Phishing-Radar: Aktuelle Warnungen

Stand:
Hier zeigen wir kontinuierlich aktuelle Betrugsversuche, die uns über unser Phishing-Radar erreichen.
Weltkarte unter rotem Radarschirm.
Foto:

panthermedia.net / Ingram Vitantonio Cicorella

On

Verdächtige E-Mails, die Sie selbst erhalten haben, können Sie an die E-Mail-Adresse phishing@verbraucherzentrale.nrw weiterleiten. Die Verbraucherzentrale Nordrhein-Westfalen wertet die eingehenden E-Mails aus. Auf dieser Basis informieren wir über aktuelle Betrugsmaschen. Personenbezogene Daten werden dabei anonymisiert. Bitte beachten Sie, dass wir aufgrund der zahlreichen Eingänge Ihre E-Mails nicht beantworten können.

Leiten Sie eine Phishing-Mail auch gerne an das Unternehmen weiter, dessen Identität in der Mail missbraucht wird. Bei vielen Unternehmen finden Sie eine spezielle Adresse dafür auf der Internetseite, zum Beispiel im Kontakt-Bereich.

Hier finden Sie die bei uns eingegangenen und ausgewerteten Phishing-Beispiele der vergangenen Wochen

Andere Betrugsmaschen (Quishing und Smishing)

Betrugsversuche kommen auch als SMS – dann werden sie Smishing genannt (zusammengesetzt aus SMS und Phishing). Beispiele:

Auch über falsche QR-Codes stellen Kriminelle neue Fallen. Dabei spricht man von Quishing (zusammengesetzt aus QR-Code und Phishing). Hier sind Beispiele.

Unten auf dieser Seite finden Sie Links zu weiteren Informationen, mit denen Sie generell Betrugsversuche entlarven können.

Phishing-Radar in Social Media

Unsere täglichen Warnungen finden Sie auch in der Facebook-Gruppe Phishing-Radar Verbraucherzentrale NRW, auf Mastodon (@phishing_radar@verbraucherzentrale.social) und auf Bluesky (@vznrwphishing.bsky.social).

19. Mai 2026: Angebliche letzte Zahlungsaufforderung zum Deutschlandticket

  • Thema/Betreff: Angeblich sei der monatliche Betrag für das Deutschlandticket nicht eingegangen und müsse nun kurzfristig per Überweisung bezahlt werden. Solche E-Mails sind derzeit vermehrt im Umlauf und werden unter dem Betreff "Letzte Zahlungsaufforderung: Deutschland Ticket“ versendet.
  • Begründet wird die Zahlungsaufforderung mit angeblichen Problemen bei der automatischen Abbuchung per SEPA-Lastschrift. Daher solle der offene Betrag ausschließlich per Instant-SEPA-Überweisung beglichen werden
  • In der E-Mail wird eine konkrete IBAN angegeben, an die der offene Betrag überwiesen werden soll. Zusätzlich wird darauf hingewiesen, mögliche Warnmeldungen der Bank bezüglich eines abweichenden Kontonamens zu ignorieren.
  • Bei ausbleibender Zahlung innerhalb von 48 Stunden werden Mahngebühren, Inkasso sowie rechtliche Schritte angedroht.
  • Anzeichen für Phishing: unpersönliche Anrede, unseriöse Absendeadresse, Aufforderung zur Direktüberweisung, kurze Frist und Mahndrohungen, Hinweis zum Ignorieren von Bankwarnungen sowie abweichende Antwortadresse. 

Wir empfehlen Ihnen, solche E-Mails immer unbeantwortet in den Spam-Ordner zu verschieben und keinerlei Aufforderungen nachzugehen. Falls Sie ein Deutschlandticket besitzen, schauen Sie in der App oder auf der echten Internetseite nach, ob es dort ähnliche Aufforderungen gibt.

