CypSec Logo
CypSec Phishing Training

Inspect Real-World Phishing Examples

Demo Phishing Attempt

Typical Banking Scam

Email Headers

Human Elements
  • From: suspicious.sender@example.com
  • To: victim.user@cypsec.com
  • Subject: Urgent: Verify Your Account
Technical Elements
  • SPF: Fail
  • DKIM: Invalid Signature
  • DMARC: Alignment Failed

Email Content

Dear User,

We noticed suspicious activity on your account. Please verify your credentials immediately by clicking the link below:

Verify My Account

Failure to verify within 24 hours will result in account suspension.

Regards,
The Support Team

What to Look For

  • Check if the sender's email address matches the official domain.
  • Hover over links to verify if they redirect to a legitimate website.
  • Be cautious of urgent or threatening language in the message.
  • SPF, DKIM, and DMARC failures indicate possible forgery.

Access Suspension - Summary

This email is likely a phishing attempt designed to steal your login credentials or infect your computer with malware. It’s safer to ignore such messages, especially when they contain attachments and ask you to verify sensitive information. Instead, visit the official website of your email provider directly, log in, and check for any security alerts or issues. Always be cautious of unsolicited emails with attachments, especially when they claim to be about account security.

E-Mail Headers

Human Metadata
  • From: Access Suspended (mortgagepros@carolina.rr.com)
  • To: guido.schenone@cypsec.de
  • On: Wed, 27 Nov 2024 00:51:58
  • Subject: [Info] Please read! Important message-ID(46FFI51)
Technical Metadata
  • Links: Suspicious External URLs
  • Configuration: Message Already Received
  • SPF: Soft Failure
  • Content: Many Invisible Parts

Email Content

Account Security

Your Access To Webmail is temporarily locked after we observed suspicious account activities

We noticed someone tried to log in to your account with a wrong password several times and exceeded

the number of times permitted,

to unlock your account you will need to verify your latest login history.

How can i verify ?

By viewing the attached document, hence we will unlock your account.

Download Document

You can view the statement from your computer/laptop only

What to Look For

  • Threatening Language:The email uses language that implies urgent action is needed to prevent a security issue (e.g., "Your Access To Webmail is temporarily locked"). This is a common tactic used by phishers to create a sense of urgency and panic.
  • Suspicious Attachment:The email instructs you to download an attachment to verify your login history. Legitimate companies, especially those dealing with sensitive data like webmail, typically don’t ask you to open attachments to resolve security issues. Downloading attachments from unknown sources is risky as they could contain malware.
  • Vague Details:The email does not specify which account was targeted or provide any clear instructions on how to resolve the issue. Phishing emails often omit specific details that would normally be included in legitimate correspondence.
  • Missed Personalization:The email addresses you generically ("Your Access To Webmail") without using your name. A legitimate email from a service provider would typically include personal information or at least use your name in the greeting.
  • Poor Grammar and Phrasing:The email contains awkward phrasing such as "exceeded the number of times permitted" and "hence we will unlock your account," which may indicate that the email is not from a professional, English-speaking company.
  • Pressure to Act Quickly:The email pressures you to act quickly by claiming your account is locked and suggesting that you need to verify your login history. Phishing emails often pressure recipients to act hastily, often in the form of threats or urgent requests.
  • Unusual Request for Verification:Legitimate services usually ask you to verify login details through a secure portal or website, not by downloading a document from an email. This is a major red flag.

Commerzbank - Zusammenfassung

Mit dieser E-Mail wird wahrscheinlich versucht, Sie durch die Präsentation eines „dringenden“ Updates zur Angabe persönlicher Daten oder Anmeldeinformationen zu verleiten. Seien Sie vorsichtig, insbesondere wenn Sie in der E-Mail über einen Link in der Nachricht aufgefordert werden, sich bei Ihrem Konto anzumelden. Überprüfen Sie solche Anfragen immer, indem Sie direkt auf die offizielle Website der Institution gehen oder sich an den Kundendienst wenden.

