Zum Inhalt springen
Alle Ratgeber

// Ratgeber

Kleinanzeigen-Phishing: ein Fall aus der Praxis — erkennen, analysieren, melden

Eine E-Mail im Namen von „Kleinanzeigen“ drohte mit der Sperrung des Kontos und forderte zur „Profil-Verifizierung“ auf. Der Link führte über einen echt wirkenden Google-Weiterleiter (share.google) auf eine Fälschungsseite — eine bewusste Technik, um Spam- und Reputationsfilter zu umgehen. Anhand dieses realen Falls zeigen wir, wie ein solcher Angriff aufgebaut ist, wie er sicher analysiert wird und was Sie im Ernstfall tun sollten.

Aktualisiert: 2026-07-11

Sofortmaßnahmen

  1. 1E-Mail prüfen statt klicken: Absenderadresse, Anzeigename und technische Kopfzeilen (u. a. DKIM/SPF) entlarven den Markenmissbrauch — hier ein Freemail-Konto statt einer echten Kleinanzeigen-Adresse.
  2. 2Den Link nicht im Alltagsbrowser öffnen: Zunächst wird nur die Zieladresse betrachtet — der Weg führte über share.google (Google-Weiterleiter) auf eine fremde Domain.
  3. 3Die Seite isoliert analysieren: in einer abgeschotteten Umgebung, nie über das eigene Gerät oder die eigene IP, damit keine Daten preisgegeben werden.
  4. 4Tarnung (Cloaking) erkennen: Die Seite zeigte Prüfsystemen eine harmlose Alibi-Seite und nur echten mobilen Opfern in Deutschland die gefälschte Login-Maske.
  5. 5Die Infrastruktur einordnen: Registrierungsdatum, Registrar, Hosting-Fronting und TLS-Zertifikate belegten eine wenige Wochen alte Wegwerf-Domain mit einem einzigen Zweck.
  6. 6Meldeketten auslösen: Hosting-/Proxy-Anbieter, Registrar, Browser-Schutz (Safe Browsing) und Melde-Netzwerke (u. a. Verbraucherzentrale Phishing-Radar, APWG) informieren.
  7. 7Das eigene Postfach absichern: Absender und Phishing-Domain am Mail-Gateway blockieren und den Vorfall dokumentieren.

Was Sie nicht tun sollten

  • Nicht auf Links in Sperr- oder „Verifizierungs“-Mails klicken — seriöse Anbieter drohen nicht mit sofortiger Löschung.
  • Keine Zugangsdaten auf einer Seite eingeben, die Sie über einen E-Mail-Link erreicht haben.
  • Sich nicht von einer bekannten Marke im Anzeigenamen täuschen lassen — die echte Absenderadresse zählt.
  • Verkürzten oder Weiterleiter-Links (auch scheinbar von großen Anbietern) nicht blind vertrauen.
  • Verdächtige Mails nicht einfach löschen — für eine Meldung sind die vollständigen Kopfzeilen wertvoll.

Wann professionelle Hilfe sinnvoll ist

SKOPION verifiziert verdächtige Nachrichten, analysiert Phishing-Infrastruktur isoliert und ohne Risiko für Ihre Geräte, ordnet die Angreifer-Infrastruktur ein und stößt die passenden Meldeketten zur Abschaltung an — dokumentiert und nachvollziehbar. Wir arbeiten ausschließlich passiv und aus extern zugänglichen Quellen; wir scannen oder verändern Ihre Systeme nicht.

Kontakt aufnehmen

Häufige Fragen

Woran erkenne ich eine gefälschte Kleinanzeigen-Mail?
An der echten Absenderadresse (oft ein Freemail-Konto statt einer @kleinanzeigen.de-Adresse), an Drohkulisse und Zeitdruck sowie an Links, die über Weiterleiter auf fremde Domains führen.
Warum wirkt der Link wie von Google?
Angreifer missbrauchen Weiterleiter großer Anbieter (hier share.google), damit der Link vertrauenswürdig aussieht und Filter passiert. Das Ziel ist trotzdem eine fremde Phishing-Domain.
Was bedeutet „Cloaking“?
Die Phishing-Seite zeigt Prüfsystemen eine harmlose Alibi-Seite und nur den echten Zielopfern die betrügerische Login-Maske — das erschwert die Erkennung und verlängert die Lebensdauer der Seite.
Ich habe geklickt — was jetzt?
Keine Daten eingeben und die Seite schließen. Falls doch Zugangsdaten eingegeben wurden: sofort das betroffene Passwort von einem sauberen Gerät ändern und Zwei-Faktor-Authentifizierung aktivieren. Den Vorfall dokumentieren.

Quellen