Screenshot einer Mail mit dem Logo der "Deutschen Bahn" und dem Text: "Deutsche Bahn Logo Sehr geehrter Kunde, Wir nehmen Bezug auf Ihr Abonnement "Deutschland Ticket". Der ausstehende monatliche Betrag in Höhe von 63 € ist bis zum heutigen Datum nicht bei uns eingegangen. Der Zahlungsrückstand ist auf ein Problem mit Ihrer Bank im Zusammenhang mit dem SEPA-Lastschriftverfahren zurückzuführen. Aus diesem Grund ist die Zahlung derzeit ausschließlich per Banküberweisung vorzunehmen. Bitte führen Sie eine Instant SEPA-Überweisung durch, um Verzögerungen zu vermeiden. Sollte Ihre Bank eine Warnung anzeigen, dass der Name „Deutsche Bahn“ nicht mit der IBAN übereinstimmt, ignorieren Sie diese bitte – dies ist normal, da „Deutsche Bahn“ unsere kurze Firmenbezeichnung ist, während das offizielle europäische Konto auf einen längeren Namen lautet. Die Zahlung wird dennoch korrekt ausgeführt. Kontoinhaber: Deutsche Bahn IBAN: LT96 3250 0971 4148 7779 BIC: REVOLT21 Verwendungszweck: 120587439869 (Klicken Sie auf das Feld, um alle Bankdaten zu kopieren) Erfolgt eine Rückerstattung ausschließlich nach Eingang und Prüfung der entsprechenden Nachweise. Bitte senden Sie diese per E-Mail an E-invoicingDB@bahn.de. Sollte innerhalb von 48 Stunden nach Zugang dieser letzten Zahlungsaufforderung weder ein vollständiger Zahlungseingang noch eine schriftliche Kündigung erfolgen, werden gemäß den vertraglichen Vereinbarungen Verzugszinsen sowie Bearbeitungs- und Verwaltungskosten erhoben, die sich auf bis zu 170 € belaufen können. Nach Ablauf dieser Frist behalten wir uns ausdrücklich das Recht vor, den Vorgang ohne weitere Ankündigung an ein Inkassounternehmen oder zur rechtlichen Durchsetzung weiterzugeben. Diese Mitteilung gilt als letzte Zahlungsaufforderung. Wir fordern Sie hiermit auf, den offenen Betrag unverzüglich zu begleichen, um zusätzliche Kosten und rechtliche Schritte zu vermeiden.".

 

 

 

 

 

 

 

 

 

18. Mai 2026: Angeblich erforderliches photoTAN-Update im Namen der Commerzbank

  • Thema/Betreff: Die E-Mail behauptet, aus Sicherheitsgründen sei ein Update des photoTAN-Verfahrens erforderlich. Die Nachricht fordert auf, einen angeblich verpflichtenden "einmaligen Abgleich der Zugangsdaten" vorzunehmen. Als Begründung werden neue "EU-Sicherheitsrichtlinien" genannt, die die Maßnahme erforderlich machen soll.
  • Besonders auffällig ist die Formulierung "Erforderliche Handlung steht an". Durch solche Formulierungen wird versucht der E-Mail besondere Dringlichkeit und Seriosität zu verleihen.
  • Zusätzlich wird behauptet, dass das photoTAN-Verfahren bereits "ab dem nächsten Werktag" nicht mehr nutzbar ist, falls keine Bestätigung erfolgt. Solche zeitnahen Konsequenzen sollen zu unüberlegtem Handeln führen.
  • Anzeichen für Phishing: unpersönliche Anrede ("Sehr geehrte Kundin, sehr geehrter Kunde"), unseriöse Absenderadresse, Link in der Mail, Drohung mit Kontoeinschränkungen. 

Wir raten Ihnen, solche Aufforderungen zu ignorieren und Phishing-Mails unbeantwortet in den Spam-Ordner zu verschieben, um Ihre sensiblen Daten zu schützen. Falls Sie ein Konto bei der Commerzbank haben, prüfen Sie über die offizielle App oder die bekannte Website, ob Sie dort ähnliche Aufforderungen finden! 

Screenshot einer E-Mail mit Logo der Commerzbank und Text: "SICHERHEITSHINWEIS: PHOTO-TAN Update erforderlich Status: Erforderliche Handlung steht an. Sehr geehrte Kundin, sehr geehrter Kunde, wir legen großen Wert auf Ihre Online-Banking-Sicherheit.Um die photoTAN-App weiter nutzen zu können, ist ein einmaliger Abgleich Ihrer Zugangsdaten erforderlich.Dieser Prozess ist aufgrund neuer EU-Sicherheitsrichtlinien verpflichtend. UPDATE JETZT WICHTIG: Bitte führen Sie den Prozess vollständig aus.Ohne diese Bestätigung ist die Nutzung des photoTAN-Verfahrens ab dem nächsten Werktag nicht mehr möglich. Herzlichst, Ihre Commerzbank AG"

 

 

 

 

 

 

15. Mai 2026: Angebliche Sicherheitseinschränkung im Namen von Apple

  • Thema/Betreff: "Kontozugriff eingeschränkt“ – unter diesem Hinweis wird behauptet, bestimmte Funktionen des Apple-Accounts könnten erst nach einer Bestätigung der Kontodaten wieder vollständig genutzt werden. (Die E-Mail wurde ohne erkennbaren Betreff versendet.)
  • Als Grund wird eine automatische Sicherheitsmaßnahme zum Schutz persönlicher Informationen angeführt.
  • Typischerweise wird dargestellt, dass nach einer kurzen Bestätigung der Kontodaten der vollständige Zugriff automatisch wiederhergestellt werde.
  • Anzeichen für Phishing: unpersönliche Anrede ("Guten Tag"), unseriöse Absenderadresse, angebliche Sicherheitseinschränkung, Aufforderung zur Bestätigung von Kontodaten, Link in der Mail.

Wir raten Ihnen, Phishing-Mails zu ignorieren und unbeantwortet in den Spam-Ordner zu verschieben, um Ihre persönlichen Daten zu schützen. Falls Sie Informationen zu Ihrer Apple-ID prüfen möchten, nutzen Sie ausschließlich die offiziellen Apple-Seiten oder die Einstellungen Ihres Geräts.

Screenshot einer Mail mit dem Logo von "Apple" und dem Text: " Kontozugriff eingeschränkt Sicherheitsinformation zur Apple-ID Vorübergehende Einschränkung aktiv Guten Tag, Im Rahmen einer automatischen Sicherheitskontrolle wurde der Zugriff auf bestimmte Funktionen Ihres Apple-Accounts vorsorglich eingeschränkt. Damit alle Dienste wieder uneingeschränkt genutzt werden können, bitten wir Sie um eine kurze Bestätigung Ihrer Kontodaten. Zugriff bestätigen Diese Sicherheitsmaßnahme dient dem Schutz Ihrer persönlichen Informationen und Ihres Apple-Accounts. Nach erfolgreicher Bestätigung wird der vollständige Zugriff automatisch wiederhergestellt. © 2026 Apple Distribution International Ltd. Hollyhill Industrial Estate, Cork, Irland Datenschutz | Nutzungsbedingungen | Support Diese Nachricht wurde automatisch generiert. Bitte antworten Sie nicht auf diese E-Mail."

 

 

 

 

 

13. Mai 2026: Vermeintliche Reaktivierung des "photoTAN-Sicherheitszertifikats" bei der Deutschen Bank erforderlich

  • Thema/Betreff: Die Nachricht gibt vor, von der Deutschen Bank zu stammen und behauptet, das photoTAN-Sicherheitszertifikat laufe bald ab. Sie wird unter dem Betreff "Ihr Photo-TAN-Zertifikat ist nicht mehr gültig" oder "Ihr Photo-TAN-Zertifikat muss aktualisiert werden" versendet.
  • Sie werden aufgefordert, über einen Button ihr Zertifikat „zu reaktivieren“, damit Sie weiterhin das Online-Banking nutzen können.
  • Typischerweise wird künstlicher Zeitdruck erzeugt weil die Reaktivierung angeblich bis zum 14.05.2026 erfolgen muss.
  • Anzeichen für Phishing: unpersönliche Anrede, unseriöse Absenderadresse, Fristsetzung, Drohung mit Nutzungseinschränkung, Link in der Mail.

