Kodierte URLs dechiffrieren

Nicht immer wird ein Domainname verwendet, um auf ein Ziel im Internet zu verlinken. Oft steht in einer Verknüpfung stattdessen die IP-Adresse. Auch wenn Internetlinks auf IP-Adressen schon in seriösen Mails gesehen wurden, ist dies bereits ein Indiz dafür, dass der Absender etwas verschleiern will. Betrachten Sie es als Alarmzeichen, wenn vor dem ersten Schrägstrich etwas anderes steht als ein Domainname mit Endung (z.B. „pcwelt.de“).

Für IP-Adressen gibt es zudem verschiedene Schreibweisen bzw. Kodierungen. Eine Zeit lang griffen die Spammer zu punktlosen IP-Adressen. Das sind zehnstellige Zahlen, die – korrekt umgerechnet – wieder eine IP-Adresse ergeben. Es gibt noch weitere mögliche Verfremdungen. Einige davon werden von diversen Browsern und Firewalls jedoch nicht mehr unterstützt, weshalb die Cyberkriminellen wieder davon Abstand nahmen. Sollte Ihnen statt eines Domainnamens etwas begegnen, das wie „3475931693“ (punktlose IP), „0324.0273.0167.0253“ (oktal kodiert) oder „0xd4bb77ab“ (hexadezimal) aussieht, liegt eine versuchte Irreführung vor. Dasselbe gilt auch für speziell kodierte Domainnamen. Sie erkennen diese an den Prozentzeichen.

Genauso wie sich IP-Adressen und Domains verunstalten lassen, gibt es Werkzeuge, die diese wieder in Ordnung bringen. Unter der Adresse www.netdemon.net/decode.html geht das sogar direkt online. Kopieren Sie die verfälschte URL ins Feld, klicken Sie auf Decode, schon erscheint die Adresse in einer besser lesbaren Form.