Phishing-Warnung

Fake-ADAC-Mail lockt mit kostenlosem Notfallset - mit kyrillischen Buchstaben im Titel

Daniel Weihmann · · 4 Min. Lesezeit

Eine E-Mail im ADAC-Gelb verspricht ein kostenloses Auto-Notfallset für "ausgewählte Mitglieder". Auf den ersten Blick sieht alles sauber aus. Im Titel stecken aber kyrillische Buchstaben, der Klick führt über eine Seite ohne SSL-Zertifikat, und am Ende soll man Versandkosten zahlen. Wir haben uns die komplette Kette angeschaut.

Phishing-Mail im ADAC-Design mit gelbem Header und der Aufschrift ADAC Auto-Notfallset

So sieht die Mail aus

Der Betreff lautet "🎉 ADAC belohnt Sie mit einem kostenlosen Notfallpaket". Im Mailfenster steht ein gelber Header mit der Überschrift "ADAC Auto-Notfallset" und der Zeile "Exklusiv für ausgewählte ADAC-Mitglieder". Darunter eine höfliche Anrede, ein paar Bullet Points zu den Vorteilen und ein schwarzer Button mit der Aufschrift "Jetzt Umfrage starten".

Optisch ist die Mail solide gemacht. Schrift, Farben und das Layout passen zum ADAC-Auftritt.

Die Kampagne läuft seit Wochen

Ein Blick in unseren Spam-Ordner zeigt: Diese Mail kam nicht aus dem Nichts. Seit Anfang Mai 2026 trudeln im Wochentakt Varianten ein. Allein am 7. Mai waren es drei Mails, am 11. Mai zwei, am 20. Mai wieder zwei. Gmail erkennt sie inzwischen und sortiert sie automatisch in den Spam-Ordner.

Spam-Ordner mit zwölf gefälschten ADAC-Mails von Anfang Mai bis 20. Mai 2026

Zwölf gefälschte ADAC-Mails in zwei Wochen. Verschiedene Absendernamen, ähnliche Betreffs, gleiches Muster.

Die Betrüger nutzen drei verschiedene Absendernamen, alle mit Marken- oder Registriert-Symbol als zusätzliche Tarnung:

  • ADAC(DE) - die aktuelle Variante mit dem Notfallpaket-Betreff
  • ADAC® - mit Betreff "Sie haben gewonnen! Ihr exklusives Geschenk wartet", inklusive deinem Vornamen aus der E-Mail-Adresse
  • ADAC™ - mit Betreff "Ihr ADAC Auto-Notfallset-Rabatt wartet"

Besonders auffällig: Einige Betreffzeilen enthalten den Vornamen aus der Empfänger-E-Mail-Adresse. Das wirkt auf den ersten Blick persönlich, ist aber nur eine simple String-Operation: alles vor dem At-Zeichen wird als Name eingesetzt. Wer schon mal eine Mail an info@firma.de mit "Hallo info" bekommen hat, kennt das Muster.

Kyrillische Buchstaben im Titel

Schaut man sich den Quelltext der Mail an, fällt sofort etwas auf: Im H1 steht nicht "ADAC Auto-Notfallset", sondern eine Zeichenkette mit lateinischen und kyrillischen Buchstaben dazwischen. Aus dem "C" in ADAC wird ein Ϲ (kyrillisches "Es"), das "A" in "Au" wird zu А (kyrillisches "A"), und auch im Wort "Notfallset" stecken ein а und ein е aus dem kyrillischen Alphabet.

Dazu kommen Zero-Width-Joiner. Das sind unsichtbare Steuerzeichen, die zwischen den Buchstaben sitzen. Für das Auge sieht die Zeichenkette aus wie "ADAC Auto-Notfallset". Für Spamfilter ist es ein vollkommen unbekanntes Wort.

Das ist eine gezielte Tarnung gegen Filter, die nach Wörtern wie "ADAC" oder "Notfallset" suchen. Allerdings: Die Betrüger haben diesen Trick nur an einer einzigen Stelle eingesetzt. Im restlichen Mailtext kommt "ADAC" ganz normal vor. Wirkt eher wie ein handwerklicher Fehler als ein durchdachtes System.

