1. Absenderadresse (From) ist falsch (indigo.it). Die Domain scheint es nicht mehr zu geben.
2. Anrede bei United-Domains ist üblicherweise persönlich ("Hallo Vorname, Nachname").
3. Rechnungsnummern von United-Domains lauten völlig anders.
4. Linktext ist in falschen Sprache (Schwedisch: "Direkt mit Karte bezahlen").
5. Der link führt auf eine Website in Australien (rainmasterco.com.au) die wahrscheinlich gehackt wurde.
6. Ja, wir sind Kunde bei United-Domains und die Forderung ist theoretisch plausibel, da diese Forderung aber mit Kreditkarte gezahlt würde, käme ein Mail mit der Meldung, dass die Kreditkartenzahlung nicht erfolgreich war, oder ähnlich.
7. Die Informationen zum Erstellen eines solchen Emails sind wahrscheinlich frei verfügbar.

1. Absenderadresse (From) ist falsch.
2. Empfängeradresse (To) ist falsch.
3. Dieses Mail macht für mich so überhaupt gar keinen Sinn! Ich habe da nie gekauft und ich zahle schon lange nicht mehr mit PayPal. Wahrscheinlich möchte man mich verleiten, auf die Telefonnummer anzurufen. Die Nummer wird bei Slick.ly als "Gefährlich" eingestuft! (Link zu slick.ly).

1. Absenderadresse (From) ist falsch.
2. Empfängeradresse (To) gibt es so bei uns nicht ("rabota" ist ein slawisches Wort und bedeutet "Arbeit").
3. Der Link führt nach wekopen.com und wird nach club-kundenpunkte.com weitergeleitet.
4. Ich konsumiere keine Produkte dieser Firma, daher macht dieses Mail keinen Sinn.

1. Absenderadresse (From) ist falsch.
2. Empfängeradresse (To) gibt es gar nicht (wie geht denn das?).
3. Titel in Grossschrift ist eher aussergewöhnlich.
4. "Angebot einlösen" und "Abmelden vom Newsletter" gehen auf eine Website, die nicht Decathlon ist und auch sonst nicht funktioniert. Aber auf den Link klicken geht...
5. Dieses Mail ist spannend, weil ich kürzlich wirklich bei Decathlon Outdoor-Material bestellt habe.
6. Entweder ist das extrem gut gemachter Spam oder ein sehr schlecht gemachtes Marketing-Mail von Decathlon. Wenn es ein Spam-Mail ist, frage ich mich nur, wie die wissen, dass ich Outdoor-Material bei Decathlon bestellt habe. Hat etwa jemand geleckt???

1. Absenderadresse (From) ist falsch.
2. Email wurde bereits vom Mail-Provider als Spam erkannt und entsprechend markiert.
3. Falsche Sprache (portugiesisch).
4. Link führt auf ungewöhnliche Website: 95.202.178.68.host.secureserver.net/comprov/ welche zum Download einer Android-Studio *.zip oder *.dmg Datei (android-studio-2024.1.2.12-windows.zip, android-studio-2024.1.2.12-mac_arm.dmg) auffordert. Diese Datei ist ca. 1.2 Gbyte gross. Die MD5 Checksumme lautete: d1b4eeab7fd21b62fb54fa70b4fec464 und hat bei folgenden Seiten zu keinem Treffer geführt: virustotal, abuse.ch. Wahrscheinlich enthält diese Datei eine kompromitierte Version von Android-Studio...

1. Absenderadresse (From) kommt vom CEO (oberster Chef) einer Firma in Pakistan (leisure-cargo.pk), welche von meinem Mail-Provider als Phishing markiert ist. Finales Ziel des Links ist die Seite einer ABDA Group.
2. Empfängeradresse (To) geht an selbe Email Adresse welche im Adressbuch des Senders als "Recipients" vermerkt wurde.
3. Rücksendeadress (Reply to) geht wo ganz anders hin (dieterschwarz39.com). Die Website dahinter gibt eine "Not Found" Fehlermeldung (404) zurück. Die Website ist gehostet bei Lite Speed Technologies Inc. in USA.
4. Title (Subject) ist unvollständig und in etwas seltsame Sprache fromuliert.
5. Inhalt des e-Mails ist etwas konfus und entspricht nicht den üblichen deutschsprachigen Formulierungen (könnte aus dem US amerikanischen übersetzt sein). Wahrscheinlich wird versucht bei möglichen naiven Beantwortern des Emails, diese in einem weiteren Schritt abzuzocken.

1. Absenderadresse (From) ist falsch. Kommt von einer italienischen Firma (cog.it), welche wahrscheinlich gehackt wurde?
2. Rücksendeadress (Reply to) ist seltsam (swr.rr.com) und passt nicht zum Sender oder zum Inhalt. Server scheint es nicht zu geben.
3. Titel ist schlecht gewählt und suggeriert Dringlichkeit.
4. Inhalt: Sprache ist englisch und kann keine englisch. :-)

1. Absenderadresse (From) Ist seltsam für eine Firma. Kommt von einem Gmail Account.
2. Titel: Dringlichkeit forder zum schnellen Handeln auf.
3. Links im Inhalt führen auf seltsame Webiste (juvact.com) welche einen Fehler (404) gibt.

