Direkt zum Inhalt
zurück
Internet-Betrug, Fallen und Fakes im Blick
icon Internetfalle melden

Falle melden

online seit 10.12.2025

Der doppelte Login: Phishing-Versuch bei der Salzburg AG

Mit Phishing-Mails locken Kriminelle die Kund:innen der Salzburg AG auf eine gefälschte Login-Seite. Der erste Anmeldeversuch schlägt zwar fehl, übermittelt aber Usernamen und Passwort an die Betrüger:innen – und öffnet die echte Eingabemaske. Da der zweite Versuch klappt, schöpfen die Opfer keinen Verdacht. Warum die Masche auch für Nicht-Kund:innen relevant ist, erklärt dieser Artikel.

Die Salzburg AG bedient mit ihrem Cablelink-Angebot laut dem Geschäftsbericht aus dem Jahr 2024 weit über 100.000 Kund:innen. Zum Gesamtpaket zählt auch ein Webmail-Service. Aktuell versuchen Kriminelle mithilfe von Phishing-Mails an die Login-Informationen für diesen Dienst kommen. Der Betreff lautet: Sіе hаbеn 98,9 % dеs für Ihr Рostfасh rеservіеrtеn Dаtеnsреіchеrs gеnutzt.

Im Mail selbst heißt es:

Sie haben 98,9 % des Datenvolumens Ihres Postfachs verbraucht. Um Unterbrechungen oder den Verlust Ihrer eingehenden Nachrichten zu vermeiden, bitten wir Sie, Ihr Postfach regelmäßig zu überprüfen und Ihr Datenvolumen zu erhöhen.

Um die Überprüfung durchzuführen, sollen die Empfänger:innen auf einen integrierten Link klicken, der sie auf eine gefälschte Login-Seite führt. Dort übermitteln sie dann, ohne es zu merken, Passwort und Benutzername an die Kriminellen.

Warum das Salzburg-AG-Phishing auch für Nicht-Kund:innen interessant ist

Nun ist das Gefahrenpotenzial einer Phishing-Kampagne rund um das Cablelink-Angebot der Salzburg AG für den Rest Österreichs eher vernachlässigbar. Dennoch gibt es einen zentralen Punkt, der im Sinne einer umfassenden Betrugsprävention unbedingt näher erläutert werden sollte.

Der kritische Moment der Betrugsmasche ist dann erreicht, wenn der Login auf dem Fake-Portal ansteht. Nach der Eingabe von Username und Kennwort und dem anschließenden Klick auf den Anmeldebutton passiert nämlich – nichts. Zumindest macht es den Anschein, da sich die vermeintlich selbe Login-Seite nochmals aufbaut. Tatsächlich hat die Falle in diesem Moment aber bereits zugeschnappt.

  • Die Fake-Seite wurde nur gebaut, um die Login-Daten für den Webmail-Account der Nutzer:innen zu stehlen.

  • Der Klick auf den Anmeldebutton führt nicht zu einem Neuaufbau der Seite, sondern leitet das Opfer zum realen Login-Portal weiter. Die Reaktion der meisten Nutzer:innen ist in so einem Fall wohl die erneute Eingabe von Username und Passwort.

  • Im zweiten Anlauf klappt der Login. Das Opfer schöpft deshalb keinen Verdacht und tut die praktisch nur kurze Verzögerung mit einem Schulterzucken ab. Auf den ersten Blick ist ja nichts passiert.

Tatsächlich verfügen die Kriminellen nun über den Zugang zum Webmail-Konto und können dieses für weitere Betrugsmaschen nutzen - zum Beispiel Phishing-Mails an bestehende Kontakte senden. Zudem ist die Wahrscheinlichkeit hoch, dass beim Weblink-Portal  dieselbe Username/Passwort-Kombi zum Einsatz kommt wie beim Mail-Account. Ein Login wäre somit auch dort problemlos möglich.

Multiple Gefahr! Sobald sie die Login-Daten erbeutet haben, können Kriminelle nicht nur das gesamte E-Mail-Postfach nach sensiblen Informationen durchsuchen (Kennwörter, PINs, IBANs etc.). Mail-Adressen werden außerdem oftmals für die Zurücksetzung von Passwörtern verwendet. Betrüger:innen haben so die Möglichkeit, die Kontrolle über User-Profile bei anderen Plattformen zu erlangen.

Woran der Phishing-Versuch zu erkennen ist

Die Kriminellen geben sich in einer E-Mail-Nachricht als Kundendienst der Salzburg AG aus. Ein klassischer Phishing-Ansatz, der aber auch die klassischen Schwachstellen hat.

  • Seriöse Unternehmen/Institutionen versenden keine E-Mails mit integrierten Links. Sie weisen die Empfänger:innen immer an, notwendige Änderungen oder Überprüfungen direkt im jeweiligen Portal durchzuführen.

  • Die Absenderadresse der E-Mail hat nichts mit der Salzburg AG zu tun. Zwar erscheint als Absendername „Salzburg-ag.at“, die tatsächliche Adresse lautet allerdings ganz anders.

  • Die Adresse der falschen Login-Seite hat mit der echten nichts zu tun. Meist handelt es sich um kryptische Kombinationen aus Wortfetzen, Ziffern und Extra-Zeichen.

  • Die Fake-Login-Maske weist Unterschiede zur echten Variante auf. So sind etwa ein Feld und der Login-Button in französischer Sprache beschriftet. „Mote de pass“ statt Passwort und „Connexion“ statt Login.

Der wichtigste Tipp also: Genau hinschauen! Im Stress des Alltags übersieht man derartige Kleinigkeiten oft. Aber genau diese Kleinigkeiten sind es, die den Betrug vom Original unterscheiden. Wer unsicher ist, kann sich direkt an den Kundenservice des jeweiligen Anbieters wenden und dort nachfragen.

Oben der echte Login-Bereich, unten der gefälschte.
Oben der echte Login-Bereich, unten der gefälschte - mit den französischen Bezeichnungen.

In die Phishing-Falle getappt? Das können Sie tun!

Durch die Übermittlung der Zugangsdaten haben die Kriminellen vollen Zugriff auf das Webmail-Postfach ihrer Opfer. Sie werden dieses nutzen, um weitere Betrugsmaschen zu verbreiten und für Schaden zu sorgen. Entsprechend wichtig ist eine rasche Reaktion.

  • Ändern Sie umgehend Ihr Passwort für Ihren E-Mail-Account bzw. alle Angebote, für die Sie dasselbe Passwort verwenden!

  • Überprüfen Sie im „Gesendet“-Ordner ihres E-Mail-Accounts, ob von Ihrer Adresse eventuell betrügerische Nachrichten versendet wurden.

  • Kontaktieren Sie den Kund:innenservice der jeweiligen Plattform und schildern Sie die Situation!

  • Sollten Sie in Ihrem E-Mail-Postfach sensible Informationen wie etwa die Login-Daten für Onlinebanking aufbewahren, kontaktieren Sie umgehend Ihre Bank! Die Expert:innen dort wissen, was zu tun ist.

nach oben

Unterstützt von:

Logo: Bundesministerium für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz
Gehe zum Bundesministerium für Inneres
Gehe zur Arbeiterkammer
Gehe zur netidee
Gehe zu willhaben
Gehe zum ÖIAT
Gehe zur Internet Ombudsstelle
Gehe zu saferinternet.at
Gehe zur Erste Bank Sparkasse
Gehe zur WKO
Gehe zur BAWAG
Link kopiert