Phishing erkennen und melden: Die neuesten Maschen 2026
Juli 2026
Phishing ist 2026 ausgefeilter als je zuvor. Großsprachmodelle (LLMs) ermöglichen es Kriminellen, perfekt formulierte, grammatikalisch fehlerfreie Phishing-Mails in jeder Sprache zu erstellen. Die klassischen Erkennungsmerkmale — schlechte Grammatik, seltsame Formulierungen — funktionieren nicht mehr zuverlässig. Trotzdem gibt es verlässliche Methoden zur Erkennung.
Die neuen KI-gestützten Phishing-Maschen
- Spear-Phishing 2.0: Angreifer scrapen öffentliche Informationen aus LinkedIn, Instagram und anderen Plattformen und erstellen hochpersonalisierte Mails, die auf Ihre Rolle, Interessen oder aktuelle Projekte eingehen.
- Voice-Cloning: KI-generierte Sprachanrufe, die sich als Ihre Bank, Ihr Chef oder Familienmitglied ausgeben. Erkennbar durch unübliche Anfragen und Zeitdruck.
- QR-Code-Phishing: QR-Codes in E-Mails führen auf Phishing-Seiten, die Antivirus-Scannern entgehen, da keine klassische URL enthalten ist.
- Gefälschte Software-Updates: Pop-ups oder Mails mit Aufforderung, einen "dringenden Sicherheitspatch" herunterzuladen.
Verlässliche Erkennungsmerkmale — die noch funktionieren
- Absender-Domain prüfen: amazon-support@notifications-amazon24.de ist nicht Amazon. Die echte Domain ist @amazon.de. Klicken Sie auf den Absendernamen, um die vollständige E-Mail-Adresse zu sehen.
- URL vor dem Klick prüfen: Fahren Sie mit der Maus über Links (kein Klick), um die echte Ziel-URL zu sehen. Achten Sie auf Schreibfehler: paypa1.com, arnazon.de.
- Dringlichkeit und Drohungen: "Ihr Konto wird in 24 Stunden gesperrt" ist ein klares Warnsignal. Seriöse Unternehmen bauen keinen solchen Zeitdruck auf.
- Unerwartete Anfragen: Wenn Ihre Bank plötzlich Ihre vollständige Kreditkartennummer per Mail anfordert — das tut kein seriöses Institut.
Technische Schutzmaßnahmen
- E-Mail-Filter: Gmail, Outlook und andere große Anbieter filtern einen Großteil von Phishing automatisch. Aktivieren Sie alle verfügbaren Sicherheitsfunktionen.
- Anti-Phishing in der Security-Suite: Bitdefender, ESET und Norton bieten Browser-Erweiterungen, die Phishing-URLs in Echtzeit prüfen.
- 2FA als letzter Schutzwall: Selbst wenn Sie auf einen Phishing-Link klicken und Ihr Passwort eingeben — ohne den zweiten Faktor kann der Angreifer sich nicht einloggen.
- Passkeys: Passkeys (FIDO2) sind grundsätzlich phishing-resistent, da der kryptografische Schlüssel an die echte Domain gebunden ist. Nutzen Sie Passkeys, wo immer sie angeboten werden.
Phishing melden
Deutschland: Melden Sie Phishing-Mails an phishing-radar@verbraucherzentrale.nrw (Verbraucherzentrale NRW). Wenn Ihre Bank betroffen ist, informieren Sie diese direkt. Für gefälschte Online-Shops: Bundesnetzagentur und lokale Polizei.