konto wurde aufgrund ungewohnlicher Aktivitaten eingeschrankt. Verifizieren Sie Ihre Identitat innerhalb von 24 Stunden, um den vollen Zugriff wiederherzustellen.

Warum das verdächtig ist
  • Die Absenderdomain paypa1.example-phishing-domain.com verwendet die Zahl '1' statt des Buchstabens 'l' — das ist Typosquatting.
  • Alle echten PayPal-E-Mails kommen ausschließlich von @paypal.com.
  • 'Konto eingeschrankt' ist einer der haufigsten Druckbegriffe bei PayPal-Imitationsangriffen.
Very High RiskEmailMarkenimitation

Sparkasse Online-Banking-Zugangssperrung

Was Sie sehen

Von: Sparkasse Sicherheitsteam <sicherheit@sparkasse-konto.example-phishing-domain.com> Ihr Online-Banking-Zugang wurde voruberlaufig gesperrt. Bestätigen Sie Ihre Identitat jetzt: sparkasse-konto.example-phishing-domain.com/login

Warum das verdächtig ist
  • Die Sparkasse sendet Sicherheitswarnungen nie per E-Mail mit externen Links — Ihre echten Kontaktdaten finden Sie auf der Ruckseite Ihrer Karte.
  • Die Domain sparkasse-konto.example-phishing-domain.com ist nicht sparkasse.de oder eine offizielle Sparkassen-Domain.
  • 'Voruberlaufig gesperrt' ist ein typischer Angstauslöser, der sofortiges Handeln ohne kritisches Nachdenken provozieren soll.
Very High RiskEmailMarkenimitation

Apple-ID gesperrt — Subdomain-Imitation

Was Sie sehen

Ihre Apple-ID wurde nach mehreren fehlgeschlagenen Anmeldeversuchen von einem unbekannten Gerat gesperrt. Entsperren Sie Ihr Konto sofort: appleid-verify.example-phishing-domain.com

Warum das verdächtig ist
  • Apple-ID-Verwaltung erfolgt ausschließlich uber appleid.apple.com — keine andere Domain ist legitim.
  • Die Subdomain appleid-verify ist darauf ausgelegt, auf den ersten Blick offiziell zu wirken, gehort aber einer fremden Domain.
  • 'Fehlgeschlagene Anmeldeversuche, die Sie nicht vorgenommen haben' ist eine Angsttaktik, die Sie zur sofortigen Handlung verleiten soll.
Very High RiskQR CodeQR-Betrug

Gefälschter Knöllchen-QR-Code

Was Sie sehen

QR-Code auf einem Verwarngeld-Zettel → parkbusse-zahlen.example-phishing-domain.com 'Scannen Sie den QR-Code, um Ihr Verwarngeld zu bezahlen. Unbezahlte Bußgelder erhohen sich um 50%.'

Warum das verdächtig ist
  • Offizielle Bußgeldbescheide verweisen auf Behördenportale oder kommunale Zahlungsseiten — nicht auf externe Domains.
  • QR-Code-Aufkleber werden haufig uber echte Codes auf Knöllchen in Parkhauser geklebt.
  • Die Drohung mit Erhohung schafft Dringlichkeit und verhindert die Prufung, ob die Domain legitim ist.
High RiskQR CodeQR-Betrug

Manipulierter Restaurant-QR-Code

Was Sie sehen

QR-Code-Aufkleber auf einem Restauranttisch → restaurant-bestellen.example-phishing-domain.com/login 'Melden Sie sich an, um die Speisekarte zu sehen und zu bestellen.'