Der Absender ist halbherzig

Im Header steht als Absender:

From: "ADAC(DE)" <angebotcarsadacvy686fwj@topnet.tn>

Die Domain topnet.tn gehört einem tunesischen Internetprovider. Der Mailserver steht im Datenzentrum von topnet.tn (IP 41.226.22.71). SPF gibt einen Softfail zurück, weil der Provider die Mail zwar versendet hat, aber nicht offiziell als ADAC-Mailserver eingetragen ist.

Wer sich etwas Mühe geben würde, hätte sich eine D-Domain mit ADAC-Bezug registriert. adac.email, adac.team oder ähnliche Konstruktionen sind aktuell noch frei. Mit einer solchen Absenderadresse würde der Betrug auf den ersten Blick deutlich glaubwürdiger wirken. So aber bleibt die kryptische Adresse angebotcarsadacvy686fwj@topnet.tn der erste klare Warnhinweis.

Klick aufs Mail-CTA: Zwischenseite ohne SSL

Der Button "Jetzt Umfrage starten" führt nicht direkt zur eigentlichen Phishing-Seite. Stattdessen ruft er erst eine Zwischenseite auf: angebotnotfallset.sherwinsancristobal.com. Diese Seite läuft über unverschlüsseltes HTTP.

Chrome-Warnung: Diese Website unterstützt keine verschlüsselte Verbindung

Chrome blockiert die Weiterleitung mit einer Sicherheitswarnung. Wer hier "Zurück" klickt, ist raus aus der Phishing-Kette.

Chrome, Edge und Firefox zeigen an dieser Stelle eine Warnung an: "Diese Website unterstützt keine verschlüsselte Verbindung". Nutzer müssen aktiv auf "Weiter zur Website" klicken, um den nächsten Schritt zu erreichen. Viele Browser blockieren das mittlerweile sogar komplett.

Das ist ein dummer Fehler der Betrüger. Ein SSL-Zertifikat von Let's Encrypt ist kostenlos und in zwei Minuten eingerichtet. An dieser Stelle fällt die Hälfte der potenziellen Opfer schon weg.

Die Zielseite: Fragebogen im ADAC-Stil

Wer trotz Browserwarnung weiterklickt, landet auf de.angebotadac-notfallset.com. Diese Seite ist deutlich besser gemacht. Sie zeigt einen gelben ADAC-Header mit dem aktuellen Datum, ein Bild des Notfallsets und einen Button "Umfrage starten". Oben steht: "Bisher verteilte Angebote von über 4.000.000 Euro".

Phishing-Zielseite mit ADAC-Logo und Notfallset-Foto, Aufforderung zur Umfrage

Die Phishing-Zielseite. In der Adresszeile steht de.angebotadac-notfallset.com, nicht adac.de.

Wer auf den Button klickt, kommt zur eigentlichen Umfrage. Acht belanglose Fragen rund um den ADAC: "Sind Sie ADAC-Mitglied?", "Wie häufig nutzen Sie unsere Leistungen?" und am Ende: "Wie würden Sie Ihre Gesamtzufriedenheit mit den Leistungen des ADAC beschreiben?".

Acht Fragen zur ADAC-Zufriedenheit auf der Phishing-Seite

Eine der acht Standardfragen. Egal welche Antwort man wählt, am Ende landet man immer beim "Gewinn".

Der "Gewinn": Versandkostenfalle

Nach der Umfrage feiert die Seite groß: "Vielen Dank, dass Sie an der Umfrage teilgenommen haben." Es folgt eine Box mit einem Notfallset-Foto, ein durchgestrichener Originalpreis von €39 und der Hinweis: "Noch auf Lager: 1 - Sie zahlen nur den Versand".

Bestellseite mit Notfallset-Foto und Versandkostenangabe

Die typische Versandkostenfalle: kostenloser "Gewinn" gegen ein paar Euro Versandgebühr. Dafür geht die Kreditkartennummer drauf.

Auffällig: Der "Gewinn" ist realistisch. Es geht nicht um ein iPhone 16 Pro oder 500 Euro Bargeld. Ein Notfallset fürs Auto klingt nach einer Werbeaktion, wie es sie tatsächlich gibt. Genau diese Bescheidenheit macht den Betrug glaubwürdiger.

