Zum Inhalt springen
Alle Fallstudien

// Fallstudien

Paket-Zoll-Phishing: die getarnte Betrugsseite hinter der „Zollgebühr“

Eine E-Mail im Namen von „DHL Express“ meldet ein festgehaltenes Paket und verlangt eine geringe „Zollgebühr“ von wenigen Euro. Der Betrag ist bewusst klein, damit er niemandem weh tut. Der Link führt über einen Link-Verkürzer auf eine Seite, die sich mehrfach vor Analyse versteckt: eine Bot-Prüfung, eine Verhaltens- und Geräte-Analyse und am Ende eine Abfrage der Kartendaten. In diesem realen Fall haben wir die echte Betrugsseite isoliert hinter der Tarnung sichtbar gemacht, den Ursprungsserver hinter dem Reverse-Proxy zugeordnet und ein ganzes Cluster verwandter Domains erkannt. Wir nennen keine Namen; im Mittelpunkt steht die Masche.

Aktualisiert: 2026-07-12

Vorgehen im Fall

  1. 1Die Nachricht prüfen statt klicken: echte Zusteller verlangen keine „Zollgebühr“ per E-Mail-Link, und die Absenderadresse gehört selten zur offiziellen Domain.
  2. 2Den Betrag als Köder erkennen: eine ungewöhnlich kleine Gebühr von wenigen Euro senkt die Hemmschwelle — Ziel sind Ihre Kartendaten, nicht die 2,99 €.
  3. 3Den Link nicht im Alltagsbrowser öffnen: zuerst nur die Zieladresse betrachten — der Weg führte über einen Verkürzer auf eine fremde, wenige Tage alte Domain.
  4. 4Die Tarnung einordnen: die Seite zeigt Prüfsystemen zunächst eine Bot-Abfrage und eine „Sicherheitsprüfung“ und nur nach mehreren Hürden die eigentliche Kartenmaske.
  5. 5Die Infrastruktur zuordnen: hinter dem Reverse-Proxy steckt ein realer Ursprungsserver — im Fall Teil eines Clusters aus Dutzenden gleichartiger Betrugsdomains.
  6. 6Meldeketten auslösen: Reverse-Proxy-Anbieter, Hoster des Ursprungsservers, Registrar und Browser-Schutz informieren — mit Belegen zum gesamten Cluster.
  7. 7Bei Dateneingabe sofort handeln: Karte sperren lassen, Bank informieren und den Vorfall dokumentieren.

Das sollten Sie vermeiden

  • Zahlen Sie keine „Zoll-“ oder „Bearbeitungsgebühr“ über einen Link aus einer Paket-Mail oder -SMS.
  • Geben Sie keine Kartendaten auf einer Seite ein, die Sie über einen Weiterleiter-Link erreicht haben.
  • Lassen Sie sich nicht vom kleinen Betrag täuschen — er ist der Köder, nicht das Ziel.
  • Vertrauen Sie einer „Sicherheitsprüfung“ oder einem Bot-Check nicht als Echtheitsbeweis — auch Betrugsseiten setzen sie ein.

Wie SKOPION unterstützt

SKOPION verifiziert verdächtige Nachrichten, macht getarnte Betrugsseiten isoliert und ohne Risiko für Ihre Geräte sichtbar, ordnet den Ursprungsserver hinter Reverse-Proxys und ganze Betreiber-Cluster zu und stößt die passenden Meldeketten zur Abschaltung an — dokumentiert und ausschließlich aus extern zugänglichen Quellen.

Vertraulich anfragen

Häufige Fragen

Warum ist die geforderte Gebühr so klein?
Weil der kleine Betrag die Hemmschwelle senkt. Es geht nicht um die 2,99 €, sondern um die Kartendaten, die Sie auf der Seite eingeben sollen.
Warum zeigt die Seite eine „Sicherheitsprüfung“ oder einen Bot-Check?
Das ist Tarnung: Sie soll automatische Prüfsysteme und Sandkästen abwehren und die echte Kartenmaske nur echten Opfern zeigen — kein Zeichen von Seriosität.
Ich habe Kartendaten eingegeben — was tun?
Sofort die Karte sperren lassen, die Bank informieren, Umsätze beobachten und den Vorfall dokumentieren. Bewahren Sie die Original-Mail mit Kopfzeilen für die Meldung auf.

Quellen