Bösartige E-Mails werden häufig unter Vorwand von einem falschen Absender versendet.
Oft werden externe Mail-Adresse, welche eine ähnliche Schreibweise aufweisen, jedoch eine externe Domain beinhalten verwendet.

Im Normalfall lassen sich Phishing-Mails bei der Prüfung der Absenderadresse schnell und eindeutig erkenne, da oft offensichtlich fremde und kryptische Absenderadressen verwendet werden. 
Bei gezielten Angriffen kann das Erkennen deutlich schwieriger werden, daher schauen Sie bitte genau!

Phishing-E-Mails verwenden häufig eine allgemeine Begrüßung, anstatt Sie mit Ihrem Namen anzusprechen. 
Zudem enthalten sie häufig Rechtschreib- und Grammatikfehler oder unpassende Formulierungen, denn meistens wurden sie nicht in Deutsch verfasst und mit einem Übersetzungsdienst aus einer anderen Sprache übersetzt. Ein weiterer Hinweis auf solche E-Mails sind Zeichensatzfehler, wie etwa kyrillische Buchstaben oder fehlende Umlaute. 

Phishing-Mails nutzen häufig den Umstand, dass der Empfänger zu schnell und ohne kritische Prüfung auf Links klickt. Die sich öffenende Webseite sieht ggf. dem Original sehr ähnlich, um Sie zur Eingabe der Zugangsdaten zu verleiten oder im Hintergrund startet ein Download. Die Mail leitet auf eine gefälschte Webseite.

Wie erkennt man dies?
Bevor Sie auf den Link klicken, nehmen Sie sich die Zeit und fahren mit dem Mauszeiger über den Link ohne zu klicken. Das Mailprogramm zeigt dann an, welche Webadresse im Webbrowser geöffnet würde. 
Die hinterlegte Link-Adresse sollte ein Bezug zum Absender haben, z.B. bei einer Paketankündigung tatsächlich auf einen echten Paketdienstleister verweisen. Zudem sollte Domain zu der Absenderdomain der E-Mail passen. 

In Phishing-Mails wird sehr oft Druck durch angeblich dringenden Handlungsbedarf ausgeübt. 
Werden Sie in einer E-Mail aufgefordert, ganz dringend und innerhalb einer bestimmten (kurzen) Frist zu handeln, sollten Sie ebenfalls stutzig werden. Insbesondere, wenn diese Aufforderung mit einer Drohung verbunden ist, z.B., dass Ihre Kreditkarte oder Online-Zugang sonst gesperrt werden. 

Sie werden aufgefordert eine Datei zu öffnen (Anhang der E-Mail oder über Link). Bekommen Sie eine unerwartete E-Mail mit einer Datei, sollten Sie diese nicht runterladen oder öffnen. 
In der Regel beinhaltet diese Datei ein schädliches Programm (z.B. Viren, Trojaner, etc.) 

Bei E-Mails mit Dateianhängen, welche Sie nicht erwarten oder es sich ggf. sogar nicht aus dem Text ergibt, sollten Sie grundsätzlich misstrauisch gegenüber sein.

Meist werden hier URLs verwendet, die dem Original ähnlich sehen aber z.B. einen Buchstabendreher enthalten oder Buchstaben ersetzt, wie z.B. ein O mit einer 0, oder von einer fremden Domain stammen.
Bei einer Phishing-Mail, welche eine Bank nachstellt könnte die Domain beispielsweise bankservice.de lauten. In den meisten Fällen, lässt sich auf den ersten Blick erkennen, dass es sich um eine nicht dem Dienst zugehörige Domain handelt. Die URL in der Adresszeile ist immer eine andere als die der Originalseite.

Bei nachgebauten Webseiten, kommt es häufig vor, dass bestimmte Elemente auf der nachgestellen Webseite nicht vorhanden sind.
Ein gutes Indiz kann auch sein, wenn Sie auf der Seite auf das "Kontakt" Feld klicken. Wenn es dies nicht gibt oder es dort keine glaubwürdigen Kontaktangaben gibt, ist es sehr wahrscheinlich, dass es sich um eine Phishing-Webseite handelt. Darüber hinaus haben gefälschte Webseiten oft kein Impressum und einen beschränkten Funktionsumfang.

Häufig findet man auf den nachgestellten Webseiten auch Rechtschreib- & Grammatikfehler, welche z.B. durch Übersetzungsdienste entstehen können.

Früher war es ein gutes Indiz, wenn die Webseite statt auf https:// auf eine http:// Seite verwies. Inzwischen verwenden aber auch die Angreifer Zertifikate, um die Webseite auf den ersten Blick sicher und vertrauenwürdig darzustellen. Hier kann ein Blick auf das Zertifikat manchmal helfen, ob es von einer bekannten vertrauendwürdigen Zertifizierungsstelle ausgestellt wurde oder es sich ggf. um ein Self-Signed Zertifikat handelt.