Wir raten Ihnen, solche Betrugsversuche zu ignorieren und unbeantwortet in den Spam-Ordner zu verschieben. Falls Sie ein Konto bei der Deutschen Bank haben, prüfen Sie über die offizielle App oder die bekannte Website, ob Sie dort ähnliche Aufforderungen finden!

Sehr geehrter Kunde, Ihr photoTAN-Sicherheitszertifikat läuft am 14.05.2026 aus. Bitte reaktivieren Sie es rechtzeitig, um Ihr Online-Banking weiterhin nutzen zu können. Jetzt reaktivieren Mit freundlichen Grüßen Ihre Deutsche Bank

 

 

 

 

 

 

 

 

 

12. Mai 2026: Vermeintliche Kontosperrung im Namen der DKB

  • Thema/Betreff: Im Namen der DKB wird unter dem Betreff "Bestätigung Ihrer Daten erforderlich“ mitgeteilt, dass Online-Banking und Kreditkarten aktuell deaktiviert seien.
  • Angeführt werden angebliche Unregelmäßigkeiten im Sicherheitssystem, um die Aufforderung zur Identifizierung glaubwürdig erscheinen zu lassen.
  • Typischerweise wird durch die Aussicht auf eine dauerhafte Sperrung sowie die Möglichkeit, den Zugriff "sofort“ wiederherzustellen, Handlungsdruck erzeugt, um zu einer schnellen Reaktion zu verleiten.
  • Anzeichen für Phishing: unpersönliche Anrede ("Liebe Kundinnen und Kunde"), unseriöse Absenderadresse, Druck durch angebliche Kontosperrung, Aufforderung zur Identifizierung, Link in der Mail.

Wir empfehlen Ihnen, solche Nachrichten unbeantwortet zu lassen, in den Spam-Ordner zu verschieben und keinerlei Aufforderungen nachzugehen. Falls Sie Kundin oder Kunde der DKB sind, prüfen Sie entsprechende Hinweise ausschließlich über die offizielle App oder die Internetseite.

Screenshot einer Mail mit dem Logo der "DKB" und dem Text: "DKB Das kann Bank Liebe Kundinnen und Kunden unser Sicherheitssystem hat Unregelmäßigkeiten festgestellt. Zu Ihrem Schutz wurden Ihr Online-Banking und Ihre Kreditkarten vorübergehend deaktiviert. Um eine dauerhafte Sperrung zu vermeiden und den Zugriff sofort wiederherzustellen, führen Sie bitte die notwendige Identifizierung durch. Jetzt Konto entsperren Ihre Daten: Bitte halten Sie Ihre bei uns hinterlegten Personendaten stets aktuell! Impressum | Datenschutz | Kontakt".

 

 

 

 

 

 

 

 

11. Mai 2026: Angebliche Zahlungsaufforderung des Rundfunkbeitrags

  • Thema/Betreff: "Ihr Zahlungsplan für den Rundfunkbeitrag ab 2026". Angeblich müsse man bis zum nächsten Tag den fälligen Rundfunkbeitrag selbst überweisen.
  • Grund sei eine Umstellung der Zahlungsmitteilung auf digitalen Versand.
  • Unten in der E-Mail ist eine IBAN angegeben, an die man das Geld per Direktüberweisung senden soll.
  • Bei Zahlung des Beitrags für ein halbes oder ganzes Jahr gäbe es sogar Rabatt.
  • Anzeichen für Phishing: keine persönliche Anrede ("Sehr geehrte Damen und Herren"), unseriöse Absenderadresse, in jeder E-Mail gleiche Beitragsnummer (Kundenreferenz). Auch Zeitdruck und Rabatt sind Lockmittel, die es vom echten Beitragsservice nicht gibt.

Im Artikel Phishing-Mails und falsche SMS von Ministerien und Behörden zeigen wir dieses und weitere Beispiele für Betrugsversuche von offiziellen Stellen.

