Vorsicht bei neuartigem E-Mail-Betrug
(Aktualisiert am 04.10.2025) Mit einer angeblichen „Treuepunkte“-Aktion waren diese Täter schon am Jahresanfang sehr aktiv. Jetzt verstecken sie sich hinter einer Sicherheitswarnung per E-Mail.
Die Masche ist leider nicht nur perfide, sondern auch nicht so leicht zu durchschauen. Die Täter gehen in zwei Schritten vor. Zunächst unternehmen sie einen realen Versuch, sich bei einem E-Mailkonto anzumelden. Das tun sie aber lediglich, um einen so genannten Wiederherstellungscode an eben dieses Konto senden zu lassen. Da dieser automatisierte Versand von authentischen Systemen erfolgt, wirkt auch der nächste Schritt schlüssig. Die Täter lassen der ersten, echten Mail eine zweite folgen. Diese Phishingmail versenden sie jedoch selbst.
Diese Mail hat es wahrlich in sich
Es handelt sich um eine angebliche Warnung vor einem unautorisierten Zugriffs-Versuch auf das E-Mailkonto. Doch diese Mail besteht bei genauem Hinsehen lediglich aus dem Bild einer realen Nachricht. Dieses Bild ist mit einer Phishing-Seite im Internet verknüpft. Konnte man bisher auf den ersten Blick sehen, dass es sich um eine Phishing-Versuch handelt, so haben die Täter sich auch dabei mehr Mühe gegeben. Als Absenderadresse erscheint in den meisten E-Mailprogrammen lediglich do_not_reply@telekom.de. Diese Adresse ist manipuliert und enthält eigentlich viel mehr Zeichen. Mit einem Trick zeigen die E-Mailprogramme aber lediglich die auf den ersten Blick valide Telekom-Funktionsadresse als Absender an.
Wer ist der wahre Absender?
Dieser Trick ist nicht dadurch zu entlarven, dass man mit dem Mauszeiger über die Absende-Adresse fährt, um die wahre Identität anzuzeigen. Entscheidend ist der so genannte Header, die Kopfzeile einer Nachricht. Doch mit der kennen sich in der Regel nur geübte Nutzerinnen und Nutzer aus. Wer etwa im T-Online E-Mailcenter bei gedrückter Alt-Taste auf den Absender klickt, der bekommt einen Auszug von Details präsentiert. Und dort steht von welcher Adresse die Mail tatsächlich verschickt wurde. Ein Hinweis auf die Täter ist das nicht. Denn in der Regel handelt es sich dabei um ein bereits kompromittiertes Konto, wo Name und Zugangskennung schon in den Besitz der Betrüger gelangt sind.
Täter nutzen Verunsicherung der Opfer aus
[Aktualisierung vom 04.10.2025]
Mittlerweile haben die Betrüger ihr Vorgehen abgewandelt und verschicken Phishing-Mails, die den Opfern ein weiteres Szenario vorspielen. Alle Zutaten, die sie dafür benötigen, haben sie bei Schritt 1 ihrer ursprünglichen Masche eingesammelt. Denn jetzt tun sie so, als hätte eine erfolgreiche Änderung der Wiederherstellungsdaten stattgefunden.
Damit dieses Szenario möglichst echt wirkt, nutzen sie Fragmente der E-Mailadresse und der Telefonnummer ihrer Opfer. Diese sind – so wie es in der Branche üblich ist – als Gedächtnis-Stütze Teil der realen Passwort-Rücksetzung.
Hier ein Screeshot dieser neuen Phishing-Varinate:
Was es den Kundinnen und Kunden einfacher machen soll, ein vergessenes Passwort zu ersetzen, wird nun leider von Betrügern ausgenutzt. Auch dieses Szenario ist ein Bluff, der die Opfer emotional unter Druck setzt. Sie müssen nichts weiter unternehmen und sollten nicht auf Buttons oder Links in diesen Lock-Mails klicken.
Im Zweifel kann es sinnvoll sein, mit einem Browser die Adresse telekom.de aufzusuchen und dort das eigene E-Mailpasswort im Kundencenter zu ändern. Und wo man gerade schon dabei ist, dort auch gleich das Angebot weiterer Sicherheitsfaktoren zu nutzen.