Warum das verdächtig ist
  • Restaurantspeisekarten erfordern niemals eine Anmeldung — jeder QR-Code, der zu einer Anmeldeseite fuhrt, ist fast sicher bösartig.
  • Angreifer platzieren Aufkleber-QR-Codes uber legitimen Restaurant-Codes; der Austausch ist oft nicht erkennbar.
  • Der /login-Pfad ist ein klares Warnsignal — es gibt keinen legitimen Grund, fur eine Speisekarte Zugangsdaten einzugeben.
Very High RiskQR CodeQR-Betrug

E-Mail-QR-Code umgeht Sicherheitsscanner

Was Sie sehen

E-Mail-Text (angeblich von Microsoft): 'Aus Sicherheitsgrunden haben wir den Anmeldelink deaktiviert. Bitte scannen Sie den QR-Code unten, um Ihre Microsoft-Konto-Identitat zu verifizieren.' [QR-Bild] → microsoft-konto-verify.example-phishing-domain.com

Warum das verdächtig ist
  • QR-Codes in E-Mails sind speziell darauf ausgelegt, E-Mail-Sicherheitsscanner zu umgehen, die Links prufen, aber keine eingebetteten Bilder lesen konnen.
  • Microsoft-Konto-Verifizierung erfordert niemals das Scannen eines QR-Codes aus einer unaufgeforderten E-Mail.
  • Die Zieldomain ist nicht microsoft.com oder eine bekannte Microsoft-Eigenschaft.
High RiskEmailE-Mail-Phishing

Gefälschte Rechnung von unbekanntem Absender

Was Sie sehen

Betreff: Rechnung RE-2024-8821 — Zahlung erforderlich Im Anhang finden Sie Ihre Rechnung fur erbrachte Leistungen. Zahlung bestatigen oder Rechnung anfechten unter: rechnungsportal.example-phishing-domain.com Fälliger Betrag: 1.240,00 Euro. Falligkeitsdatum: 3 Tage.

Warum das verdächtig ist
  • Legitime Rechnungen kommen von bekannten Geschaftskontakten mit nachprufbaren Unternehmensdomains — nicht von externen Zahlungsportalen.
  • Eine unerwartete Rechnung mit 3-Tage-Frist ist eine typische Taktik bei Business-E-Mail-Kompromittierung.
  • Die Eingabe von Zahlungsdaten oder Zugangsdaten auf dem Portal gibt Angreifern vollen Zugriff auf Ihre Finanzen.
Very High RiskEmailE-Mail-Phishing

HR-Gehaltsabrechnung — Interne Imitation

Was Sie sehen

Von: Personalabteilung <hr-lohn@example-phishing-domain.com> Liebe Kolleginnen und Kollegen, Wir migrieren zu einem neuen Gehaltsabrechnungssystem. Bitte aktualisieren Sie Ihre Bankverbindung bis Tagesende: lohn-update.example-phishing-domain.com

Warum das verdächtig ist
  • Personalabteilungen aktualisieren Bankverbindungen uber interne, verifizierte Systeme — niemals uber externe Links per E-Mail.
  • Die Frist 'bis Tagesende' erzeugt kunstliche Dringlichkeit, typisch fur Social-Engineering-Angriffe.
  • Die Eingabe Ihrer Bankverbindung auf der Seite wurden Ihre Gehaltszahlungen auf ein Angreiferkonto umleiten.
High RiskEmailE-Mail-Phishing

Unaufgeforderter Passwort-Reset-Link

Was Sie sehen

Betreff: Passwort-Reset-Anfrage Jemand hat einen Passwort-Reset fur Ihr Konto angefordert. Wenn das Sie waren, klicken Sie hier, um ein neues Passwort festzulegen: konto-reset.example-phishing-domain.com Wenn Sie das nicht angefordert haben, konnen Sie diese E-Mail ignorieren.

