Ein aktueller Fall zeigt, wie perfide Betrüger inzwischen auf Immobilienplattformen vorgehen.
Nutzer von Immowelt berichten von angeblichen „Support“-Nachrichten, die mit Kontosperrung, Gebühren und behördlichen Meldungen drohen.
Im vorliegenden Fall stammen sämtliche Nachrichten vom angeblichen Absender „[ Support ] Immowelt“ nicht vom echten Support. Entscheidend ist, wie diese Nachrichten wirken. Sie erscheinen im internen System und werden anschließend automatisch an die hinterlegte E-Mail-Adresse weitergeleitet. Dadurch landen sie direkt im Postfach des Vermieters – eingebettet zwischen echten Anfragen von Interessenten.
Genau hier liegt die eigentliche Gefahr. Die Fake-Nachrichten wirken nicht wie Fremdkörper, sondern wie ein normaler Bestandteil der laufenden Kommunikation rund um die Anzeige. Für den Nutzer verschwimmt die Grenze zwischen echter Anfrage und Betrugsversuch.
Der Screenshot aus dem T-Online.de-Postfach zeigt, wie gezielt die Täter vorgehen. Am 18. April 2026 gingen insgesamt sechs E-Mails vom Fake-Absender „[ Support ] Immowelt“ ein.
Die Nachrichten trafen zu folgenden Zeiten ein: 11:44 Uhr, 11:45 Uhr, 12:23 Uhr, 12:24 Uhr, 12:29 Uhr und 12:30 Uhr. Damit wurde der Nutzer innerhalb von nur 46 Minuten mehrfach kontaktiert.
Besonders auffällig ist die Taktung. Zwei Nachrichten folgen jeweils im Abstand von nur einer Minute, zuerst um 11:44 und 11:45 Uhr, später erneut um 12:23 und 12:24 Uhr. Danach wird der Druck mit weiteren Nachrichten um 12:29 und 12:30 Uhr aufrechterhalten.
Diese zeitliche Struktur ist kein Zufall, sondern gezielt gewählt. Die schnelle Abfolge einzelner Nachrichten erzeugt sofort Aufmerksamkeit und Stress. Weitere Mails im Minutenabstand sorgen dafür, dass dieses Gefühl bestehen bleibt.
Parallel dazu erscheinen im gleichen Postfach echte Anfragen von Mietinteressenten. Dadurch entsteht eine gefährliche Mischung. Zwischen legitimen Nachrichten tauchen plötzlich mehrfach Hinweise auf angebliche Sicherheitsprobleme auf.
Für den Nutzer wirkt das Postfach in dieser Situation wie ein akuter Notfall. Die Häufung der Nachrichten vermittelt den Eindruck, dass sofort gehandelt werden muss. Genau dieser Effekt ist beabsichtigt.
Inhaltlich sind die Nachrichten klar strukturiert. Sie beginnen mit der unpersönlichen Anrede „Sehr geehrter Nutzer“ und behaupten, das Konto sei „vollständig gesperrt“.
Als Begründung wird eine angebliche „EU-Verordnung zur Markttransparenz“ genannt. Eine konkrete Quelle oder nachvollziehbare Grundlage fehlt jedoch vollständig. Es folgt eine Frist von „4 Stunden“, innerhalb derer eine Verifizierung erfolgen müsse.
Zusätzlich wird mit drastischen Konsequenzen gedroht. Genannt werden eine endgültige Löschung des Profils, eine „Bearbeitungsgebühr von 34,50 €“ sowie eine Meldung an Behörden wegen Identitätsmissbrauchs. Ergänzt wird dies durch die Behauptung, die Reaktivierung sei „nur über ein mobiles Endgerät möglich“.
Keine dieser Aussagen hält einer sachlichen Prüfung stand. Es wird keine konkrete Rechtsgrundlage genannt, obwohl mit EU-Vorschriften argumentiert wird. Eine Frist von nur vier Stunden ist in realen Sicherheitsprozessen nicht üblich.
Auch die angebliche Gebühr von 34,50 € ist ein klares Warnsignal. Sicherheitsüberprüfungen werden nicht kurzfristig als kostenpflichtige Maßnahme umgesetzt. Die Drohung mit einer Behördenmeldung ist ebenfalls nicht plausibel, da solche Prozesse klar geregelt sind.
Die Kombination aus Zeitdruck, Drohungen und technischen Einschränkungen ist ein klassisches Muster aus dem Bereich Social Engineering.
Besonders kritisch ist, dass diese Nachrichten überhaupt im System von Immowelt erscheinen und anschließend ungefiltert weitergeleitet werden. Die Täter nutzen gezielt die vorhandene Infrastruktur, um ihre Inhalte glaubwürdig wirken zu lassen.
Ein einfacher Warnhinweis innerhalb der Plattform reicht unter diesen Umständen nicht aus. Wenn Fake-Nachrichten im gleichen Kontext wie echte Kommunikation erscheinen, entsteht ein reales Risiko für Nutzer.
Gerade auf einer Plattform, auf der Identitäten, Inserate und finanzielle Transaktionen eine Rolle spielen, sind deutlich strengere Sicherheitsmechanismen erforderlich.
Das Ziel dieser Angriffe ist eindeutig. Nutzer sollen dazu gebracht werden, auf einen Link zu klicken und ihre Zugangsdaten einzugeben. Sobald dies geschieht, übernehmen die Täter den Account.
Im nächsten Schritt nutzen sie das kompromittierte Profil, um mit echten Interessenten zu kommunizieren. Dadurch wird der Betrug weiter skaliert und deutlich schwerer erkennbar.
Die Plattform Immowelt gehört zu den etablierten Online-Immobilienportalen im deutschsprachigen Raum und wurde bereits 1996 gegründet. Heute ist sie Teil der AVIV Group, die wiederum mehrheitlich zum Medienkonzern Axel Springer SE gehört. Gemeinsam mit weiteren Portalen wie Immonet bildet Immowelt einen zentralen Bestandteil des digitalen Immobilienmarkts.
In Deutschland zählt Immowelt zu den großen Plattformen für Miet- und Kaufangebote und steht im Wettbewerb mit Anbietern wie ImmoScout24. Auch in Österreich und der Schweiz ist das Portal aktiv und erreicht dort eine relevante Nutzerbasis, insbesondere im Bereich privater Vermietungen und kleinerer Anbieter.
Gerade aufgrund dieser hohen Reichweite und der zentralen Rolle im Immobilienmarkt ist die Plattform ein attraktives Ziel für Betrüger. Wo viele Inserate, persönliche Daten und wirtschaftlich relevante Transaktionen zusammenkommen, entsteht zwangsläufig auch eine große Angriffsfläche für Missbrauch.
