LEGALAUDIT
Cyber Coach

Phishing

Phishing-Mail: Brand Impersonation und DMARC

Mails, die vorgeben Bank, Post, Steueramt oder Kollege zu sein. Header, SPF, DKIM und DMARC prüfen.

8 Min LesezeitEinsteiger

Warnzeichen

  • Absender mit ähnlicher, aber nicht identischer Domain
  • SPF=fail, DKIM=none oder DMARC=quarantine im Header
  • Link mit freundlichem Text aber anderem realen Ziel
  • Dringende Anfrage nach Zugangsdaten, OTP, Kartendaten oder Passwort-Reset
  • Unerwarteter HTML-, ZIP- oder Makro-Anhang
  • Leicht unnatürliche Sprache oder gemischte Übersetzung
  • Reply-To weicht vom sichtbaren From ab
  • Verweis auf Rechnung oder Vorgang, den Sie nicht kennen

Was jetzt tun

  • Nicht klicken: offizielle Seite manuell öffnen oder installierte App nutzen
  • Vollständigen Header auswerten und SPF/DKIM/DMARC prüfen
  • Nachricht als Anhang an Missbrauch-Postfach oder CERT weiterleiten
  • Bei Kompromittierung: Passwort ändern, Hardware-2FA aktivieren, Weiterleitungsregeln prüfen
  • Original-EML als forensischen Beweis sichern (Hash, Zeitstempel, Header)
  • Kollegen oder Familie warnen, wenn relevant

Echter Fall

Falsche Steueramt-Mail, Frühjahr 2025

Ein italienischer KMU erhält eine scheinbar offizielle Steueramt-Mail mit dem Betreff 'F24-Rückerstattung blockiert - Aktion in 24h'. Logo perfekt, Ton formell, Link zu 'agenziaentrate-rimborsi.servizi-fiscali.cloud'.

Die Buchhalterin folgt dem Link, gibt Firmen-Steuerportal-Zugangsdaten und einen SMS-OTP ein. Innerhalb von 12 Stunden geben die Täter vier Vollmachten an einen Phantom-Vermittler aus und exfiltrieren Mehrwertsteuerdaten. Das CERT hatte die Domain 72 Stunden zuvor gemeldet.

Die forensische Analyse zeigte: Domain 5 Tage vor dem Angriff bei einem Offshore-Registrar eingetragen, SPF fail, fehlendes DKIM, Versand-IP aus bekanntem Bulletproof-Hosting. Mythos rekonstruierte die Beweiskette für die Strafanzeige.

Was Mythos in diesem Fall kann

  • SMTP-Header-Analyse mit SPF/DKIM/DMARC und Received-Chain
  • Domain-Reputation, Registrierungshistorie und WHOIS
  • URL-Extraktion, Redirect-Chain, Landing-Screenshot und Fingerprint
  • Klassifizierung der Brand Impersonation und CERT-Abgleich
  • Signiertes PDF-Dossier für Strafanzeige

Nächste Schritte

Mail mit Mythos analysierenLektion: Phishing in 60 Sekunden erkennen