Der Angriff im Detail
Der Angriff beginnt mit einer scheinbar harmlosen E-Mail: „Leider konnten wir Ihr Paket nicht zustellen…“
Enthalten sind:
- eine Sendungsnummer
- ein Button wie „Jetzt neu planen“
- der Hinweis auf einen fehlgeschlagenen Zustellversuch
Nach dem Klick auf den Button gelangen die Nutzer auf die Webseite cprapid.com wo eine gefälschte DPD-Webseite über den gescheiterten Zustellversuch informiert. Nutzer gelangen dann über einen Button "Planen Sie eine neue Lieferung" auf eine Unterseite zur Auswahl eines kostenpflichtigen neuen Liefertermins. Nach Auswahl des Termins werden Kreditkartendaten abgefragt, die anschließend an die Betrüger übermittelt werden.
Einordnung des Angriffs
| Kategorie | Bewertung |
| Angriffstyp | Zahlungs- & Credential-Phishing |
| Zielgruppe | Alle Mitarbeitenden |
| Täuschungsgrad | ⭐⭐⭐⭐⭐ (sehr hoch) |
| Risiko für Unternehmen | ⭐⭐⭐⭐⭐ (kritisch) |
Warum ist dieser Angriff für Unternehmen besonders gefährlich?
- Unternehmen erhalten regelmäßig Pakete
- viele Mitarbeitende haben Zugriff auf Lieferungen
- kleine Beträge („2 € Versand“) werden meist nicht hinterfragt
- Prozesse oft nicht klar geregelt sind
- täuschend echte Nachbildung der Website
- mehrstufige Täuschung statt einfacher Mail
Woran erkennt man Diesen Phishing-Versuch?
- ❌ Unpersönliche Ansprache („Guten Tag“)
- ❌ Unbekannter oder ungewöhnlicher Absender
- ❌ Link zu externer Seite
- ❌ Zahlungsaufforderung für Zustellung
- ❌ Domain passt nicht zu DPD
Was sollten Mitarbeitende konkret tun?
- Nicht auf Links klicken
- Mail ignorieren oder in Spam verschieben
- Sendung nur über offiziellen Kanal prüfen (App oder bekannte Website)
- keine Zahlungsdaten eingeben
- IT/ Security-Team informieren
Warum dieser Angriff relevant für IT-Abteilungen ist
Solche Phishing-Angriffe zeigen sehr deutlich, dass technische Schutzmaßnahmen allein nicht ausreichen. Der Angriff nutzt keinen klassischen „Hack“, sondern gezielt menschliches Verhalten und alltägliche Prozesse im Unternehmen.
Gerade in Organisationen mit regelmäßigem Paketaufkommen entstehen Situationen, in denen Mitarbeitende solche Nachrichten als plausibel einstufen. Der Kontext wirkt vertraut, die Handlung erscheint logisch, und der geforderte Betrag ist gering genug, um keine unmittelbare Skepsis auszulösen.
Für IT- und Security-Verantwortliche bedeutet das, dass Awareness gezielt auf solche realistischen Szenarien ausgerichtet werden muss. Es reicht nicht, abstrakte Phishing-Beispiele zu zeigen - Mitarbeitende müssen lernen, konkrete Alltagssituationen kritisch zu hinterfragen.
Wichtig ist zudem, klare interne Regeln zu definieren: Wer darf Lieferungen neu planen? Wer darf Zahlungen durchführen? Und wie werden solche Fälle geprüft?
Wie eine Phishing-Simulation auf Basis dieses Angriffs aussehen kann
Dieser Angriff eignet sich hervorragend als Grundlage für eine realistische Phishing-Simulation, da er typische Schwachstellen im Unternehmen adressiert.
In einer Simulation könnte ein ähnliches Szenario aufgebaut werden, bei dem Mitarbeitende eine vermeintliche Zustellbenachrichtigung erhalten und aufgefordert werden, eine kleine Gebühr zu bezahlen oder eine Lieferung neu zu planen.
Ziel ist es dabei nicht, Mitarbeitende zu überführen, sondern ihr Verhalten messbar zu machen und gezielt zu verbessern. Besonders interessant ist die Analyse, wie viele Personen:
- auf den Link klicken
- Zahlungsdaten eingeben würden
- die E-Mail melden
Durch Varianten (z. B. andere Beträge, andere Paketdienste, unterschiedliche Formulierungen) kann zusätzlich getestet werden, wie robust das Sicherheitsbewusstsein im Unternehmen ist.
Die zentralen Lernziele sind klar: Mitarbeitende sollen erkennen, dass auch alltägliche Situationen wie Paketlieferungen ein Einfallstor für Angriffe sein können. Sie lernen, verdächtige Merkmale zu identifizieren, vorschnelle Handlungen zu vermeiden und sicherheitskritische Entscheidungen nicht unter Zeitdruck zu treffen.
Langfristig führt das zu einem deutlich höheren Sicherheitsniveau im Unternehmen.
Wie gut ist Ihr Unternehmen auf solche Angriffe vorbereitet?
Genau solche Phishing-Mails werden täglich erfolgreich eingesetzt - auch in Unternehmen wie Ihrem.
Wissen Sie, wie Ihre Mitarbeitenden reagieren würden?
Mit einer realistischen Phishing-Simulation testen Sie:
- ob solche Mails erkannt werden
- wer auf kritische Inhalte klickt
- wie gut Ihre internen Prozesse funktionieren
Erhalten Sie eine erste Einschätzung Ihrer Sicherheitslage.
Die im Rahmen dieses Blogartikels verwendeten Marken, Logos und Unternehmenskennzeichen dienen ausschließlich der realitätsnahen Darstellung von Phishing-Angriffen. Eine markenmäßige Nutzung oder wirtschaftliche Ausnutzung findet nicht statt. Es besteht keinerlei Verbindung zu den jeweiligen Markeninhabern.