Screenshot einer Phishing-Mail mit Text: "Datum: 11.05.2026 | Beitrags-Nr.: 826 737 149 Ihre Kundenreferenz ARD ZDF Deutschlandradio Beitragsservice Umstellung Ihrer Zahlungsmitteilung auf digitalen Versand Sehr geehrte Damen und Herren, im Rahmen der fortschreitenden Digitalisierung unserer Prozesse und zur Vereinfachung der Kommunikation stellen wir Ihre bisherigen postalischen Zahlungsmitteilungen künftig auf den digitalen E-Mail-Versand um. Dadurch profitieren Sie von einer schnelleren und vereinfachten Zustellung Ihrer Zahlungsinformationen. Im Zuge der Umstellung auf das neue Zahlungsprogramm 2026 wurden zudem Ihre bisherigen festen Zahlungstermine angepasst. Künftige regelmäßige Zahlungsaufforderungen per Post erfolgen grundsätzlich nicht mehr. Bitte beachten Sie daher Ihre neuen Zahlungstermine eigenverantwortlich. Nächster Zahlungstermin bis spätestens 12.05.2026 55,08 EUR Bitte überweisen Sie den Betrag fristgerecht auf das unten genannte Beitragskonto."

11. Mai 2026: Angeblich ausgesetzte Netflix-Mitgliedschaft wegen Zahlungsproblemen

  • Thema/Betreff: Die E-Mail informiert darüber, dass die Netflix-Mitgliedschaft aufgrund angeblicher Zahlungsprobleme ausgesetzt wurde. Bereits die auffällige Überschrift "MITGLIEDSCHAFT AUS!" soll Handlungsdruck erzeugen.
  • Die vermeintliche Zahlung für den nächsten Abrechnungszeitraum konnte nicht autorisiert werden. Deshalb ist die Mitgliedschaft vorübergehend ausgesetzt.
  • Durch die Androhung einer ausgesetzten Mitgliedschaft und den Hinweis auf Zahlungsprobleme soll Druck aufgebaut werden, was zu vorschnellem Handeln verleiten soll.
  • Anzeichen für Phishing: keine Anrede, unseriöse Absenderadresse, Drohung mit Kontoeinschränkung, Link in der Mail.

Wir empfehlen Ihnen, solche E-Mails immer unbeantwortet in den Spam-Ordner zu verschieben und keinerlei Aufforderungen nachzugehen. Falls Sie ein Konto bei Netflix haben, schauen Sie in der App oder auf der echten Internetseite nach, ob es dort ähnliche Aufforderungen gibt.

Screenshot einer E-Mail mit Logo von Netflix und Text: "Mitgliedschaft aus! Ihre Mitgliedschaft erlischt ! Wir konnten Ihre Zahlung für den nächsten Abrechnungszeitraum nicht autorisieren und haben Ihre Mitgliedschaft daher vorübergehend ausgesetzt. Ihr aktuelles Abonnement bleibt jedoch bis zum Ablauf aktiv. Vielen Dank, dass Sie Teil der Netflix-Community sind! Neu starten"

 

 

 

 

 

 

 

 

 

Ältere Beiträge

Hier finden Sie die bei uns eingegangenen und ausgewerteten Phishing-Beispiele der vergangenen Wochen

Hintergrundwissen und weitere Informationen

Phishing und Trojaner: Angriffe auf den PC erkennen und abwehren (pdf)
Phishing-Mails: Woran Sie sie erkennen und worauf Sie achten müssen
So lesen Sie den E-Mail-Header
Erste Hilfe bei gehackten Online-Konten
Schadprogramme: Welche es gibt, was sie anrichten, wie Sie sich schützen

Alle Warnungen der Marktbeobachtung

Hier finden Sie alle aktuellen Warnungen der Verbraucherzentralen.
Mehr dazu

Ratgeber-Tipps

Titelbild des Ratgebers "Das Vorsorge Handbuch"
Das Vorsorge-Handbuch
Wer sich wünscht, selbstbestimmt zu leben und Entscheidungen zu treffen, und sich wünscht, das auch am Lebensabend zu…
zum Ratgeber-Shop
Titelbild des Ratgebers "Fit und gesund"
Fit und gesund - für Frauen ab 50
Menopause, Knochenhaushalt, Nährstoffbedarf, Ernährung, knackende Knochen - der Körper von Frauen ab 50 ist vielen…
zum Ratgeber-Shop