This was a simulated phishing attack. Das war ein simulierter Phishing-Angriff.

You just acted on an email pretending to be from a Zevvy executive. Nothing was lost this time — but in a real CEO-fraud or Business Email Compromise attack, the same action can cost a company six- or seven-figure sums. Sie haben gerade auf eine E-Mail reagiert, die sich als Mitteilung einer Zevvy-Führungskraft ausgab. Diesmal ist nichts verloren — bei einem echten CEO-Betrug oder einer Business-E-Mail-Compromise-Attacke kosten dieselben Aktionen ein Unternehmen sechs- oder siebenstellige Beträge.

What would have happened in a real attack Was bei einem echten Angriff passiert wäre

Business Email Compromise (BEC) is the single most expensive category of cybercrime — by FBI numbers it costs more than ransomware. There's usually no malware involved. The attacker just sends an email.

A typical scenario: the attacker studies LinkedIn and the Zevvy website, learns who the CEO or CFO is, who the finance team is, and the wording of internal emails. Then they send a believable message from a look-alike domain — zewy.org instead of zevvy.org, or just spoof the display name — asking finance to pay a "confidential" invoice, change a vendor's bank details, or buy gift cards "for a client appreciation event".

Variants include "vendor invoice fraud" (intercepting a real supplier conversation and quietly switching the bank details on the next invoice) and "payroll diversion" (an HR-impersonating email asking IT to update someone's direct-deposit account).

Business Email Compromise (BEC) ist laut FBI-Zahlen die teuerste Form der Cyberkriminalität — kostspieliger als Ransomware. Schadsoftware ist selten im Spiel. Der Angreifer schickt einfach eine E-Mail.

Typischer Ablauf: Der Angreifer studiert LinkedIn und die Zevvy-Website, lernt, wer CEO oder CFO ist, wer in der Buchhaltung sitzt und welcher Tonfall intern üblich ist. Dann verschickt er eine glaubwürdige Nachricht von einer ähnlich aussehenden Domain — zewy.org statt zevvy.org, oder einfach mit gefälschtem Anzeigenamen — und bittet die Buchhaltung um die Zahlung einer „vertraulichen“ Rechnung, eine Änderung der Bankverbindung eines Lieferanten oder den Kauf von Gutscheinen „für ein Kundenevent“.

Varianten sind „Vendor Invoice Fraud“ (Übernahme einer echten Lieferanten-Konversation und stille Änderung der Bankdaten auf der nächsten Rechnung) und „Payroll Diversion“ (eine angebliche HR-E-Mail an die IT, das Gehaltskonto eines Mitarbeitenden zu ändern).

Red flags you could have spotted Warnsignale, die Sie hätten erkennen können

Urgency from a senior person. "I'm in a meeting, can you handle this quickly?" — designed to bypass normal approvals. Dringlichkeit von einer Führungskraft. „Ich bin in einer Sitzung, kannst du das schnell erledigen?“ — soll normale Freigaben umgehen.
Secrecy. "Please don't mention this to anyone yet" — isolates you from a colleague who would notice. Geheimhaltung. „Bitte zunächst niemandem davon erzählen“ — isoliert Sie von Kolleginnen und Kollegen, die etwas bemerken würden.
Subtle sender-domain change. zewy.org, zevvy-finance.com, zevvy.co — at a glance identical, but not the real domain. Subtile Änderung der Absender-Domain. zewy.org, zevvy-finance.com, zevvy.co — auf den ersten Blick identisch, aber nicht die echte Domain.
Reply-To address differs from the From address. The reply secretly goes to a free mail provider or an attacker-controlled domain. Reply-To weicht von der From-Adresse ab. Die Antwort geht heimlich an einen Freemail-Anbieter oder eine vom Angreifer kontrollierte Domain.
Unusual payment request. Wire transfer, cryptocurrency, gift cards, or a sudden change in a known vendor's bank details. Ungewöhnliche Zahlungsaufforderung. Überweisung, Kryptowährung, Gutscheine oder plötzlich geänderte Bankverbindung eines bekannten Lieferanten.
"Sent from my iPhone" tone shift. Convenient excuse for typos and a missing signature block — and for the message looking different from this person's usual style. „Von meinem iPhone gesendet“-Stilbruch. Bequeme Ausrede für Tippfehler und fehlende Signatur — und dafür, dass die Nachricht anders klingt als sonst.

Next time, do this instead So machen Sie es beim nächsten Mal

Verify any payment or bank-change request out-of-band. Call the person on a known number, send a Teams message, or walk over. Never use the contact details from the suspicious email. Zahlungs- oder Bankdaten-Änderungen immer über einen zweiten Kanal prüfen. Rufen Sie die Person unter einer bekannten Nummer an, schreiben Sie ihr in Teams oder gehen Sie persönlich vorbei. Niemals die Kontaktdaten aus der verdächtigen E-Mail nutzen.
Stick to the approval process — especially under pressure. A real executive will respect the process they themselves set up. Pressure to skip it is itself the warning sign. Bleiben Sie beim Freigabeprozess — gerade unter Druck. Eine echte Führungskraft respektiert den Prozess, den sie selbst eingeführt hat. Der Druck, ihn zu umgehen, ist das Warnsignal.
Check the full sender address, not the display name. Display names can say anything. The real address is what counts. Prüfen Sie die vollständige Absenderadresse, nicht den Anzeigenamen. Anzeigenamen können beliebig sein. Entscheidend ist die echte Adresse.
Treat "secrecy" as an alarm. Legitimate confidential matters don't ask you to hide from colleagues whose job is to double-check. Behandeln Sie „Geheimhaltung“ als Alarmsignal. Echte vertrauliche Themen verlangen nicht, dass Sie Kolleginnen und Kollegen umgehen, deren Aufgabe gerade die Gegenprüfung ist.
If a payment already went out — call IT and Finance immediately. Wire transfers can sometimes be recalled within hours, almost never after a day. Wenn die Zahlung bereits raus ist — sofort IT und Finanzen informieren. Überweisungen können innerhalb weniger Stunden manchmal noch zurückgerufen werden, nach einem Tag fast nie mehr.

Report suspicious emails Verdächtige E-Mails melden

If you receive an email that feels off — report it. Even if you're not sure. False alarms are welcome; missed real attacks are not.

In Outlook, click the Report button in the ribbon and choose Phishing.
Or forward the email as an attachment to security@zevvy.org.
If money has already moved, contact IT and Finance immediately: it@zevvy.org.

Wenn Ihnen eine E-Mail komisch vorkommt — melden Sie sie. Auch wenn Sie unsicher sind. Fehlalarme sind willkommen; übersehene echte Angriffe nicht.

In Outlook klicken Sie im Menüband auf Melden und wählen Phishing.
Oder leiten Sie die E-Mail als Anhang an security@zevvy.org weiter.
Wenn bereits Geld geflossen ist, sofort IT und Finanzen kontaktieren: it@zevvy.org.