// Ratgeber
Kleinanzeigen-Phishing: ein Fall aus der Praxis — erkennen, analysieren, melden
Eine E-Mail im Namen von „Kleinanzeigen“ drohte mit der Sperrung des Kontos und forderte zur „Profil-Verifizierung“ auf. Der Link führte über einen echt wirkenden Google-Weiterleiter (share.google) auf eine Fälschungsseite — eine bewusste Technik, um Spam- und Reputationsfilter zu umgehen. Anhand dieses realen Falls zeigen wir, wie ein solcher Angriff aufgebaut ist, wie er sicher analysiert wird und was Sie im Ernstfall tun sollten.
Aktualisiert: 2026-07-11
Sofortmaßnahmen
- 1E-Mail prüfen statt klicken: Absenderadresse, Anzeigename und technische Kopfzeilen (u. a. DKIM/SPF) entlarven den Markenmissbrauch — hier ein Freemail-Konto statt einer echten Kleinanzeigen-Adresse.
- 2Den Link nicht im Alltagsbrowser öffnen: Zunächst wird nur die Zieladresse betrachtet — der Weg führte über share.google (Google-Weiterleiter) auf eine fremde Domain.
- 3Die Seite isoliert analysieren: in einer abgeschotteten Umgebung, nie über das eigene Gerät oder die eigene IP, damit keine Daten preisgegeben werden.
- 4Tarnung (Cloaking) erkennen: Die Seite zeigte Prüfsystemen eine harmlose Alibi-Seite und nur echten mobilen Opfern in Deutschland die gefälschte Login-Maske.
- 5Die Infrastruktur einordnen: Registrierungsdatum, Registrar, Hosting-Fronting und TLS-Zertifikate belegten eine wenige Wochen alte Wegwerf-Domain mit einem einzigen Zweck.
- 6Meldeketten auslösen: Hosting-/Proxy-Anbieter, Registrar, Browser-Schutz (Safe Browsing) und Melde-Netzwerke (u. a. Verbraucherzentrale Phishing-Radar, APWG) informieren.
- 7Das eigene Postfach absichern: Absender und Phishing-Domain am Mail-Gateway blockieren und den Vorfall dokumentieren.
Was Sie nicht tun sollten
- Nicht auf Links in Sperr- oder „Verifizierungs“-Mails klicken — seriöse Anbieter drohen nicht mit sofortiger Löschung.
- Keine Zugangsdaten auf einer Seite eingeben, die Sie über einen E-Mail-Link erreicht haben.
- Sich nicht von einer bekannten Marke im Anzeigenamen täuschen lassen — die echte Absenderadresse zählt.
- Verkürzten oder Weiterleiter-Links (auch scheinbar von großen Anbietern) nicht blind vertrauen.
- Verdächtige Mails nicht einfach löschen — für eine Meldung sind die vollständigen Kopfzeilen wertvoll.
Wann professionelle Hilfe sinnvoll ist
SKOPION verifiziert verdächtige Nachrichten, analysiert Phishing-Infrastruktur isoliert und ohne Risiko für Ihre Geräte, ordnet die Angreifer-Infrastruktur ein und stößt die passenden Meldeketten zur Abschaltung an — dokumentiert und nachvollziehbar. Wir arbeiten ausschließlich passiv und aus extern zugänglichen Quellen; wir scannen oder verändern Ihre Systeme nicht.
Kontakt aufnehmenHäufige Fragen
- Woran erkenne ich eine gefälschte Kleinanzeigen-Mail?
- An der echten Absenderadresse (oft ein Freemail-Konto statt einer @kleinanzeigen.de-Adresse), an Drohkulisse und Zeitdruck sowie an Links, die über Weiterleiter auf fremde Domains führen.
- Warum wirkt der Link wie von Google?
- Angreifer missbrauchen Weiterleiter großer Anbieter (hier share.google), damit der Link vertrauenswürdig aussieht und Filter passiert. Das Ziel ist trotzdem eine fremde Phishing-Domain.
- Was bedeutet „Cloaking“?
- Die Phishing-Seite zeigt Prüfsystemen eine harmlose Alibi-Seite und nur den echten Zielopfern die betrügerische Login-Maske — das erschwert die Erkennung und verlängert die Lebensdauer der Seite.
- Ich habe geklickt — was jetzt?
- Keine Daten eingeben und die Seite schließen. Falls doch Zugangsdaten eingegeben wurden: sofort das betroffene Passwort von einem sauberen Gerät ändern und Zwei-Faktor-Authentifizierung aktivieren. Den Vorfall dokumentieren.