E-Mail Headers

Menschliche Metadaten
  • From: CommerzBank (rl@ad-acta.pl)
  • To: guido.schenone@cypsec.de
  • On: Mon, 18 Nov 2024 22:41:59 (EST)
  • Subject: Verifizierung erforderlich N°864745
Technische Metadaten
  • Konfiguration: Mehrere Konkurrierende Header
  • Antwort-Police: Fehlerhafte Antwort-Funktionalität
  • Datum: Fehlerhafte Uhrzeit
  • Kodierung: Arbiträre Text-Encodierung

E-Mail Inhalt

Neues Update wartet auf Ihre Zustimmung

So smart kann Konto sein.

Das neue „photoTAN Card"-Verfahren tritt in Kraft:

Ab sofort ist eine neue sichere photo TAN-Karte? erhältlich, die den Aktivierungsbrief dauerhaft ersetzt. Dank des intuitiven neuen Designs und der erweiterten Funktionen der photo TAN-Karte lassen sich alle Mobile-Aktivierungen jetzt noch einfacher, schneller und gleichzeitig mit der gewohnten Sicherheit durchführen.

Bestellen Sie Ihre Neue photo TAN Card ganz einfach online. Kostenlose Lieferung** unverbindlich und ohne Jahresgebühr.

Überzeugt? Jetzt einfach online wechseln und Vorteile sichern!

Jetzt Bewerben

Warum ist Ihre Zustimmung wichtig:

Der Bundesgerichtshof (BGH) hat entschieden, dass bestimmte Anpassungen von AGB und PLV eine aktive Zustimmung der Kunden benötigen.

So geht's besonders einfach:

Besonders leicht erteilen Sie Ihre Zustimmung über Ihren Konto-/Depotzugang auf unserer Website. Einfach einloggen, zustimmen, fertig. Eine Zustimmung über die App ist nicht möglich.

Worauf Sie achten sollten

  • Dringlichkeit und Druck: Die E-Mail erzeugt ein Gefühl der Dringlichkeit, indem sie darauf hinweist, dass ein Update auf Ihre Genehmigung wartet und sich auf ein neues Sicherheitsverfahren bezieht, das Maßnahmen erfordert. Phishing-E-Mails nutzen oft Drucktaktiken, um den Empfänger dazu zu bringen, überstürzt zu handeln, ohne nachzudenken.
  • Unangeforderte Angebote für eine "photoTAN-Karte": Eine seriöse Bank würde keine unaufgeforderten E-Mails senden, in denen neue Sicherheitsgeräte oder -verfahren angeboten werden. Wenn Sie keine Updates oder Änderungen angefordert haben, ist dies verdächtig.
  • Verdächtiger Link zum Bestellen einer neuen "photoTAN-Karte": Die E-Mail fordert Sie auf, online eine neue "photoTAN-Karte" zu bestellen. Phishing-E-Mails leiten Empfänger häufig auf gefälschte Websites weiter, die wie legitime Bankseiten aussehen, um persönliche Informationen oder Anmeldedaten zu stehlen.
  • Aufforderung zu persönlichem Handeln auf einer Website: Die E-Mail fordert Sie auf, sich auf deren Website in Ihr Konto einzuloggen, um Ihre Genehmigung zu erteilen. Wenn Sie solche Anfragen erhalten, ist es sicherer, die offizielle Website Ihrer Bank direkt aufzurufen, indem Sie die URL selbst eingeben, anstatt auf Links in der E-Mail zu klicken.
  • Übermäßige Personalisierung und Verweise auf rechtliche Entscheidungen: Phishing-E-Mails versuchen oft, sich legitimer darzustellen, indem sie offizielle Stellen (wie den Bundesgerichtshof) erwähnen, um Sie glauben zu lassen, dass es sich um eine rechtliche Anforderung handelt. Diese Technik soll Sie dazu bringen, schnell zu handeln und vorschnelle Entscheidungen zu treffen.
  • Kostenlose Lieferung und keine Jahresgebühr: Der Hinweis auf "kostenlose Lieferung" und "keine Jahresgebühr" klingt zu gut, um wahr zu sein. Betrüger bieten oft "kostenlose" Produkte oder Dienstleistungen an, um Menschen dazu zu bringen, persönliche Informationen preiszugeben.
  • Fehlende spezifische Kontaktinformationen: Seriöse Institutionen fügen in ihrer Kommunikation spezifische Kontaktinformationen (wie eine Telefonnummer oder ein sicheres Support-Portal) hinzu. Das Fehlen solcher Informationen und der Fokus darauf, Sie über die E-Mail auf ihre Website zu lenken, ist besorgniserregend.

