Betrüger im Internet locken ihre Opfer häufig per Links in Mails auf Webseiten, die so aussehen wie die Webseite einer Bank oder eines Bezahldienstleisters. Teilweise sind die Fälschungen der Websites so gut, dass selbst misstrauische Nutzer darauf hereinfallen und ihre Log-in-Daten dort eingeben. Diese schnappen sich dann die Betrüger und bestehlen ihre Opfer. In anderen Fällen sind die gefälschten Webseiten mit Viren bestückt, die sich allein beim Aufruf der Seite in einen PC einschleusen können. Schützen können Sie sich, indem Sie den Link zu der gefälschten Webseite genau unter die Lupe nehmen. Mit den folgenden Grundkenntnissen und etwas Übung enttarnen Sie selbst trickreiche Webadressen in kurzer Zeit, ohne diese tatsächlich im Browser aufrufen zu müssen. Aufbau einer Webadresse: Eigentlich ist eine Webadresse einfach aufgebaut. Sie besteht aus einer Domain und einer Top Level Domain (TLD). Davor steht eine Angabe zum verwendeten Protokoll. Bei Webseiten ist das http:// oder https://, wobei http:// oft nicht angezeigt wird. Meist erscheint die Angabe www. Es sieht also etwa so aus: https://www.domain.tld oder als konkretes Beispiel https://www.paypal.com . Die Domain kann man sich als Webseitenbetreiber frei aussuchen, so lange sie noch nicht vergeben ist. Als TLD sind oft die Länder-Domains (englisch: Country Code Top Level Domains, CCTLD) üblich, in Deutschland also .de. Daneben gibt es einige generische TLD (GTLD), etwa .com für commercial, .gov für government oder .org für organization.
Neue Top Level Domains: Nachdem die Zahl der GTLD über Jahre recht begrenzt war und man als Internetnutzer gut einen Überblick über alle GTLDs behalten konnte, werden nun immer mehr dieser Domains verfügbar gemacht. Beispiele dafür sind etwa .ag, .berlin, .bio, .cash, .center .club, .tips, oder .versicherung. Sie können also auch auf eine Internetadresse wie diese stoßen: www.beste.versicherung Insgesamt existieren heute weit über 700 TLD. Dadurch ist es mittlerweile deutlich schwerer geworden, eine getarnte Webadresse zu analysieren. Zudem tarnen Kriminelle ihre gefährlichen Adressen mit weiteren Tricks, etwa indem sie diese nach vorne durch Subdomains verlängern. Diese sind immer durch einen Punkt getrennt. Das sieht etwa so aus: www.subdomains1.subdomains2.domain.TLD oder so www.paypal.comm.znaower.ru Zusätzlich verlängern Kriminelle ihre getarnten Phishing-Links auch nach hinten. Dabei handelt es sich entweder um eine Ordnerstruktur auf dem Webserver oder um Code. Das sieht dann etwa so aus: www.znaower.ru/paypal.de/ihrkonto.html oder www.znaower.ru?paypal So erkennen Sie die Domain: Der Domain-Name steht immer links vor der Top Level Domain. Die TLD seht immer vor dem ersten Schrägstrich oder dem ersten Fragezeichen. Ausgenommen sind die Schrägstriche der Protokollangabe http://. So erkennen Sie den Phishing- Link: Die Kriminellen verstecken ihren Link in einer Mail meist hinter harmlosem Text oder einer Grafik. Der Text kann etwa www.paypal.com lauten oder es ist eine Grafik, im Beispiel mit dem Text „Umstellung ausführen“. Um an den tatsächlichen Link dahinter zu kommen, zeigen Sie mit der Maus darauf, ohne zu klicken. Es öffnet sich dann entweder ein kleines Pop-up mit dem Link oder das Mailprogramm zeigt den Link unten in der Infozeile an. Wer es übersichtlicher mag, kann auch mit der rechten Maustaste auf den Text klicken und sich über „Link kopieren“ die Webadresse zunächst in die Zwischenablage und anschließend in einen Texteditor kopieren und ansehen. Analyse eines Phishing-Links an einem Beispiel: Den folgenden Link haben wir aus einer gut gemachten Phishing-Mail kopiert, die in unserem GMX-Postfach landete. So sieht sie aus: https://3c.gmx.net/mail/client/dereferrer?redirectUrl=http%3A%2F%2Fpp-umstellung-sepa2.com%2Fpaypal.de%2Fpaypal.de%2Fsicherheit-paypal%2F0%2FT2xlOkV2ZXJzOm9sZS5ldmVyc0BnbXgubmV0DQo%3D%2Fwww.paypal.de.html Das vorangestellte „https://“ wirkt schon mal vertrauenerweckend, denn es zeigt eine verschlüsselte Verbindung an. Nur ganz wenige Phishing-Sites sind verschlüsselt. Weiter stellt sich heraus, dass die Domain hier gmx ist – nachdem der erste Teil links vor der TLD „.net“ ist. Der Grund: GMX will seine Kunden schützen und leitet alle Links in einer Mail erst mal auf eine GMX-Seite mit einer Warnung um. Der Phishing-Link beginnt erst nach dieser Umleitung (nach „Url=“) und ist noch maskiert durch „%3A“ für den Doppelpunkt und „%2F“ für den Schrägstrich. Ob GMX mit dieser Maßnahme wirklich seine Nutzer schützt, ist fraglich. Denn wer will, wird ja schließlich doch von GMX zu der Seite geleitet. Zur leichteren Analyse hier der Phishing-Link mit den Zeichen „:“ und „/“: http://pp-umstellung-sepa2.com/paypal.de/paypal.de/sicherheitpaypal/0/T2xlOkV2ZXJzOm9sZS5ldmVyc0BnbXgubmV0DQo=/www.paypal.de.html Ganze vier Mal taucht hier das Wort Paypal auf. Doch die Analyse der Adresse zeigt: Das Wort links vor dem ersten Schrägstrich (oder Fragezeichen) ist .com. Die Domain ist somit pp-umstellung-sepa2. Auch hier gilt der bewährte Tipp: Wenn Ihre Bank oder Paypal oder eine andere Finanz- oder Shopping-Site etwas von Ihnen möchte, dann rufen Sie diese Seite einfach selber im Browser auf, loggen sich dort ein und schauen in das dortige Postfach. In diesem Fall wäre das definitiv www.paypal.com und nicht www.pp-umstellung-sepa2.com .
Autor: Arne Arnold
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.