Erkennen Sie Phishing, bevor es zu spät ist?
Dreizehn Praxis-Szenarien aus echtem Berufsalltag — vom Look-alike-Domain-Trick über Link-Shortener und Makro-Anhänge bis zum Quishing-Angriff (QR-Code-Phishing). Nach jeder Antwort eine konkrete Erklärung, warum dieser Marker funktioniert oder nicht.
Am Ende eine persönliche Auswertung und — auf Wunsch — eine PDF mit den zehn wichtigsten Phishing-Erkennungsregeln per E-Mail.
Während des Quiz werden keine Daten an celox.io übertragen — alles läuft lokal in Ihrem Browser. Nur wenn Sie am Ende die PDF-Auswertung anforderst, übermitteln Sie freiwillig Ihre E-Mail-Adresse.
Ihr Phishing-Score
Ergebnis
0 %
0 von 13 Punkten
Themen-Diagnose
Die 13 wichtigsten Phishing-Erkennungsregeln
Echte Absender-Domain prüfen
Die echte Domain steht direkt vor der TLD. `support.microsoft.com` = Microsoft. `microsoft.support-portal.net` = nicht Microsoft.
Reply-To gegen From-Header prüfen
Bei legitimer Geschäftspost identisch. Abweichung = sehr verdächtig.
Hover-URL vor Klick prüfen
Angezeigter Linktext ist beliebig. Im Browser-Statusleisten-Tooltip steht die echte Ziel-URL.
Link-Shortener = misstrauisch
Bit.ly & Co. in Bank-/Behörden-/Firmen-Mails sind fast nie legitim.
Generische Anrede = Massen-Phishing
„Sehr geehrter Nutzer" / „Dear Customer". Echte Geschäftspartner kennen Ihren Namen.
Künstlicher Zeitdruck = Phishing-Marker
„24 h", „sofort", „letzte Mahnung" — Druck schaltet kritisches Denken ab.
Makros in Anhängen niemals aktivieren
Unverlangte Excel-/Word-Dateien mit Makro-Anforderung = melden + löschen.
Passwort-Anfragen sind immer Phishing
Niemand fragt das je legitim — auch nicht der eigene IT-Support.
Nach Klick: Passwort + 2FA sofort zurücksetzen
Daten gehen in Echtzeit raus. Reset + Session-Invalidate + IT melden.
Phishing immer melden, nicht nur löschen
Original-Header als .eml an die IT — die brauchen sie für Filter-Regeln.
Quishing-Falle erkennen
Bei fremden QR-Codes (Café, Parkautomat, Werbung) die URL-Vorschau prüfen. Sensible Aktionen niemals über fremde QR-Codes.
SPF/DKIM/DMARC im Header prüfen
`Authentication-Results` zeigt, ob die Absender-Domain DNS-validiert ist. `dmarc=fail` = unauthentifiziert.
Spear-Phishing am Kontext erkennen
Gezielte Angriffe sind grammatikalisch sauber + plausibler Absender. Bei ungewöhnlicher Aufforderung über zweiten Kanal verifizieren.
PDF-Auswertung per E-Mail
Erhalten Sie Ihre persönliche Auswertung als 1-Pager-PDF — mit Themen-Diagnose, Top-10-Regeln und konkreten Empfehlungen für Ihre schwächeren Bereiche.