How can attackers create such perfect copies of legitimate emails?

Attackers obtain legitimate emails through several methods: compromising email accounts to access sent messages, intercepting emails through network vulnerabilities, or using publicly available information from data breaches. Once they have a genuine email, they use simple copy-paste techniques to recreate it exactly, only modifying the embedded links or attachments. Modern email design tools make it trivial to replicate professional email templates with perfect accuracy.

Why don't spam filters catch clone phishing emails?

Clone phishing emails often bypass spam filters because they contain legitimate content, proper formatting, and accurate branding from real organizations. The only malicious element is typically a modified link or attachment, which filters may not detect if the destination website is newly created and not yet blacklisted. Additionally, if the email comes from a compromised legitimate account, it passes authentication checks like SPF and DKIM that filters rely on to identify spoofed messages.

If I clicked a link but didn't enter any information, am I still at risk?

Simply clicking a link in a clone phishing email can still pose risks, though less severe than providing credentials. The malicious website may attempt drive-by downloads of malware, track your IP address and browser information, or use exploits targeting browser vulnerabilities. Immediately run anti-malware scans, clear your browser cache and cookies, and monitor your accounts for unusual activity. Change passwords as a precaution if the link led to a fake login page, even if you didn't submit information.

How quickly do I need to act if I realize I fell for a clone phishing attack?

Act within minutes if possible. Immediately change the password for any account where you entered credentials, starting with your email account since attackers often use compromised email to reset other passwords. Enable multi-factor authentication on all affected accounts. Contact your bank or credit card company if you provided financial information. For work-related incidents, notify your IT security team immediately so they can secure systems and alert other potential targets. The faster you respond, the more you can limit the damage.

Can clone phishing happen with text messages or social media, or just email?

Clone phishing primarily occurs through email because attackers need access to previous communications to create convincing duplicates, which is easier with email interception. However, similar techniques called "smishing" (SMS phishing) can clone text messages from banks or service providers, and social media messages can be duplicated if an attacker compromises an account. The core technique of copying legitimate communications and modifying links works across platforms, though email remains the most common vector due to its widespread business use and technical vulnerabilities.

Hohes Risiko Durchschnittlicher Schaden: $2,000 Typische Dauer: 1-3 days

Clone-Phishing: Wenn legitime E-Mails gefährlich werden

Clone-Phishing ist ein ausgefeilter Angriff, bei dem Cyberkriminelle legitime E-Mails von vertrauenswürdigen Organisationen abfangen oder nachbilden und dann nahezu identische Kopien mit bösartigen Links oder Anhängen erneut versenden. Im Gegensatz zum traditionellen Phishing, das gefälschte E-Mails von Grund auf erstellt, nutzt Clone-Phishing die Glaubwürdigkeit von echten Kommunikationen, die Sie bereits erhalten haben oder erwarten. Angreifer überwachen typischerweise den E-Mail-Verkehr, duplizieren eine echte Nachricht von Ihrer Bank, Ihrem Arbeitgeber oder einem Dienstanbieter und ersetzen legitime Links durch bösartige, die zu Seiten zur Abfrage von Anmeldedaten oder zum Download von Malware führen. Diese Technik ist nach dem FBI-Bericht zu Internetkriminalität von 2023 um 35 % pro Jahr gestiegen, wobei die durchschnittlichen Verluste 2.000 Euro pro Opfer erreichten. Der Angriff ist besonders wirksam, weil die geklonte E-Mail oft kurz nach der legitimen ankommt, in demselben E-Mail-Thread erscheint und identisches Branding, Logos und Messaging enthält. Clone-Phishing-Angriffe richten sich häufig an Business-Profis während der Rechnungsverarbeitung, bei Anfragen zum Zurücksetzen von Passwörtern und bei Benachrichtigungen zu Software-Updates. Die Gefahr von Clone-Phishing liegt in der Ausnutzung bestehender Vertrauensbeziehungen. Wenn Sie eine Nachricht erhalten, die wie eine Folgenachricht Ihres IT-Departments aussieht oder eine zweite Benachrichtigung von Ihrer Kreditkartenfirma, ist Ihre Vorsicht naturgemäß niedriger als bei unerwarteten Mitteilungen. Angreifer nutzen diese psychologische Anfälligkeit aus, weil sie wissen, dass Empfänger eher auf Links in Nachrichten klicken, die legitime Gespräche fortzusetzen scheinen. Die Federal Trade Commission berichtete, dass Business-E-Mail-Compromise-Schemes mit Clone-Phishing 2023 zu Verlusten von über 2,7 Milliarden Euro führten, was es zu einer der kostspieligsten Formen von Cyberbetrug macht.

Häufige Methoden So erkennen Sie es So schützen Sie sich Reale Beispiele Wo melden

Häufige Methoden

• Abfangen legitimer E-Mails durch kompromittierte E-Mail-Konten oder Man-in-the-Middle-Angriffe, wodurch Angreifer echte Kommunikation sehen können, bevor sie diese mit bösartigen Änderungen klonen.
• Erstellen identischer Kopien von E-Mails von vertrauenswürdigen Absendern wie Banken, Arbeitgebern oder Dienstanbietern, wobei nur die eingebetteten Links oder Anhänge ersetzt werden, während alle anderen Inhalte, Branding und Formatierung unverändert bleiben.
• Zeitliches Planen geklonter E-Mails, um innerhalb von Stunden oder Tagen nach der legitimen Nachricht anzukommen, wobei häufig behauptet wird, dass es sich um eine Folgenachricht, Korrektur oder dringende Aktualisierung handelt, die sofortige Maßnahmen erfordert.
• Spoofing von Absenderadressen, um den Eindruck zu erwecken, dass die geklonte E-Mail von derselben legitimen Quelle stammt, unter Verwendung von Techniken wie Anzeigenamen-Manipulation oder ähnlich aussehenden Domains.
• Einbettung bösartiger Links, die zu Seiten zur Abfrage von Anmeldedaten umleiten, die so gestaltet sind, dass sie identisch mit legitimen Websites aussehen, und erfassen von Benutzernamen und Passwörtern, wenn Opfer versuchen, sich anzumelden.
• Verwendung kompromittierter E-Mail-Konten von Kollegen, Partnern oder bekannten Kontakten zum Versenden geklonter Nachrichten, wodurch der Angriff aus vertrauenswürdigen Netzwerken zu stammen scheint und die Glaubwürdigkeit erhöht wird.

So erkennen Sie es

Empfangen von doppelten oder nahezu doppelten E-Mails über dasselbe Thema innerhalb kurzer Zeit, besonders wenn behauptet wird, dass die vorherige Nachricht einen Fehler enthielt oder sofortige Maßnahmen erforderlich sind.
Bemerken leichter Unstimmigkeiten in E-Mail-Absenderadressen, wie zusätzliche Zeichen, Nummern oder ähnlich aussehende Domains, die sich um einen Buchstaben von der legitimen Quelle unterscheiden.
Feststellen, dass Links in der E-Mail beim Überfahren mit der Maus URLs anzeigen, die nicht der Domain der legitimen Organisation entsprechen oder durch unbekannte verkürzte URLs oder IP-Adressen umleiten.
Erkennen unerwarteter Dringlichkeit in Folgenachrichten, die behaupten, dass Ihr Konto gesperrt wird, eine Zahlung abgelehnt wurde oder sofortige Verifizierung erforderlich ist, während die ursprüngliche Kommunikation keine solche Dringlichkeit hatte.
Beobachtung geringfügiger Formatierungsinkonsistenzen, ungewöhnlicher Schriftänderungen oder kleiner Änderungen an Logos oder Signaturen, die in vorherigen legitimen E-Mails desselben Absenders nicht vorhanden waren.
Empfangen von Anfragen zum Zurücksetzen von Passwörtern, Rechnungsaktualisierungen oder Versandbenachrichtigungen, die Sie nicht eingeleitet haben, besonders wenn sie kurz nach Erhalt einer ähnlichen legitimen Mitteilung ankommen.

So schützen Sie sich

Überprüfen Sie verdächtige E-Mails, indem Sie den Absender über einen separaten, unabhängig beschafften Kommunikationskanal wie eine Telefonnummer von der offiziellen Website kontaktieren – verwenden Sie niemals Kontaktinformationen aus der fragwürdigen E-Mail selbst.
Geben Sie Website-URLs direkt in Ihren Browser ein, anstatt auf Links in E-Mails zu klicken, besonders für Banking-, E-Mail- oder andere sensible Konten, die Anmeldedaten erfordern.
Aktivieren Sie Multi-Faktor-Authentifizierung auf allen kritischen Konten, einschließlich E-Mail, Banking und Arbeitssystemen, was verhindert, dass Angreifer auf Konten zugreifen, auch wenn sie Ihr Passwort durch Clone-Phishing erhalten.
Überfahren Sie vor dem Klicken alle Links mit der Maus, um die tatsächliche Ziel-URL zu überprüfen, und seien Sie verdächtig gegenüber allen Links, die nicht zur legitimen Domain der Organisation führen oder URL-Shortener verwenden.
Implementieren Sie E-Mail-Filterregeln und Sicherheitssoftware, die gespooften Absenderadressen erkennt, externe E-Mails als von internen Quellen stammend kennzeichnet und vor E-Mails mit verdächtigen Merkmalen warnt.
Etablieren Sie Verifizierungsverfahren in Ihrer Organisation für Finanztransaktionen, Rechnungsänderungen und sensible Anfragen, die vor Maßnahmen eine Bestätigung durch ein zweites Kommunikationsmittel erfordern.

Reale Beispiele

Ein Kleinunternehmer erhielt eine zweite Benachrichtigung von seinem Büromateriallieferanten über eine ausstehende Rechnung von 1.850 Euro. Die E-Mail war identisch mit einer legitimen Rechnung, die zwei Tage zuvor eingegangen war, und enthielt dieselben Bestelldetails und das gleiche Firmenlogo. Der einzige Unterschied war ein Link zum "Anzeigen aktualisierter Zahlungsdetails", der zu einem gefälschten Zahlungsportal führte. Nach der Eingabe seiner Bankdaten, um die Zahlung zu tätigen, leer der Angreifer sein Geschäftskonto um 12.400 Euro, bevor der Betrug entdeckt wurde.

Ein Mitarbeiter eines Technologieunternehmens erhielt eine geklonte E-Mail, die angeblich von seiner IT-Abteilung stammte und ihn aufforderte, sein Microsoft 365-Konto nach einem Sicherheitsupdate zu verifizieren. Die E-Mail war eine exakte Kopie einer legitimen IT-Benachrichtigung, die drei Stunden zuvor unternehmensweít versendet worden war. Der Mitarbeiter klickte auf den Verifizierungslink und gab seine Anmeldedaten auf einer überzeugenden gefälschten Anmeldeseite ein. Innerhalb von 30 Minuten griff der Angreifer auf das E-Mail-Konto des Mitarbeiters zu und sendete Zahlungsumleithungsanfragen an die Kunden des Unternehmens, was zu umgeleiteten Zahlungen von 47.000 Euro führte.

Ein Hausbesitzer erhielt eine geklonte E-Mail von seinem Hypothekengeber, der ihn aufforderte, Details seines Treuhandkontos zu bestätigen. Die Nachricht kam einen Tag nach einer legitimen Jahresabrechnung des Treuhandkontos an. In der Annahme, dass es sich um eine Folgenachricht zur Sicherung der Genauigkeit handelte, klickte der Hausbesitzer auf den Link und gab seine Online-Banking-Anmeldedaten an. Der Betrüger nutzte diese Daten, um Überweisungen in Höhe von insgesamt 8.200 Euro auf Auslandskonten einzuleiten, bevor das Betrugerkennungssystem der Bank die verdächtige Aktivität kennzeichnete.

Wo melden — Deutschland

Offizielle Stellen in Ihrer Region zum Melden dieses Betrugs.

BSI Bürger-CERT

Cyberkriminalität

Bundesamt für Sicherheit in der Informationstechnik – Warnungen und Beratung für Bürger.

Besuchen →

Polizei Online-Wache

Meldung

Online-Anzeige von Betrug bei der Polizei Ihres Bundeslandes.

Besuchen →

Verbraucherzentrale

Verbraucherschutz

Beratung für Verbraucher bei Online-Betrug und Phishing.

Besuchen →

BaFin Verbraucherschutz

Finanzaufsicht

Bundesanstalt für Finanzdienstleistungsaufsicht – Anlagebetrug und Banken-Beschwerden.

Besuchen →

Glauben Sie, auf diesen Betrug gestoßen zu sein?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), clone-phishing: wenn legitime e-mails gefährlich werden is described at https://scamlens.org/de/encyclopedia/clone-phishing.

https://scamlens.org/de/encyclopedia/clone-phishing

Hier starten

Sicherheitsprüfung

Intelligence

Tools & Berichte

Premium-Dienste

Erweiterung & API

Clone-Phishing: Wenn legitime E-Mails gefährlich werden

Häufige Methoden

So erkennen Sie es

So schützen Sie sich

Reale Beispiele

Wo melden — Deutschland

BSI Bürger-CERT

Polizei Online-Wache

Verbraucherzentrale

BaFin Verbraucherschutz

Glauben Sie, auf diesen Betrug gestoßen zu sein?

How to cite this guide