One Million Dollars - Summary

This email is highly likely to be a phishing attempt or scam. The claims about donating a large sum of money, the suspicious email address, and the unprofessional tone are all major red flags. You should avoid responding or clicking on any links in the email. If you're ever in doubt about an offer like this, it’s best to verify its authenticity through official channels.

E-Mail Headers

Human Metadata
  • From: Maria Elisabeth Schaeffler (yasa.putri@nabatisnack.co.id)
  • To: guido.schenone@cypsec.de
  • On: Mon, 25 Nov 2024 12:01:10 (EST)
  • Subject: €1,000,000.00 (One million Euro)
Technical Metadata
  • Persistence: Multiple Unsolicited Mails in 24h
  • Reputation: Free Mail
  • Configuration: Forged Recipients
  • To: Distribution Network

Email Content

Hello I'm Maria Elisabeth Schaeffler, a German businesswoman, investor, and CEO of Schaeffler Group. I'm one of the owners of Schaeffler Group. I gave away 25 percent of my personal wealth to charity. And I also pledged to give away the rest of 25% this year 2024 to Individuals. I have decided to donate €1,000,000.00 (One million Euro) to 100 people. If you are interested in my donation, do contact me for more info: ?mariaelisabethschaeffler31@aol.com Warm Regards, CEO Maria-Elisabeth Schaeffler.

Virus-free. www.avast.com

This e-mail and any files transmitted with it are confidential and intended solely for the use of the individual to whom it is addressed. If you have received this email in error please send it back to the person that sent it to you. Any views or opinions presented are solely those of its author and do not necessarily represent those of NABATI or any of its subsidiary companies. Unauthorized publication, use, dissemination, forwarding, printing or copying of this email and its associated attachments is strictly prohibited.

What to Look For

  • Unsolicited Donation Offer:The email claims that Maria Elisabeth Schaeffler, a prominent businesswoman, is giving away a significant sum of money to 100 individuals. Legitimate charitable donations from high-profile individuals are typically announced through official channels, not via unsolicited emails. This is a common tactic used in scams to lure people into contacting the sender.
  • Suspicious Email Address:The email uses an unusual address for a public figure like Maria Elisabeth Schaeffler: mariaelisabethschaeffler31@aol.com. Official communications from reputable organizations or individuals of such stature would typically come from a corporate or verified email address, not a personal AOL account.
  • Too Good to Be True:The email promises an unusually large sum of money—€1,000,000.00—distributed to 100 people. This is a classic sign of a scam, as such offers are rarely legitimate. Scammers often try to appeal to greed or desperation to get recipients to respond.
  • Request for Contact:The email asks you to contact the sender for more information. Phishing emails often encourage the recipient to reply to the email or click on links, leading to a malicious site or revealing sensitive information like banking details.
  • Virus-Free Statement (Irrelevant and Distracting):The statement "Virus-free. www.avast.com" at the bottom of the email is a red herring. It's irrelevant and often used in phishing emails to make them seem legitimate. No legitimate business communication would need to reassure the recipient in this manner.
  • Unusual or Poorly Written Signature:The way the email is written, with phrasing like "If you are interested in my donation, do contact me for more info," is informal and unprofessional for a CEO of a major corporation. It lacks the tone and structure one would expect from official correspondence.
  • Legal Disclaimer (Misleading):The disclaimer at the bottom, which includes a vague mention of "NABATI" and subsidiary companies, is often a tactic used to make the email appear more legitimate. Scammers frequently include such language to make the email seem like it’s coming from a reputable source.

Revolut - Summary

This email exhibits typical phishing traits: a generic greeting, suspicious requests for personal information, vague language, and the lack of contact details or official branding. You should avoid clicking on any links or replying to the email. It’s best to verify the status of your account by logging into the official app or website directly. If you have any concerns, contact Revolut’s support team through their verified communication channels.