Warum das verdächtig ist
  • Ein echter Passwort-Reset-Link kommt von der eigenen Domain des Dienstes — nicht von einer fremden externen Seite.
  • 'Wenn Sie das nicht angefordert haben, ignorieren Sie diese E-Mail' soll verhindern, dass Sie den Link genau prüfen.
  • Der Klick auf den Link fuhrt zu einer gefälschten Anmeldeseite, die unter dem Vorwand des Resets Ihre aktuellen Zugangsdaten abgreift.
Very High RiskSMSSMS-Phishing

Bankalarm — Verdachtige Kontoaktivitat

Was Sie sehen

ING: Verdachtige Aktivitat wurde auf Ihrem Konto mit der Endung 4821 erkannt. Ihre Karte wurde voruberlaufig gesperrt. Verifizieren Sie Ihre Identitat sofort: ing-sicher-verify.example-phishing-domain.com

Warum das verdächtig ist
  • Banken kontaktieren Kunden bei Kontoproblemen uber ihre offizielle App, die Nummer auf der Ruckseite Ihrer Karte oder per Brief — niemals per SMS-Link.
  • Die Domain ing-sicher-verify.example-phishing-domain.com ist nicht ing.de oder eine ING-eigene Domain.
  • 'Gesperrte Karte' ist ein Hochdruckmittel, das sofortiges Handeln ohne kritisches Nachdenken auslösen soll.
High RiskSMSSMS-Phishing

Gewinnbenachrichtigung

Was Sie sehen

Herzlichen Gluckwunsch! Sie wurden ausgewahlt, einen 500-Euro-Amazon-Gutschein als Teil unseres Treueprogramms zu erhalten. Fordern Sie Ihre Pramie innerhalb von 24 Stunden ein: amazon-treue-pramie.example-phishing-domain.com/einfordern

Warum das verdächtig ist
  • Amazon sendet keine unaufgeforderten Gewinnbenachrichtigungen per SMS mit externen Links.
  • Die 24-Stunden-Frist ist eine klassische Dringlichkeitstaktik, um Sie daran zu hindern, das Angebot zu uberprufen.
  • Die Einlöseseite fragt nach personlichen Daten oder einer kleinen 'Bearbeitungsgebuhr', um Ihre Daten abzugreifen.
High RiskSMSSMS-Phishing

Kontogesperrung durch Sicherheitscheck

Was Sie sehen

Ihr Konto wurde aufgrund eines fehlgeschlagenen Sicherheitschecks gesperrt. Ihr Zugang wird in 12 Stunden dauerhaft widerrufen, wenn Sie Ihre Identitat nicht verifizieren: konto-verify-jetzt.example-phishing-domain.com

Warum das verdächtig ist
  • Es wird kein bestimmter Anbieter genannt — die Nachricht setzt auf allgemeine Kontoangst, um bei möglichst vielen Empfangern eine Reaktion auszulösen.
  • 'Dauerhaft widerrufen in 12 Stunden' ist eine erfundene Frist, die Panik erzeugen soll.
  • Legitime Dienste sperren Konten nie aufgrund von Sicherheitschecks, die per anonymen SMS-Link kommuniziert werden.
Very High RiskSMSBehördenbetrug

Finanzamt — Steuerruckerstattung

Was Sie sehen

Finanzamt: Nach Prufung Ihrer Steuerzahlungen haben Sie Anspruch auf eine Ruckerstattung von 312,40 Euro fur das Steuerjahr 2023. Fordern Sie Ihre Ruckerstattung unter: finanzamt-rueckzahlung.example-phishing-domain.com an.

Warum das verdächtig ist
  • Das Finanzamt zahlt Steuerruckerstattungen direkt auf Ihr Bankkonto aus — Sie mussen nie einen Link besuchen, um eine Erstattung 'einzufordern'.
  • Behorden versenden keine Erstattungsbenachrichtigungen per SMS mit externen Links.
  • Der genaue Ruckerstattungsbetrag ist enthalten, um die Nachricht glaubwurdig und personalisiert wirken zu lassen.
High RiskEmailBehördenbetrug