Das Muster dahinter ist klassisch: Du gibst Adresse und Kreditkartennummer ein, um den "Versand" zu bezahlen. Damit haben die Betrüger deine Zahlungsdaten und buchen anschließend deutlich höhere Beträge ab. Manchmal als monatliches Abo, manchmal als einmalige Großbuchung.

Die kaputte Bestellseite

Und dann passiert das, was Daniel beim Durchklicken zum Schmunzeln gebracht hat: Der Button "Fordern Sie eine Belohnung an" führt auf eine 404-Fehlerseite. Die Zieldomain heißt plötzlich win-promorift.com, die URL ist voller Tracking-Parameter (source_id, sub1, sub2, adv1=ADAC) und dahinter steckt offensichtlich ein Affiliate-Netzwerk.

HTTP 404 Fehlerseite mit Tracking-URL und Affiliate-Parametern

Letzter Schritt der Kette: 404-Fehler. Genau hier sollte das Bestellformular für Adresse und Kreditkarte stehen.

Die Kette hat eine Mühle aufgebaut: Mail mit kyrillischer Tarnung, Zwischenseite, hochwertig gestaltete Umfrage. Und dann scheitert es am wichtigsten Schritt: Das Bestellformular lädt nicht. Genau dort, wo Adresse, Telefon und Zahlungsdaten abgefragt werden sollen.

Wahrscheinlich ist die Affiliate-Verknüpfung kaputt oder das Bestellnetzwerk hat die Kampagne abgeschaltet. Für die Betrüger bedeutet das: keine Conversion. Und so verdient niemand Geld.

So erkennst du diese Art Mail

  • Kryptische Absenderadressen. Echte ADAC-Mails kommen von @adac.de, nicht von @topnet.tn oder anderen kryptischen Domains.
  • "Exklusiv ausgewählt" ohne Anrede mit Namen. Wenn dich der ADAC anschreibt, steht dein Name in der Anrede, nicht nur "Sehr geehrter ADAC-Kunde".
  • Zeitdruck. "Nur heute", "begrenzte Stückzahl", "Achtung! Läuft heute ab". Klassische Druck-Sprache, die zu schnellem Klicken verleiten soll.
  • Versandkosten für einen Gratis-Gewinn. Sobald nach Kreditkartendaten für "nur den Versand" gefragt wird, sollten alle Alarmglocken klingeln. Das ist das Standardmuster für Abofallen.
  • Browser-Warnungen ernst nehmen. Wenn dein Browser sagt "diese Seite ist nicht sicher", gilt das auch dann, wenn du das gerade super spannend findest.

Was tun, wenn du klicken oder zahlen wolltest

Mail bekommen, nicht geklickt: Löschen. Du kannst sie zusätzlich an die Verbraucherzentrale weiterleiten, das hilft beim Tracking solcher Kampagnen.

Geklickt, aber keine Daten eingegeben: Kein Schaden. Browser schließen, Cookies kannst du für die fragliche Domain löschen.

Adresse und Kreditkarte eingegeben:

  1. Sofort die Hotline deiner Bank anrufen und die Karte sperren.
  2. Prüfe deine Kontobewegungen der nächsten Wochen. Auch kleine Beträge (1 Cent, 1 Euro) sind verdächtig - so testen Betrüger, ob die Karte aktiv ist.
  3. Erstatte Anzeige bei der Polizei. Das geht online über die Online-Wache deines Bundeslandes.

Eine echte ADAC-Aktion findest du immer im offiziellen ADAC-Kundenbereich auf adac.de, nicht über einen Link aus einer E-Mail.

Aktuell sind viele ähnliche Mail-Kampagnen unterwegs. Wir haben kürzlich über eine gefälschte Telekom-Gutschrift und DHL-Zollphishing berichtet.

Quellen

  • Eigene Analyse der Original-Mail vom 20. Mai 2026 (Absender: angebotcarsadacvy686fwj@topnet.tn, Mailserver: smtp16.topnet.tn 41.226.22.71, SPF: softfail)
  • Manueller Durchlauf der Phishing-Kette: angebotnotfallset.sherwinsancristobal.com -> de.angebotadac-notfallset.com -> win-promorift.com (404)
  • Verbraucherzentrale: Phishing-Radar