E-Mail Headers

Human Metadata
  • From: Revolut (s0852006@mail.ncue.edu.tw)
  • To: guido.schenone@cypsec.de
  • On: Sun, 17 Nov 2024 13:43:13 (EST)
  • Subject: Update required !
Technical Metadata
  • DNS: MX Invalid
  • Reputation: Spamhaus Listing
  • Configuration: Missing To
  • Reply: Bad Reply Policies

Email Content

Dear Customer,

We regret to inform you that we have restricted your account for your own protection. This security procedure is important because you have not yet verified your phone number. In order for us to continue to offer you a secure payment service, it is necessary to confirm your mobile number.

You can confirm your phone number by logging back into your account. Go to your account

Go to your account

Thank you.

This service announcement has been sent to you to notify you of important changes to Revolut.

What to Look For

  • Generic Greeting:The email begins with a generic "Dear Customer," instead of using your name. Legitimate companies, especially ones like Revolut, typically address you by your registered name.
  • Suspicious Request for Phone Number Verification:The email claims that your account has been restricted due to an unverified phone number, which is a common tactic used in phishing to prompt the recipient to take immediate action. Legitimate companies usually notify you about account restrictions via their official app or website, not by email, and they never require you to verify personal details through email.
  • Suspicious Link:The phrase "Go to your account" is presented twice, but there’s no link or URL provided for the account. Phishing emails often include hidden or disguised links to fake websites that look like the original, where you could unknowingly enter your login credentials or other sensitive information.
  • Lack of Specific Details:The email lacks any personalized details about your account, such as the specific issue, account number, or other identifiers that would usually be included in a legitimate communication from a service provider like Revolut.
  • No Contact Information or Official Branding:There is no official Revolut contact information, support link, or phone number in the email. A legitimate email from Revolut would typically include a clear customer support contact and company branding.
  • Urgency with No Clear Reason:The email implies that your account has been restricted for security reasons, urging you to take action. Phishing attempts often create a sense of urgency to force you into acting quickly, without giving you enough time to consider the legitimacy of the message.
  • Unprofessional or Vague Language:The phrasing "This service announcement has been sent to you to notify you of important changes" is vague and not typical of professional communication from a financial institution.

Rückgewinnung von Geldern - Zusammenfassung

Die E-Mail enthält typische Merkmale eines Phishing-Angriffs: Unbekannte Absender, Verdächtige Firmen, Aufforderungen zur Weitergabe sensibler persönlicher Daten, Dringlichkeit und bedrohliche Formulierungen. Es wird dringend empfohlen, auf keinen Fall auf die E-Mail zu reagieren, persönliche Daten preiszugeben oder Links zu folgen. Löschen Sie die E-Mail und melden Sie den Vorfall gegebenenfalls den zuständigen Behörden.

E-Mail Headers

Menschliche Metadaten
  • From: Hackett Evie (jettiecertain7443@hotmail.com)
  • To: guido.schenone@cypsec.de
  • On: Mon, 25 Nov 2024 03:02:59 (EST)
  • Subject: Unterstützung bei der Rückgewinnung von Geldern von betrügerischen Finanzunternehmen
Technische Metadaten
  • Inhalt: Mehrere Unsichtbare Elemente
  • DKIM: Hotmail-Signatur
  • Kodierung: Arbiträre Text-Kodierung
  • To: Unseriöse Wörter

E-Mail Inhalt

Sehr geehrte/r Kunde/in,

ich hoffe, dass diese Nachricht Sie bei bester Gesundheit erreicht. Mein Name ist Simon Hartmann, und ich bin leitender Ermittler bei SecureFund Resolution, einer Firma, die sich auf die Rückgewinnung von Investitionen und die Prävention von Cyberkriminalität spezialisiert hat. Unser Ziel ist es, Personen wie Ihnen zu helfen, verlorene Gelder von betrügerischen Finanzorganisationen zurückzuerhalten.

Im Rahmen unserer laufenden Untersuchung gegen das Finanzunternehmen InfinityFX, das im Bereich Kryptowährungen und Devisenhandel unter verschiedenen Namen ohne entsprechende Genehmigung tätig ist, haben wir bedeutende Informationen entdeckt. Diese Organisation steht im Verdacht, illegale Aktivitäten wie die Eröffnung nicht autorisierter Konten, Geldwäsche und betrügerischen Handel durchgeführt zu haben.