Fahrerlaub nisverlängerung — Behördenbetrug

Was Sie sehen

Betreff: Ihr Fuhrerschein ablauft — Verlängerung erforderlich Ihr Fuhrerschein lauft am 14. März 2025 ab. Schließen Sie Ihre Verlängerung ab und zahlen Sie die Gebuhr online: fuehrerschein-verlaengern.example-phishing-domain.com

Warum das verdächtig ist
  • Die Verlängerung des Fuhrerscheins erfolgt ausschließlich uber offizielle Behördenportale oder personlich bei der Fahrerlaubnisbehorde.
  • Behorden senden keine E-Mails mit externen Zahlungslinks fur Fuhrerscheinverlängerungen.
  • Das gefälschte Portal sammelt Ihre personlichen Daten, Fuhrerscheinnummer und Zahlungsinformationen.
Very High RiskSMSBehördenbetrug

Burgergeld-Zahlung ausgesetzt

Was Sie sehen

Jobcenter: Ihre Burgergeld-Zahlung wurde aufgrund unvollstandiger Verifizierungsdaten ausgesetzt. Aktualisieren Sie Ihre Angaben innerhalb von 48 Stunden, um den Verlust Ihrer Zahlung zu vermeiden: jobcenter-uc-update.example-phishing-domain.com

Warum das verdächtig ist
  • Das Jobcenter kommuniziert mit Burgergeld-Beziehern uber das offizielle Portal oder per Brief — nicht per SMS mit externen Links.
  • 'Ausgesetzte Zahlung' erzeugt extremen finanziellen Druck fur sofortiges Handeln.
  • Das gefälschte Portal ist darauf ausgelegt, Sozialversicherungsnummern, Bankverbindungen und personliche Daten abzugreifen.
Very High RiskDownloadMalware-Verbreitung

Rechnungs-PDF mit versteckter .exe-Endung

Was Sie sehen

E-Mail-Anhang: Rechnung_2024-3371.pdf.exe 'Anbei finden Sie Ihre Rechnung zur sofortigen Zahlung. Gesamtbetrag: 4.850,00 Euro. Bei Ruckfragen stehen wir zur Verfugung.'

Warum das verdächtig ist
  • Die Datei wurde benannt, um wie eine PDF-Rechnung auszusehen, die echte Endung ist jedoch .exe — ein ausfuhrbares Programm, kein Dokument.
  • Doppelte Endungen werden verwendet, um Malware als legitime Dateien zu tarnen; Windows blendet bekannte Endungen standardmaßig aus, sodass .pdf.exe als .pdf erscheint.
  • Das Ausfuhren dieser Datei gibt dem Angreifer die vollstandige Fernsteuerung Ihres Gerates.
Very High RiskLinkMalware-Verbreitung

Gefälschtes Browser-Sicherheitsupdate

Was Sie sehen

'Ihr Browser ist kritisch veraltet und Ihre Verbindung ist nicht sicher. Ein sofortiges Update ist erforderlich, um sicher weiter zu surfen.' [Jetzt aktualisieren] → browser-sicherheit-update.example-phishing-domain.com/ChromeSetup.exe

Warum das verdächtig ist
  • Browser-Updates werden automatisch durch den Browser selbst geliefert — niemals durch ein Website-Popup oder einen unaufgeforderten Link.
  • Der Link ladt eine .exe-Datei herunter, kein echtes Browser-Installationsprogramm.
  • 'Kritisch veraltet' und 'nicht sicher' sind Schreckensphrases, die Ihre Vorsicht uberwinden sollen.
High RiskDownloadMalware-Verbreitung

Bösartige ZIP-Datei in Bewerbung

Was Sie sehen

E-Mail-Betreff: Bewerbung als Senior-Entwickler 'Sehr geehrte Damen und Herren, anbei finden Sie meinen Lebenslauf und mein Portfolio.' Anhang: Lebenslauf_Portfolio_MaxMuster_2024.zip

Warum das verdächtig ist
  • Professionelle Lebensläufe werden als PDF oder Word-Dokument eingereicht — ein ZIP-Archiv von einem unbekannten Absender ist ein Warnsignal.
  • ZIP- und RAR-Archive konnen ausfuhrbare Dateien enthalten, die mit Dokumentsymbolen getarnt sind.
  • Das Öffnen des Archivs und das Ausfuhren einer Datei darin — auch einer namens 'Lebenslauf.pdf' — kann still Malware installieren.

