Calendly als Köder: Wie seriöse Termin-Mails für Phishing missbraucht werden
Ein aktuelles Beispiel zeigt, wie Angreifer Calendly-Einladungen nutzen, um eine angebliche Sicherheitsaktualisierung glaubwürdig wirken zu lassen.

In den letzten Tagen ist mir eine E-Mail aufgefallen, die auf den ersten Blick vertraut wirkt: Eine Benachrichtigung von Calendly, angeblich im Namen des Advanzia-Kundenservice. Genau solche Fälle sind gefährlich, weil Angreifer nicht immer eigene auffällige Infrastruktur nutzen. Manchmal missbrauchen sie bekannte Dienste, um Vertrauen aufzubauen.
Was an der E-Mail auffällt
Die Nachricht trägt den Hinweis, dass der Empfänger zu einem Termin oder Event hinzugefügt wurde. Im Text wird behauptet, aus Sicherheitsgründen müssten Kontoinformationen aktualisiert werden. Der entscheidende Druck entsteht durch die Kombination aus bekanntem Plattformnamen, vermeintlichem Kundenservice und einem Button zur Aktualisierung.
Der wichtigste Warnhinweis: Antwortadresse und Kontext
Besonders auffällig ist die Antwortadresse shmwirma@mail.com. Sie passt nicht zu einem seriösen Bank- oder Kundenservice-Kontext. Auch der Zeitpunkt, die unerwartete Einladung und die allgemein gehaltene Ansprache sind Warnsignale. Wer keine konkrete Anfrage gestellt hat, sollte bei solchen Nachrichten grundsätzlich skeptisch bleiben.
Warum Calendly hier missbraucht werden kann
Calendly ist ein legitimer Dienst. Genau deshalb wirken Benachrichtigungen von dieser Plattform oft weniger verdächtig als klassische Spam-Mails. Angreifer nutzen solche legitimen Versandwege, um Spamfilter zu umgehen oder zumindest die erste Aufmerksamkeitsschwelle zu senken.
Warum das für Terminplanung zum Problem wird
Das ist ein wachsender Albtraum für alle, die sich auf automatische Terminplanung verlassen. Angreifer nutzen die hohe Domain-Reputation von Plattformen wie Calendly aus, weil viele Mailserver Links und Benachrichtigungen solcher Dienste zunächst als vertrauenswürdiger einstufen als unbekannte Absender.
Ungewöhnlich ist, dass dieser Missbrauch für legitime Nutzer spürbare Nebenwirkungen haben kann. Wenn Phishing- und Spam-Kampagnen über bekannte Terminplattformen zunehmen, steigt das Risiko, dass auch echte Calendly-E-Mails bei großen Anbietern wie Outlook oder Gmail häufiger im Spam-Ordner landen. Damit schadet der Missbrauch nicht nur einzelnen Empfängern, sondern auch Unternehmen, die auf zuverlässige Terminbestätigungen angewiesen sind.
Was Empfänger konkret tun sollten
Klicken Sie nicht auf den Button in der Nachricht. Öffnen Sie die Website der Bank nur über die bekannte Adresse oder die offizielle App. Prüfen Sie Absender, Antwortadresse und Anlass der Nachricht. Wenn bereits geklickt oder Daten eingegeben wurden, sollten Zugangsdaten sofort geändert, MFA geprüft und der echte Anbieter kontaktiert werden.
Mein persönlicher Eindruck
Solche Mails zeigen gut, warum Security Awareness praktisch bleiben muss. Es reicht nicht, nur vor unbekannten Absendern zu warnen. Teams und Privatpersonen sollten lernen, auch bei bekannten Plattformen den Kontext zu prüfen: Erwarte ich diese Nachricht, passt die Antwortadresse, und führt mich der Handlungsdruck zu einem unnötigen Risiko?
Fazit
Der Fall ist ein gutes Beispiel für modernes Social Engineering. Die technische Plattform ist legitim, die Absicht der Nachricht aber nicht. Wer aufmerksam auf Kontext, Sprache und Antwortadresse achtet, erkennt solche Angriffe deutlich früher.