Wir haben festgestellt, dass ein Lloyds Bank-Konto auf Ihren Namen von InfinityFX eröffnet wurde, höchstwahrscheinlich ohne Ihre vollständige Zustimmung oder Kenntnis. Dieses Konto, das derzeit eingefroren ist, wurde von der Organisation für illegale Aktivitäten verwendet. Der aktuelle Kontostand beträgt 86.740,00 EUR.

Wir setzen uns mit Ihnen in Verbindung, um zu bestätigen, ob diese Gelder mit Ihren Transaktionen bei InfinityFX zusammenhängen, und um Ihnen bei deren Rückgewinnung zu helfen. Falls Sie an einer Rückforderung interessiert sind, können wir den Prozess erleichtern und Ihnen die notwendigen Dokumente, wie z. B. einen offiziellen Kontoauszug von der Lloyds Bank, zur Verfügung stellen.

Für weitere Unterstützung oder Informationen kontaktieren Sie uns bitte ausschließlich per E-Mail: simon.hartmann@financedepart.org

Unser Team arbeitet eng mit den britischen Justiz- und Steuerbehörden zusammen, um sicherzustellen, dass der Prozess legal und sicher ist. Wir garantieren Ihnen Folgendes:

  • Sie haben das Recht, von der Lloyds Bank einen offiziellen Kontoauszug anzufordern, der Ihr Konto und die Gelder bestätigt.
  • Alle Transaktionen und die Kommunikation werden von vertrauenswürdigen und akkreditierten Fachleuten durchgeführt.
  • Um Ihnen Sicherheit zu gewährleisten, stellen wir Ihnen die erforderlichen Identifikationsnachweise und Dokumente zur Verfügung.
  • Sie erhalten einen sicheren Zugang zu Ihrem Konto über das Lloyds Bank Online-Banking.

Bitte beachten Sie, dass Ihr Konto bei der Lloyds Bank derzeit inaktiv ist. Um mit der Rückführung der Gelder fortzufahren, muss das Konto durch einen Bestätigungsprozess aktiviert werden, den nur Sie als Kontoinhaber durchführen können. Dafür benötigen wir eine Ausweiskopie, wie einen gescannten Pass, sowie Ihre IBAN-Nummer.

Optionen zur Auszahlung der Gelder:

  • Kontowiederherstellung: Sobald Ihre Identität bestätigt und das Konto reaktiviert ist, wird Lloyds Bank den vollen Betrag (86.740,00 EUR) auf ein von Ihnen gewähltes Konto innerhalb von etwa vier Wochen überweisen.
  • Mögliche Kosten: Eventuelle Kosten, die mit diesem Prozess verbunden sind, werden nach der Aktivierung des Kontos ermittelt. Sollten Kosten anfallen, werden wir Sie umgehend informieren.

Falls Sie fortfahren möchten oder weitere Informationen benötigen, nehmen Sie bitte Kontakt mit uns auf. Wir sind hier, um Sie bei jedem Schritt der Rückforderung Ihrer Gelder zu unterstützen.

Für weitere Unterstützung oder Informationen kontaktieren Sie uns bitte ausschließlich per E-Mail: simon.hartmann@financedepart.org