Mehr erfahren

Häufig gestellte Fragen

Sind das echte Phishing-Beispiele?

Diese Beispiele basieren auf echten Angriffsmustern, aber alle Domainnamen wurden durch einen sicheren Platzhalter (example-phishing-domain.com) ersetzt. Es werden keine echten schädlichen Links gezeigt. Die Taktiken, Nachrichtentexte und psychologischen Techniken spiegeln Muster aus realen Angriffen wider.

Wie funktioniert QR-Code-Betrug?

Angreifer ersetzen legitime QR-Codes (an Parkautomaten, Restauranttischen oder auf Druckmaterialien) durch Aufkleber-QR-Codes, die auf schädliche Seiten umleiten. Sie betten QR-Codes auch in Phishing-E-Mails ein, um E-Mail-Sicherheitsfilter zu umgehen, die Links prüfen, aber keine Bilder lesen können.

Warum fordern Paketzustellungsbetrüger immer einen kleinen Betrag?

Ein kleiner Betrag (1,99 €, 2,40 €) wird bewusst verwendet, damit der Betrug harmlos und plausibel wirkt. Das Ziel sind aber nicht die 2 € — sondern Ihre Zahlungskartendaten. Sobald Sie diese eingeben, können Angreifer sie für weitaus größere Betrugstransaktionen nutzen.

Wie erkenne ich eine Phishing-SMS von einer echten?

Echte SMS-Nachrichten von Banken, Kurierdiensten und Behörden fordern Sie niemals auf, auf einen Link zu klicken, um Zahlungsdaten oder Anmeldedaten einzugeben. Wenn Sie eine unerwartete Nachricht erhalten, die sofortiges Handeln verlangt, gehen Sie direkt auf die offizielle Website der Organisation, indem Sie die Adresse selbst eingeben — niemals über den bereitgestellten Link.

Was lässt eine Domain auf den ersten Blick legitim aussehen?

Angreifer nutzen verschiedene Tricks: Markennamen in der Subdomain platzieren (paypal.example-phishing-domain.com), Buchstaben durch ähnlich aussehende Zeichen ersetzen (paypa1.com mit '1' statt 'l'), sicherheitsanmutende Wörter hinzufügen (secure, verify, account) oder den Markennamen als Teil einer längeren Domain verwenden (paypal-secure-verify.com).

Was sollte ich tun, wenn ich bereits auf einen verdächtigen Link geklickt habe?

Geben Sie auf der Seite keine Informationen ein. Schließen Sie den Tab sofort. Falls Sie Anmeldedaten eingegeben haben, ändern Sie diese Passwörter sofort und aktivieren Sie die Zwei-Faktor-Authentifizierung. Falls Sie Zahlungsdaten eingegeben haben, kontaktieren Sie sofort Ihre Bank, um möglichen Betrug zu melden. Führen Sie einen Malware-Scan durch, wenn Sie Dateien heruntergeladen haben.

Wie nutze ich den 2check.click-Analyzer für eine verdächtige Nachricht?

Kopieren Sie den Link oder die Nachricht und fügen Sie ihn in den Analyzer auf der Startseite ein. Bei Nachrichten können Sie den vollständigen Text einfügen — der Analyzer extrahiert und prüft alle Links automatisch und analysiert gleichzeitig die Nachrichtensprache auf Betrugsmuster.

Möchten Sie einen verdächtigen Link prüfen?

Link, Nachricht, E-Mail oder QR-Code analysieren →