This was a simulated phishing attack. Das war ein simulierter Phishing-Angriff.
You just clicked a link in a suspicious email. Nothing was infected this time — but in a real attack, a single click can compromise your device. Sie haben gerade auf einen Link in einer verdächtigen E-Mail geklickt. Diesmal wurde nichts infiziert — bei einem echten Angriff kann ein einziger Klick Ihr Gerät kompromittieren.
What would have happened in a real attack Was bei einem echten Angriff passiert wäre
A click on a phishing link is rarely "just a click." The destination can do several things at once: fingerprint your device and browser version, redirect you to a fake login page, silently load a drive-by exploit that targets unpatched software, or hand you off to a chain of redirect servers that fool email scanners.
Some links are personalised: they carry a tracking token tied to you, so opening one confirms your email is active and your inbox becomes a higher-value target for future attacks. Others use HTML smuggling to assemble malware in your browser without an obvious download prompt.
The dangerous part is not the click itself — it's everything the destination is allowed to do before you notice.
Ein Klick auf einen Phishing-Link ist selten „nur ein Klick“. Das Ziel kann gleich mehrere Dinge tun: Ihr Gerät und Ihre Browser-Version analysieren, Sie auf eine gefälschte Anmeldeseite umleiten, im Hintergrund einen Drive-by-Exploit gegen veraltete Software laden oder Sie durch eine Kette von Weiterleitungen schleusen, um E-Mail-Scanner zu täuschen.
Manche Links sind personalisiert: Sie enthalten ein Tracking-Token, das mit Ihnen verknüpft ist. Das Öffnen bestätigt, dass Ihre Adresse aktiv ist — Ihr Postfach wird so zum lohnenderen Ziel für zukünftige Angriffe. Andere nutzen HTML-Smuggling, um Schadsoftware direkt im Browser zusammenzusetzen, ohne einen sichtbaren Download.
Gefährlich ist nicht der Klick selbst — sondern alles, was das Ziel tun darf, bevor Sie es bemerken.
Red flags you could have spotted Warnsignale, die Sie hätten erkennen können
- Link text didn't match the real URL. The link said one thing, but hovering revealed a completely different address. Link-Text und echte URL passten nicht zusammen. Der Link zeigte einen Namen, beim Überfahren mit der Maus erschien aber eine ganz andere Adresse.
-
Shortened or obfuscated URL.
bit.ly,tinyurl, IP addresses instead of names, or random subdomains likemail-zevvy-secure.xyz. Verkürzte oder verschleierte URL.bit.ly,tinyurl, IP-Adressen statt Namen oder zufällige Subdomains wiemail-zevvy-secure.xyz. - Unexpected sender or unexpected request. A package you didn't order, an invoice you don't recognise, a colleague asking you to "review this quickly". Unerwarteter Absender oder unerwartete Bitte. Ein Paket, das Sie nicht bestellt haben, eine unbekannte Rechnung, ein Kollege, der Sie bittet, „kurz etwas anzuschauen“.
- Mismatched domain in the link. A "Microsoft" notification linking to a non-Microsoft domain; a "DHL" tracking link going to a personal-looking subdomain. Domain im Link passte nicht zum Absender. Eine angebliche „Microsoft“-Benachrichtigung, die zu einer fremden Domain führt; ein „DHL“-Tracking-Link auf einer privat wirkenden Subdomain.
- Pressure to click "now". Countdown timers, "action required", "your delivery will be returned" — urgency designed to bypass your judgement. Druck, „jetzt“ zu klicken. Countdown, „Aktion erforderlich“, „Ihre Lieferung wird zurückgeschickt“ — Dringlichkeit, die Ihr Urteilsvermögen ausschalten soll.
Next time, do this instead So machen Sie es beim nächsten Mal
- Hover before you click. On desktop, hover the link and read the real URL shown in the status bar. On mobile, long-press to preview. Vor dem Klick mit der Maus über den Link fahren. Am Desktop sehen Sie die echte URL in der Statusleiste. Am Smartphone halten Sie den Link kurz gedrückt, um ihn anzuzeigen.
-
Read the domain from right to left. The bit just before the first single slash is the real domain.
zevvy.org.attacker.com/loginis attacker.com, not Zevvy. Lesen Sie die Domain von rechts nach links. Der Teil direkt vor dem ersten einzelnen Schrägstrich ist die echte Domain.zevvy.org.angreifer.com/logingehört zu angreifer.com, nicht zu Zevvy. - Type known URLs yourself. For banking, Microsoft 365, parcel tracking, or anything that asks for a login — open the site from a bookmark or by typing the URL. Bekannte URLs selbst eingeben. Für Banking, Microsoft 365, Paketverfolgung oder alles, was eine Anmeldung verlangt — öffnen Sie die Seite über ein Lesezeichen oder tippen Sie die URL ein.
- If you already clicked — don't enter anything. Close the tab, take a screenshot of the link if you can, and report it. Wenn Sie bereits geklickt haben — geben Sie nichts ein. Schließen Sie den Tab, machen Sie wenn möglich einen Screenshot des Links und melden Sie ihn.
- Keep your browser up to date. Most drive-by attacks fail against an up-to-date browser. Restart it occasionally to apply patches. Halten Sie Ihren Browser aktuell. Die meisten Drive-by-Angriffe scheitern an einem aktuellen Browser. Starten Sie ihn gelegentlich neu, damit Updates wirksam werden.
Report suspicious emails Verdächtige E-Mails melden
If you receive an email that feels off — report it. Even if you're not sure. False alarms are welcome; missed real attacks are not.
- In Outlook, click the Report button in the ribbon and choose Phishing.
- Or forward the email as an attachment to security@zevvy.org.
- If you already clicked a link or entered credentials, contact IT immediately: it@zevvy.org.
Wenn Ihnen eine E-Mail komisch vorkommt — melden Sie sie. Auch wenn Sie unsicher sind. Fehlalarme sind willkommen; übersehene echte Angriffe nicht.
- In Outlook klicken Sie im Menüband auf Melden und wählen Phishing.
- Oder leiten Sie die E-Mail als Anhang an security@zevvy.org weiter.
- Wenn Sie bereits einen Link geklickt oder Zugangsdaten eingegeben haben, kontaktieren Sie sofort die IT: it@zevvy.org.