Mit freundlichen Grüßen,

Simon Hartmann

Leitender Ermittler

SecureFund Resolution

Worauf Sie achten sollten

  • Unbekannte oder unpassende E-Mail-Adresse:Die Absenderadresse „simon.hartmann@financedepart.org“ sieht verdächtig aus. Seriöse Unternehmen wie Lloyds Bank verwenden in der Regel eine offizielle E-Mail-Adresse mit ihrer eigenen Domain, nicht eine generische Domain wie „financedepart.org“.
  • Ungewohnte oder nicht autorisierte Unternehmen:„SecureFund Resolution“ ist keine bekannte und vertrauenswürdige Firma, die mit solchen Rückforderungen von Geldern aus Kryptowährungs- und Devisengeschäften arbeitet. Es wird nicht klar, wie diese Firma zu Ihrem Fall in Verbindung steht, was ein Hinweis auf Betrug sein könnte.
  • Dringlichkeit und Bedrohung:Der Text nutzt eine bedrohliche Sprache, indem er behauptet, dass ein Konto auf Ihren Namen bei einer verdächtigen Firma eröffnet wurde und Gelder eingefroren sind. Phishing-E-Mails setzen häufig auf Dringlichkeit oder Alarmismus, um den Empfänger zu einer schnellen Reaktion zu drängen.
  • Ungewöhnliche Aufforderung zu persönlichen Daten:Die E-Mail fordert sensible Daten an, wie eine Ausweiskopie und die IBAN-Nummer, um „die Rückführung der Gelder“ zu aktivieren. Seriöse Institutionen würden niemals solche Daten über unsichere Kommunikationskanäle wie E-Mail anfordern.
  • Ungewöhnliche Rechtschreibung und Grammatik:In der E-Mail gibt es keine gravierenden Fehler, aber der Ton und der Inhalt wirken etwas unprofessionell und passen nicht zu einer echten, etablierten Bank oder einer legitimen Ermittlungsbehörde.
  • Verdächtige Links oder Aufforderungen:Es wird behauptet, dass der Empfänger Zugang zu einem Online-Banking-Konto benötigt, was zu einer Phishing-Website führen könnte, die vorgibt, die tatsächliche Bank zu sein. Diese Methode wird oft verwendet, um Benutzerdaten zu stehlen.
  • Fehlende formelle Kontaktinformationen:Es wird keine Telefonnummer oder Adresse des Unternehmens angegeben. Seriöse Unternehmen stellen in der Regel mehrere Kontaktmöglichkeiten zur Verfügung, nicht nur eine E-Mail-Adresse.
  • Versprechen von „Kostenloser“ oder „Garantierter“ Rückzahlung:Die E-Mail verspricht, dass der gesamte Betrag von 86.740,00 EUR zurückgezahlt wird, was unrealistisch klingt und typischerweise als Lockmittel bei Phishing-Angriffen verwendet wird.

Tips to Identify Phishing Emails

1

Check the Sender's Email Address

Carefully verify the sender's email address. Phishing emails often use slight variations of legitimate domains, such as support@examp1e.com (with a "1" instead of an "l"). If in doubt, cross-check the domain with the official website.

2

Inspect Links Carefully

Hover over links to view the actual destination URL without clicking. Legitimate organizations rarely use link shorteners or redirect you to unrelated domains. Always type the official URL manually into your browser if unsure.

3

Beware of Urgent or Fear-Inducing Language

Phishing emails often create a sense of urgency, such as "Your account will be suspended!" or "You must act now!" Stay calm and verify such requests directly with the supposed sender through official contact channels.

4

Look for Grammar and Spelling Mistakes

Legitimate organizations typically avoid typos, awkward phrasing, or strange formatting. Phishing emails often contain these mistakes as they are hastily created or written by non-native speakers.

5

Avoid Downloading Unexpected Attachments

Be cautious with email attachments, especially if they are unsolicited. Files like .exe, .zip, or even .doc can contain malware. Scan all downloads with antivirus software before opening.

6

Verify Unexpected Requests for Sensitive Information

Legitimate organizations will not ask for sensitive details like passwords, bank details, or two-factor authentication codes via email. If you receive such a request, contact the organization directly using official contact information.

7

Check the Email Header

Advanced users can analyze email headers to trace the origin of the email. Look for mismatches in the "From" and "Reply-To" fields or unusual IP addresses in the delivery path.

8

Use Multifactor Authentication (MFA)

Even if attackers gain access to your credentials, MFA adds an extra layer of security. Enable MFA wherever possible to protect your accounts.

9

Trust Your Instincts

If an email feels off or too good to be true, it likely is. Trust your gut and verify any unexpected or unusual communications independently before taking action.

Our Trusted Partners

AWM AwareX

Experts in phishing simulations and security training, AWM helps organizations build a human firewall against cyber threats.

Learn More

InfoSec Assessors Group

Global leaders in compliance and security consulting, delivering strategies to counter phishing and social engineering attacks.

Learn More

Res-Q-Rity

Innovative training programs for phishing awareness, helping teams respond effectively to modern cyber threats.

Learn More

Добро пожаловать в CypSec Group

Чтобы предоставить лучший региональный опыт, мы используем один важный "localeCookie".