Vorsicht vor betrügerischen E-Mails für Kunden vom Deutschland-Ticket

Phishing E-Mail Bank

Die Betrugsmaschen gehen auch 2026 weiter. Jetzt ist das Deutschland-Ticket an der Reihe.

Inhalt der E-Mail

Guten Tag,

wir möchten Sie darüber informieren, dass der Einzug der monatlichen Gebühr für Ihr Deutschland-Ticket im aktuellen Abrechnungszeitraum leider fehlgeschlagen ist. Ihre Bank hat die SEPA-Lastschrift abgewiesen.

Ihre Vertragsdaten:
Produkt: Deutschland-Ticket (Abo)
Offener Betrag: 49,00 EUR
Gläubiger: Deutschland-Ticket Portal

Um eine Sperrung Ihres Tickets zum Monatsende zu vermeiden, bitten wir Sie, Ihre Zahlungsdaten im Kundenportal umgehend zu aktualisieren und die Zahlung manuell freizugeben.

Mit freundlichen Grüßen
Ihre Kundenbetreuung
Deutschland-Ticket Portal

Dies ist eine automatisch generierte E-Mail. Bitte antworten Sie nicht auf diese Nachricht.
Deutschland-Ticket Portal | Postfach 10 20 30 | 10001 Berlin
Geschäftsführer: Dr. Johannes Schmidt | Amtsgericht Berlin-Charlottenburg HRB

Der Inhalt der Phishingmail, deren Button „Zum Kundenportal“ zu einer Domain, die bei der Contabo GmbH IP-Adresse: 185.185.82.2 gehostet wird. Die Adresse, zu der der Betrugsversuch mit dem Deutschland-Ticket führt, ist: „https://aicatalyst.gr/TICKET“.

Vielleicht wurde auf der Domain auch nur ein Script oder eine Weiterleitung eingerichtet. Die Seite „https://aicatalyst.gr“ zeigt eine angebliche griechische KI Seite an. Mit WordPress zusammengeschustert.

Die Phishingmail selbst kommt aus Portugal von:

„Deutschland-Ticket-Portal-Abrechnung@devlinkbox.com“. Der angezeigte Name ist „Deutschland-Ticket Portal | Abre“.

Die Domain „devlinkbox.com“ wiederum führt zum Hoster Almouroltec Tech, Portugal genauer gesagt zur IP-Adresse: 94.46.180.104

Die Seite wird normalerweise von aktuellen Antivirus-Programmen sofort als Betrugsseite erkannt. Ob dies auch auf Mobiltelefonen der Fall ist?

Vorsicht ist auch geboten, wenn Sie diese Nachricht per RCS-Chat (SMS) bekommen.

Schöne neue Welt der Cloud und VPS Server, wo man mal für eine kurze Zeit (teilweise für 1 Stunde oder auch 2) einen Server anmieten kann und ihn dann missbraucht, um SPAM, Phishing oder ähnliches zu versenden. Man kann ihn auch als Bot (Zombie) benutzen, um Viren zu versenden.

Zum größten Teil werden Phishing-E-Mails aber über gehackte Benutzerkonten, Internetseiten oder Server versendet, denn selbst Server anzumieten würde ja Geld kosten.

In jedem Fall die E-Mail löschen.

(Beispiel: Deutschland-Ticket)