1. Absenderadresse (From) Ist seltsam für eine Firma. Kommt von einem Gmail Account und suggeriert eine Helsana Umfrage zu sein.
2. Titel: Dringlichkeit forder zum schnellen Handeln auf.
3. Links im Inhalt führen auf seltsame Webiste (juvact.com) welche einen Fehler (404) gibt.

1. Absenderadresse (From) scheint aus Indien zu kommen (shivamauto.in) und suggeriert eine CSS Rückerstattung zu sein.
2. Titel: Verspricht Geld.
3. Links im Inhalt führen auf seltsame Webiste (qrco.de) in Deutschland, welche eine Weiterleitung auf einen russischen Server macht (srv236460.hoster-test.ru). Diese Website führ zu einem Login, welches vorgibt ein CSS Login zu sein, übrigens schöner gemacht als das Original! Der Link wird von meinem Internet-Provider als Spam kenntlich gemacht!
4. Die weiteren Links im Mail führen wieder zurück auf das Email selbst.

1. Absenderadresse (From) seltsam. Domain existiert nicht (winselst.autos)
2. Empfänger (To) passt nicht zu meinen Mail-Accounts.
3. Email wurde bereits vom Mail-Provider als Spam erkannt und entsprechend markiert.

1. Absenderadresse (From) seltsam. Domain existiert nicht (novstalle.beauty)
2. Empfänger (To) passt nicht zu meinen Mail-Accounts.
3. Email wurde bereits vom Mail-Provider als Spam erkannt und entsprechend markiert.

1. Absenderadresse (From) seltsam. Website (bindymorris.com) gibt Fehler (503).
2. Email wurde bereits vom Mail-Provider als Spam erkannt und entsprechend markiert.
3. Anrede (Hallo contact) wurde automatisiert generiert.

1. Absenderadresse (From) seltsam. Website (enovo.pt) führt auf Website eines Website-Herstellers.
2. Mail Client (Thuderbird) meldet Verstoss gegen Schutz der Privatsphäre.
3. Link www.officestoresrl.it/parkingpay/ wird weitergeleitet nach parkingpay.ch. Ca. 30 Minuten später funktioniert die Weiterleitung nicht mehr... Es scheint also bereits jemand aktiv geworden zu sein:

1. Login-Webadresse (www.one-digitalservice.ch) unterscheidet sich von meiner gewohnten Login-Webadresse (one.viseca.ch).
2. "To protect your privacy" Meldung ist verdächtig.
3. Email-Adresse ist meine Firmen-Emailadresse und NICHT meine private Emailadresse, welche bei Viseca hinterlegt ist (ich habe nachgeschaut)! Wie die da drauf kommen, weiss ich auch nicht.
4. Link im Email direkt zum Login ist ein no-go und gehört zur Phishing-Prävention! Danke, Daniela für den Tipp.

Achtung: Dieses Email ist KEIN Phishing-Email sondern einfach nur schlecht gemachte Email-Kommunikation. Aber wie will der Leihe das erkennen?

Die Geschichte geht noch weiter: Nachdem ich dieses Email bei Viseca gemeldet und das verdächtige Email an Viseca weitergeleitet hatte, habe ich folgende (automatisierte) Antwort erhalten:

Sehr geehrte Kundin, sehr geehrter Kunde

Wir danken Ihnen für die Weiterleitung einer möglichen Phishing E-Mail. Bitte beachten Sie, dass wir diese nicht individuell beantworten werden.

Sollten Sie Kartendaten bekannt gegeben haben (auch nur teilweise und ohne die Eingabe zu bestätigen) oder auf einen Link geklickt haben, bitten wir Sie dringend um unverzügliche Kontaktaufnahme mit Ihrem Kreditkartenherausgeber. Die Telefonnummer finden Sie auf der Rückseite Ihrer Kreditkarte.

Zur Erkennung von Phishing: Grundsätzlich verschickt Viseca keine E-Mails, in denen eine Bestätigung/Eingabe von persönlichen Daten oder Kreditkartendetails verlangt wird. Einzige Ausnahme bilden E-Mails, welche Ihnen zwecks persönlicher Registrierung beim Bonusprogramm surprize oder beim MyAccount Online Service (Zugang über viseca.ch) zugestellt werden.

Leider kursieren immer wieder E-Mails, welche von Betrügern verschickt werden. Diese sogenannten “Phishings” sind oft in täuschend ähnlichem Layout von Kreditkartenherausgebern oder bekannten Internet-Händlern aufgesetzt. Diese E-Mails werden willkürlich sowohl an Viseca-Kunden als auch an Nicht-Viseca-Kunden gesendet und zielen darauf ab, Kreditkartendaten zu stehlen.

Viseca Card Services veranlasst alles Notwendige, um betrügerische Webseiten zu deaktivieren. Gemeinsam mit internationalen und nationalen Behörden sowie Anti-Phishing-Spezialisten wirkt unsere Unternehmung aktiv der Verbreitung von Phishing entgegen.

Weiterführende Informationen zu Phishing finden Sie auf unserer Homepage (viseca.ch).

Besten Dank für Ihre Unterstützung und freundliche Grüsse

Viseca Card Services SA

Das Lustige dabei ist, dass Viseca explizit auf MyAccount Online Service (Zugang über viseca.ch) verweist.

Das es auch Firmen gibt, die das besser können sieht man z. B. bei eBill:

Und Cembra: