The "obvious" phishing signs are gone. Die „eindeutigen“ Phishing-Zeichen sind verschwunden.
In 2026, every attacker has access to generative AI. The bad spelling, the awkward grammar, the "Dear Customer" — all of that is now optional. Modern phishing reads like a careful colleague wrote it. Here's how to spot it anyway. 2026 hat jeder Angreifer Zugriff auf generative KI. Schlechte Rechtschreibung, holprige Grammatik, „Sehr geehrte Kundin / Sehr geehrter Kunde“ — all das ist heute optional. Modernes Phishing liest sich, als hätte eine aufmerksame Kollegin oder ein aufmerksamer Kollege es geschrieben. So erkennen Sie es trotzdem.
What changed Was sich verändert hat
Large language models removed the cheapest defence we had against phishing. For a couple of dollars, an attacker can now:
- Write fluent, idiomatic Swiss German or English, with no spelling or grammar errors and no stilted phrasing.
- Personalise every message at scale — pulling your name, role, recent projects, and team from LinkedIn and the Zevvy website.
- Imitate the writing style of a specific colleague after seeing just a few of their public emails or LinkedIn posts.
- Translate a campaign into 30 languages overnight with no quality drop.
- Generate a fake invoice PDF, a fake login page, and the matching email — all in a single afternoon.
The "if it has typos, it's phishing" rule is dead. The phishing email of 2026 is grammatically perfect and personally addressed. The defence has to move up a layer: from spotting cosmetic mistakes to checking intent, context, and channel.
Grosse Sprachmodelle haben die billigste Verteidigung gegen Phishing weggenommen. Für ein paar Franken kann ein Angreifer heute:
- Fliessendes, idiomatisches Schweizerdeutsch oder Englisch schreiben — ohne Rechtschreib- oder Grammatikfehler und ohne hölzerne Formulierungen.
- Jede Nachricht in grossem Stil personalisieren — mit Ihrem Namen, Ihrer Rolle, aktuellen Projekten und Team aus LinkedIn und der Zevvy-Website.
- Den Schreibstil einer konkreten Person imitieren, nachdem er ein paar öffentliche E-Mails oder LinkedIn-Posts gesehen hat.
- Eine Kampagne über Nacht in 30 Sprachen übersetzen — ohne Qualitätsverlust.
- Eine gefälschte Rechnung als PDF, eine gefälschte Login-Seite und die passende E-Mail an einem Nachmittag zusammenbauen.
Die Regel „wenn Tippfehler drin sind, ist es Phishing“ ist tot. Die Phishing-E-Mail 2026 ist grammatikalisch perfekt und persönlich adressiert. Die Verteidigung muss eine Ebene höher: von kosmetischen Fehlern hin zur Prüfung von Absicht, Kontext und Kanal.
New red flags for the AI era Neue Warnsignale im KI-Zeitalter
- Too smooth, too perfect. Real internal emails have fragments, typos, idioms, "sent from my phone" lines. A message that reads like a polished press release from a "colleague" is itself a flag. Zu glatt, zu perfekt. Echte interne E-Mails enthalten Halbsätze, Tippfehler, Eigenheiten, „Vom Handy gesendet“-Zeilen. Eine Nachricht im Stil einer geschliffenen Pressemitteilung von einer „Kollegin“ ist selbst schon ein Warnsignal.
- Personalised on details you'd expect to be private. A "vendor" who knows your project name and team lead from LinkedIn but still has the wrong banking details, or a "colleague" who knows where you sit but used the wrong office floor. Personalisiert auf Details, die eigentlich nicht-öffentlich sein sollten. Ein „Lieferant“, der Ihren Projektnamen und Teamleiter aus LinkedIn kennt, aber die falschen Bankdaten angibt; eine „Kollegin“, die weiss, wo Sie sitzen, aber die falsche Etage nennt.
- Slight tonal mismatch. The CEO says "Best regards," when she always signs off "Cheers,". The vendor uses formal "Sehr geehrte" when the actual relationship has been on first-name basis for years. Leichte stilistische Abweichung. Die CEO schreibt „Mit freundlichen Grüssen“, obwohl sie sonst mit „Liebe Grüsse“ unterschreibt. Der Lieferant sagt „Sehr geehrte“, obwohl Sie seit Jahren beim Du sind.
- Plausible but unverifiable claim. "I just spoke with Markus and he agreed — please proceed." Easy to write, hard to fact-check unless you actually ask Markus. Plausible, aber nicht überprüfbare Behauptung. „Ich habe gerade mit Markus gesprochen, er hat zugestimmt — bitte ausführen.“ Leicht geschrieben, schwer zu prüfen — ausser Sie fragen Markus.
- The technical signals haven't changed. AI improves the words. The sender domain, the reply-to address, the link destination, the attachment type — those are still the most reliable tells. Die technischen Signale sind gleich geblieben. KI verbessert die Worte. Absender-Domain, Reply-To-Adresse, Link-Ziel, Anhangstyp — das bleiben die zuverlässigsten Hinweise.
How to defend in the AI era Verteidigung im KI-Zeitalter
- Trust process, not prose. Don't ask "does this email look professional?". Ask "does this match the way we actually do this?". Vertrauen Sie dem Prozess, nicht dem Text. Fragen Sie nicht „klingt diese E-Mail professionell?“. Fragen Sie „passt das zu unserem üblichen Ablauf?“.
- Verify the channel, not the message. A perfect message in the wrong channel (a CEO emailing finance directly, a vendor changing bank details over chat) is still suspicious. Prüfen Sie den Kanal, nicht den Text. Eine perfekte Nachricht über den falschen Kanal (eine CEO, die direkt an die Finanzabteilung mailt; ein Lieferant, der per Chat die Bankverbindung ändert) bleibt verdächtig.
- Treat urgency as the loudest signal. AI is great at sounding calm. The one thing it still has to do is push you to act — that's the lure's purpose. If a "polite, well-written" message also rushes you, that's the combination to watch for. Behandeln Sie Dringlichkeit als lautestes Signal. KI klingt mühelos ruhig. Was sie weiterhin tun muss: Sie zur Aktion bewegen — das ist der Zweck des Köders. Höflich, gut geschrieben — und gleichzeitig Druck: genau diese Kombination ist verdächtig.
- Always verify high-value requests out-of-band. A 30-second Teams chat to the person ("did you really just send me this?") defeats almost every AI-written attack. Hochwertige Anfragen immer über einen zweiten Kanal prüfen. Ein 30-Sekunden-Teams-Chat („Hast du mir das wirklich gerade geschickt?“) hebelt fast jeden KI-Angriff aus.
- Cultivate a small amount of "is this normal?" suspicion. Not paranoia — just one mental pause per request. AI removed the cosmetic tells; nothing removed the deeper question of whether this should be happening at all. Pflegen Sie eine Portion „Ist das normal?“-Skepsis. Keine Paranoia — nur eine kurze gedankliche Pause pro Anfrage. KI hat die kosmetischen Hinweise entfernt; die tiefere Frage „sollte das überhaupt passieren?“ bleibt unverändert wirksam.
Report — even when it "looks fine" Melden — auch wenn es „in Ordnung aussieht“
If the only thing that makes you hesitate is a feeling, that feeling is worth reporting. Trained intuition is the layer AI hasn't replicated yet.
- In Outlook, click Report → Phishing.
- Or forward to security@zevvy.org.
- If you acted on the message, contact IT: it@zevvy.org.
Wenn nur ein Gefühl Sie zögern lässt, ist dieses Gefühl es wert, gemeldet zu werden. Geschulte Intuition ist die Ebene, die KI bislang nicht repliziert.
- In Outlook auf Melden → Phishing klicken.
- Oder an security@zevvy.org weiterleiten.
- Wenn Sie auf die Nachricht reagiert haben, IT kontaktieren: it@zevvy.org.