BG Beter Geregeld ICT
Security zonder IT-afdeling · 6 min leestijd · 02 Juli 2026

Look-alike-domeinen: de bijna-identische mails waar je administratie intrapt

Fraudeurs registreren domeinen die bijna identiek zijn aan die van jou of je leveranciers. So erkennst du einen Look-alike in dreißig Sekunden — und schützt deine eigene Marke.

Du hast eine Mail von einem Lieferanten oder einem Kunden. Alles stimmt: Logo, Tonalität, sogar die Signatur. Aber irgendetwas fühlt sich komisch an. Vielleicht steht da eine leicht abweichende Absenderadresse, oder die Domain endet auf .co statt auf .nl. Bevor du es merkst, schickst du vertrauliche Informationen oder eine Zahlung an jemanden, der sich als bekanntes Unternehmen ausgibt.

Dieser Trick heißt Look-alike-Domeinen: Domainnamen, die dem deinen oder dem deiner Lieferanten zum Verwechseln ähnlich sehen. Im Jahr 2026 ist es eine der meistgenutzten Einfallstore für Rechnungsbetrug und CEO-Betrug im Mittelstand. In diesem Artikel erklären wir, wie es funktioniert und was du ohne eigene IT-Abteilung selbst dagegen tun kannst.

Was ist eine Look-alike-Domain genau?

Eine Look-alike-Domain sieht auf den ersten Blick genauso aus wie eine echte Domain — mit einem kleinen Unterschied, den man beim schnellen Lesen übersieht. Ein paar häufige Varianten:

  • Andere Endung: deinunternehmen.com statt deinunternehmen.de, oder .co, .biz, .info.
  • Extra Bindestrich oder Wort: deinunternehmen-rechnungen.de, deinunternehmen-support.de.
  • Vertauschte Buchstaben: deinunternehmen.de mit einem umgestellten Buchstaben — man liest leicht darüber hinweg.
  • Ziffer statt Buchstabe: eine 0 (Null) statt einem o, oder eine 1 statt einem l.
  • Homoglyphen: Buchstaben aus einem anderen Alphabet, die identisch aussehen, wie ein kyrillisches „а" statt eines normalen „a".

Domains sind günstig zu registrieren, und Fraudeurs nutzen sie für zweierlei: Mails in deinem Namen versenden (an deine Kunden) oder Mails im Namen deiner Lieferanten versenden (an dich). In beiden Fällen ist dein Name oder deine Geschäftsbeziehung der Köder.

Warum der Mittelstand im Visier steht

Bei großen Unternehmen gibt es ein Sicherheitsteam mit Tools, das aktiv nach neuen Registrierungen sucht, die der eigenen Marke ähneln. Im Mittelstand fehlt das. Und gerade bei kleinen Unternehmen funktioniert der Trick gut: Die Buchhaltung kennt Lieferanten persönlich, Zahlungen gehen schneller durch, und eine einzige Person ist für Einkauf und Zahlung zuständig. Eine unbemerkte Look-alike-Domain, und schon landen mal eben 8.000 € auf dem falschen Konto.

Wie erkennst du eine Look-alike-Domain?

Vier praktische Checks, die du in dreißig Sekunden durchführst — bei jeder Mail, in der es um Finanzielles oder Vertrauliches geht:

1. Vollständige Absenderadresse prüfen, nicht nur den Namen

Der Anzeigename („Jan von Lieferant GmbH") sagt nichts aus. Klappe in Outlook oder Gmail die Adresse auf und lies den Text hinter dem @. Stimmt die Domain exakt mit früheren Mails überein? Unsicher? Suche eine alte Mail derselben Person heraus und vergleiche Buchstabe für Buchstabe.

2. Domain kopieren und in eine Textdatei einfügen

Homoglyphen erkennst du nicht mit bloßem Auge — wohl aber, wenn du die Domain neben die echte Domain in den Editor oder ein Diff-Tool einfügst. Unterschiede fallen dann sofort auf. Dieser Trick dauert zehn Sekunden und entlarvt die meisten subtilen Varianten.

3. Alter der Domain prüfen

Betrugsdomains sind oft nur Tage oder Wochen alt. Über einen IP-Lookup oder eine WHOIS-Abfrage kannst du sehen, wann eine Domain registriert wurde. Kommt eine „dringende" Rechnung von einer Domain, die erst letzten Monat existiert? Anrufen. Immer.

4. Mit der eigenen Lieferantenliste abgleichen

Führe eine einfache Übersicht der genauen Domains deiner Stammlieferanten. Excel reicht völlig. Bei Zweifel: nachschlagen, vergleichen, anrufen. Anrufen über die Nummer, die du selbst schon hast — nicht über die Nummer in der verdächtigen Mail.

Auch die eigene Domain schützen

Look-alike-Domains sind nicht nur ein Risiko für eingehende Mails. Fraudeurs können auch eine Domain registrieren, die deinem Namen ähnelt, und damit deine Kunden ansprechen. Drei Dinge, die du selbst dagegen tun kannst:

  • Naheliegende Varianten selbst registrieren. Hast du eine .de? Dann sichere dir auch die .com, .eu und ggf. Varianten mit Bindestrich. Kostet ein paar Euro pro Jahr und spart eine Menge Ärger.
  • DMARC auf p=reject setzen. Damit werden Mails, die sich als deine Domain ausgeben, beim Empfänger blockiert. Ohne DMARC ist Spoofing ein Kinderspiel.
  • Regelmäßig den eigenen Markennamen googeln. Suche einmal pro Quartal nach deinem Unternehmensnamen und achte auf seltsame Varianten in den Suchergebnissen.

Was tust du, wenn du eine Look-alike-Domain entdeckst?

Findest du eine Domain, die sich als dein Unternehmen oder als einer deiner Lieferanten ausgibt? Dann gehe so vor:

  1. Intern melden: Informiere Buchhaltung und Geschäftsführung, damit niemand darauf hereinfällt.
  2. Beim Registrar melden (dem Anbieter, bei dem die Domain registriert ist). Häufig wird sie nach einer Beschwerde offline genommen.
  3. Bei finanziellem Schaden: Anzeige bei der Polizei erstatten und den Vorfall der zuständigen Behörde melden.
  4. Kunden oder Lieferanten warnen, damit sie nicht in dieselbe Falle tappen.

Kurz zusammengefasst

Look-alike-Domains sind günstig, schnell eingerichtet und wirkungsvoll — deshalb sind sie bei Fraudeurs so beliebt. Die Gegenmaßnahme ist genauso einfach: Bringe deinem Team bei, die vollständige Absenderadresse zu lesen, nutze bei Zweifeln ein Diff-Tool, pflege eine Lieferantenliste und sorge dafür, dass deine eigene Domain nicht so leicht zu spoofen ist.

Willst du schnell prüfen, ob zwei Domains oder E-Mail-Adressen wirklich identisch sind? Nutze unser Diff-Tool. Und wenn du wissen möchtest, ob deine eigene Mail-Sicherheit auf dem neuesten Stand ist, schau dir unseren Mail-Sicherheits-Check (SPF/DKIM/DMARC) an.

Onderwerpen

#security #phishing #Mail Beveiliging #Factuurfraude #Domeinnamen

Volledige gids: Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →