02.06.2026
02.06.2026

Live-Analyse: Wie Betrüger mit verzögerten E-Mails Passwörter fischen

admin 0 Kommentare

Wer heute sein E-Mail-Postfach öffnet, stößt immer häufiger auf dringende Systemmeldungen. Doch Vorsicht: Aktuell kursiert eine besonders raffinierte Phishing-Masche, die gezielt Jagd auf die Login-Daten von Website-Betreibern und Unternehmen macht. Wir haben eine dieser Angriffs-Mails abgefangen und zeigen in einer detaillierten Live-Analyse anhand echter Scandaten, mit welchen psychologischen und technischen Tricks die Betrüger arbeiten – und wie du den Schwindel sofort entlarvst.

Von der Daonware-Redaktion

Stell dir vor, du erwartest eine wichtige Nachricht, aber sie kommt einfach nicht an. Kurz darauf erhältst du eine Mail vom vermeintlichen Kundenservice: „Ausgehende SMTP-Zustellung verzögert – Handlungsbedarf erforderlich„. Genau mit dieser perfekten Kulisse aus künstlichem Zeitdruck und technischem Fachjargon versuchen Cyberkriminelle gerade, Passwörter abzufischen.

Wir haben den Spieß umgedreht, die Mail in eine sichere, isolierte Sandbox gesperrt und den Angriff bis auf die Server-Ebene seziert.

Schritt 1: Der Köder im Postfach (Die „Red Flags“)

Schauen wir uns den Köder genauer an. Auf den ersten Blick wirkt die E-Mail wie eine automatisierte Systembenachrichtung des Mail-Providers:

Vermeintliche Mail vom Kundenservice

Wer hier genau hinsieht, entdeckt sofort die klassischen Warnsignale (die sogenannten „Red Flags“), die bei jedem IT-Sicherheitsexperten die Alarmglocken schrillen lassen:

  • Der Absender verrät alles: Der Anzeigename lautet zwar harmols „Kundenmanagment„, aber die dahinterstehende E-Mail-Adresse lautet cformacao@proinclusao.pl. Ein offizieller Systemdienst würde niemals über eine fremde Domain aus Portugal (.pt) senden. Hier wurde vermutlich ein echtes, schlecht gesichertes Postfach gehackt, um die Spam-Filter der Provider zu umgehen.
  • Der Identitäts-Salat: Im Text widersprechen sich die Betrüger selbst. Mal ist die Rede vom „Ihr WebMail Kundenservice-Team„, zwei Zeilen unten steht plötzlich „Gehostet von GitHub„. Die Angreifer werfen blind mit bekannten Tech-Begriffen um sich, in der Hoffnung, dass das Opfer vor lauter Schreck nicht genau hinsieht.
Schritt 2: Der Klick – Die dynamische URL-Falle & der Design-Schock

Klickt das Opfer auf den Button „Jetzt aktualisieren„, landet es auf einer nachgebauten Login-Maske. Doch hier begehen die Angreifer direkt den nächsten schweren handwerklichen Fehler, der aufmerksame Nutzer sofort stutzig machen sollten:

Die Login-Maske passt optisch überhaupt nicht zum eigenen Postfach! Während die E-Mail vielleicht noch vage nach den eigenen Systemmeldungen aussieht, präsentiert sich die Website plötzlich im Design eines völlig fremden Mail-Anbieters oder als generische, englischsprachige Standard-Maske mit der Aufschrift „Welcome Back“.

Die Anmeldemaske passt nicht zum aktuellen E-Mail Provider

Dieser optische Bruch entsteht, weil die Betrüger dieselbe Falle für Tausende Opfer gleichzeitig nutzen, die alle bei unterschiedlichen Anbietern ihre Postfächer haben. Trotz dieses Design-Schocks greift im Hintergrund ein cleverer technischer Trick.
Die Ziel-URL in der Adresszeile lautet im Kern: hxxps[://]webmailglobal[.]com/logtwo/login[.]html?email=deine-adresse@domain[.]de

Das Geheimnis der dynamischen Parameter

Das Feld für die E-Mail-Adresse ist auf der Website bereits automatisch vorausgefüllt. Das Kuriose: Ändert man hinten in den Text nach den Parameter ?email= in beispielsweise aa@aa.de, spiegelt das Formular live den neuen Wer aa@aa.de wider. Die Angreifer nutzen eine dynamische URL-Parameter-Übergabe. Sie bauen nicht für jedes Opfer eine eigene Seite, sondern ein einziges, universelles Formular, dass sich den Mail-Namen aus der Adresszeile schnappt. Das hat für die Betrüger massive Vorteile:

  1. Psychologische Täuschung: Das Opfer wundert sich zwar vielleich kurz über das fremde Design, sieht dann aber die eigene E-Mail-Adresse im Feld stehen und denkt unwillkürlich „Na ja, wenn meine Adresse schon da steht, wird das System mich wohl irgendwie erkannt haben.“ Die Hemmschwelle, das Passwort einzugeben, sinkt trotz des falschen Layouts.
  2. Massen-Phishing-Skalierung: Ein automatisiertes Skript kann so beim Spam-Versand Millionen personalisierte Links generieren, ohne dass der Hacker für jedes Opfer eine neue Datei programmieren muss.
Schritt 3: Der Blick in den Code der Betrüger

Unser tieferer Blick in das vom Server ausgelierte HTML-Grundgerüst zeigt, wie die Kriminellen vorgehen:

<form class="login-form" id="login-form" autocomplete="off">
  <!-- Email Inputfeld -->
  <div class="input-group" style="border-color: rgb(226, 228, 233); border-radius: 14px;">
    <input type="email" id="login-email" required="" placeholder="email@example.com">
  </div>
  
  <!-- Password Inputfeld -->
  <div class="input-group" style="border-color: rgb(226, 228, 233); border-radius: 14px;">
    <input type="password" id="login-password" placeholder="Password" required="">
  </div>

  <!-- Absendebutton -->
  <button type="submit" class="submit-btn" id="submit-btn" style="background: rgb(74, 108, 247);">
    <span class="btn-text">Sign In</span>
  </button>
</form>

Die Code-Analyse verrät zwei wichtige Details:

Das Formular erzwingt das Attribut autocomplete="off". Die Betrüger wollen damit absichtlich verhindern, dass der Browser des Opfers eigene, im System gespeicherte (und damit korrekte) Zugangsdaten vorschlägt. Sie verlassen sich stattdessen gang auf ihr eigenes Skript, dass die E-Mail aus der URL ausliest und über die ID #login-email injiziert. Sobald der Nutzer sein Passwort eingibt und auf den blauen Button „Sign In“ drückt, wandern die Daten direkt und unverschlüsselt in die Hände der Kriminellen.

Schritt 4: Die digitale Spurensuche im Hintergrund (Sandbox-Ergebnisse)

Um die Serverstruktur hinter dem Angriff aufzudecken, haben wir die bösartige Domain durch die Sicherheits-Sandbox von URLScan.io gejagt. Die dort gesammelten Protokolle liefern eindeutige Beweise für einen kriminellen Hintergrund:

Die forensischen Ergebnisse der URLScan-Analyse – Stand: 02.06.2026

1. Das Alter der Domain: Frisch aus dem Inkubator

Ein Blick auf die Registierungsdaten verrät: Die Domain webmailglobal[.]com wurde erst am 27. Mai 2026 registiert. Zum Zeitpunkt unsere Analyse ist die Seite also gerade einmal wenige Tage alt. Echte, seriöse E-Mail-Provider nutzen Domains, die seit Jahren oder Jahrzehnten existieren. Phishing-Domains werden dagegen in Akkord registiert, ein paar Tage für Angriffe genutzt und wieder fallengelassen, bevor die Sicherheitsbehörden sie sperren können.

2. Infrastruktur und IP-Standort

Der Scan zeigt, dass die Website über den Registator HOSTINGER registiert wurde und insgesamt 7 HTTP-Transaktion ausführt. Die Haupt-IP-Adresse lautet: 198[.]251[.]89[.]82. Interessant ist der geografische Standort: Der Server steht in Luxemburg und ist dem autonomen System PANYNET – FranTech Solutions, US zugeordnet. Umd die Seite optisch abzurunden, lädt das Skript im Hintergrund zusätzlich legale Ressourcen wie Google Fonts (fonts.googleapis.com und fonts.gstatic.com) vom Google-Server nach.

3. Die psychologische Passwort-Sicherung der Hacker

Die Text- und Ablaufanalyse der Sandbox legt eine besonders perfide Vorgehensweise offen. Wenn das Opfer sein Passwort eingibt und das erste Mal absendet, ist die Seite so programmiert, dass die immer diese Fehlermeldung ausgibt:

AUTHENTICATION FAILED – The password you entered is incorrect. Please check your credentials and try again.

Der fiese Hintergrund: Die Angreifer wissen, dass Menschen sich bei Passwörtern häufig vertippen. Durch die erzwungene Fehlermeldung verunsichern sie das Opfer. Beim zweiten Versuch gibt der Nutzer sein Passwort extra langsam und garantiert fehlerfrei ein. Die Hacker erbeuten so im Idealfall zwei Varianten des Passworts und stellen sicher, dass sie am Ende die korrekten Daten in ihre Datenbank haben.

Fazit: So schützt du dich vor der WebMail-Falle

Diese Live-Analyse zeigt eindrucksvoll, dass moderne Phishing-Angriffe schon lange nicht mehr an schlechtem Deutsch oder offensichtlich fehlerhaften Logos scheitern. Sie sind technisch dynamisch, hochgradig automatisiert und psychologisch durchdacht.

Die Daonware-Sicherheitsregeln für den Alltag:

  1. Lass dich nicht unter Druck setzen: Warnungen über „verzögerte Zustellung“ oder „Sperrung innerhalb von 24 Stunden“ sind zu 99% Social Engineering, um dich zu unüberlegten Klicken zu verleiten.
  2. Der Blick auf die URL rettet Konten: Ganz egal, wie perfekt das Login-Fenster nachgebaut ist – die Domain in der Adresszeile lügt niemals. Wenn sie nicht exakt der Domain deines echten Mail-Anbieters entspricht: Sofort das Fenster schließen!
  3. Nutze die Zwei-Faktor-Authentisierung (2FA): Selbst wenn Kriminelle dein Passwort über so ein Formular abgreifen, scheitern sie beim Login-Versuch an zweiten Fatkro auf deinem Smartphon, sofern der Anbieter sowas anbietet.

Hast du in letzter Zeit auch eine verdächtige E-Mail erhalten? Schick uns deine Erfahrung oder diskutiere mit uns in den Kommentaren unter diesem Artikel!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert