Die echte Domain steht vor dem ersten Slash

Lesen Sie, warum das der wichtigste Tipp ist, um Phishing-Links praktisch zweifelsfrei zu erkennen. [...]

Mit unseren einfachen Tipps erkennen Sie Phishing-Links sehr einfach (c) PCtipp.ch

«Phishing» ist eine Art Kofferwort aus «password» und «fishing». So bezeichnet man Methoden, die Kriminelle verwenden, um von ihren Opfern Daten zu erschleichen, meistens Benutzernamen und Passwörter zu E-Banking- und anderen Onlinekonten, oft auch Kreditkartennummern und andere persönliche Daten.

Dabei versenden die Kriminellen meistens verfänglich gestaltete Mails z.B. im Design einer bestimmten Bank an zigtausende wahllos gesammelte Mailadressen. Ein kleiner Teil der Adressierten hat garantiert ein Konto bei jenem Finanzinstitut. Der Inhalt dieser Mails dreht sich meist darum, dass angeblich etwas mit dem E-Banking- oder sonstigen Konto nicht stimme, weshalb sich die Benutzer sofort bei jenem einloggen sollen, um das Problem zu beheben. Die Kriminellen verbinden damit die angebliche «Wichtigkeit» des Anliegens mit Zeitdruck, damit die Opfer nicht zu lange überlegen oder recherchieren und dem Betrug auf die Schliche kommen könnten.

Beim neulich geschilderten Fall vom Phishing gegen Raiffeisen-Bank-Kunden waren es keine Mails, sondern Google-Ads, die aber auf ebenso gefälschte Links führten.

Gut zu wissen: Erstens verschicken Banken Ihnen eigentlich keine Mails. Zweitens: Bei Banking- und anderen Konten (z.B. PayPal, Google, Microsoft, Dropbox usw.) aktivieren Sie mit Vorteil die Zwei-Faktor-Authentifizierung.

Was, wenn dennoch Mails hereinschneien, die echt und plausibel aussehen? Um einen richtigen von einem gefälschten Link zu unterscheiden, müssten Sie eigentlich genauer wissen, wie ein Link bzw. eine URL üblicherweise aufgebaut ist. Im Grunde so: Nach dem Protokoll (https://) folgt oft eine Subdomain bzw. ein Hostname (z.B. «www»), gefolgt von einem Punkt, dem Domainnamen (z.B. «pctipp») und der Top-Level-Domain (z.B. «.ch»). Dahinter folgt ein Slash (/), nach welchem Unterordner (z.B. /support/downloads/), direkte Dokument- bzw. Seitennamen (z.B. treiberliste.html) und weitere Parameter stehen können.

Wenn es darum geht, herauszufinden, ob der Link tatsächlich zum angegebenen Unternehmen führt, braucht das meiste davon Sie überhaupt nicht zu kümmern! Es ist viel einfacher.

Mit der Domain steht und fällt alles

Das Ganze lässt sich auf zwei Regeln reduzieren, mit denen Sie schon schätzungsweise 95% der Phishing-Links zuverlässig entlarven können.

Kurzfassung für Eilige

  • Regel 1: Die tatsächliche Domain in einem Link steht immer direkt vor dem ersten Slash.
  • Regel 2: Wenn die tatsächliche Domain nicht Ihrer Bank gehört, dann führt der Link nicht zu Ihrer Bank.

Daraus folgt diese Kurzanleitung

Suchen Sie in der URL nach dem https:// von links nach rechts den ersten Slash (/), siehe A im folgenden Screenshot.

Fahren Sie von dort aus nach links zurück, bis Sie entweder auf den zweiten Punkt treffen oder beim Protokoll (https://) landen, siehe B. Alles zwischen A und B ist der Domainname dieses Links, siehe C. Wenn dies nicht die zu erwartende Domain jener Bank oder sonstigen Firma ist, führt der Link nicht zu ihr.

Wenn die auf obigem Weg ermittelte Domain eine andere ist und der erwartbare Domainname der Bank o.ä. nur an anderer Stelle in der URL vorkommt, dann ist es Phishing.

Tipps: Es gibt übrigens praktisch nie einen Grund, einen Banking-Link in einer Mail anzuklicken. Eine Bank wird Ihnen Probleme mit Ihrem Konto primär per Briefpost oder nach dem Einloggen ins E-Banking mitteilen. Legen Sie den Link zu Ihrem E-Banking am besten in die Favoriten. Oder noch besser: Tippen Sie die offizielle Adresse inklusive Top-Level-Domain (z.B. raiffeisen.ch statt nur raiffeisen) in die Adresszeile. Damit öffnen Sie die Webseite, statt nur nach dem Namen der Bank zu «googlen». Auf der Startseite der Bank angekommen, finden Sie immer auch einen Link zum E-Banking. Falls Sie den Link angeklickt haben, achten Sie im Browser weiterhin aufs Schloss-Symbol und prüfen Sie, auf wen das Zertifikat zugelassen ist.

Auf der Folgeseite ein paar Beispiele für die Tricks der Kriminellen.

Tricks der Phisher

Natürlich versuchen die Betrüger allerlei Tricks. Sie stecken den erwartbaren Namen der angeblichen Bank-Domain an eine andere Stelle im Link. Manchmal garniert mit Begriffen wie «Admin» oder «Security». Folgende Beispiele hat sich die Autorin zur Veranschaulichung bloß ausgedacht; sie sind aber von tatsächlich gesehenen Phishing-Links inspiriert.

Zum Beispiel so. Auf welche Domain führt der Link?

https://raiffeisen_ch.trallaladomain.ru/hiereinformular.html

Oder so. Welches ist die Domain?

https://admin_secrty.br/raiffeisen_ch.html

Oder so. Sogar das «.ch» mit Punkt abgetrennt. Aber ist raiffeisen.ch die tatsächliche Domain in diesem Link?

https://bla.lu/raiffeisen.ch_login

So auch das da:

https://raiffeisen.ch.bla.256-101-158-1.hosttech.eu/rb

Noch mehr Tricks der Phisher

Falschen Link hinter richtigem verstecken

In Mails, auf Webseiten und sogar in Word-Dokumenten können Sie ein Textschnipsel wie «www.pctipp.ch» markieren und ihm einen Link wie «http://ichbineinphisher.harrharr.example.org» verpassen. Wer nur den Text liest und sofort klickt, sieht vielleicht nicht, dass der Link ganz anderswo hinführt. Fahren Sie aber zum Beispiel in Ihrem Mailprogramm per Mauszeiger nur über einen Link, ohne ihn anzuklicken, erscheint die tatsächlich verlinkte Adresse je nach Mailprogramm entweder in der Statusleiste oder in einem kleinen Pop-up.

Der IP-Adressen-Trick

Manche Phisher verwirren ihre Opfer mit Links, die nicht auf eine Textdomain verweisen, sondern auf eine IP-Adresse. Das könnte dann so aussehen (und ja, die Autorin weiß, dass es eigentlich nur bis 255 geht):

https://256.45.123.99/raiffeisen.ch_login
https://raiffeisen_ch.256.45.123.99/hiereinformular.html

Wenn Sie auf so etwas treffen, ist es sowieso verdächtig und bei Ihnen hoffentlich als Betrugsversuch durchgerasselt. Das Vorgehen ist im Prinzip dasselbe. Finden Sie den ersten Slash und schauen Sie sich das an, was eigentlich der Domainname sein müsste. Wenn es eine IP-Adresse ist, dann ist es nicht jene Ihrer Bank.

Der Hex-IP-Trick

IP-Adressen lassen sich auch als Hex-Codes schreiben, zum Beispiel so, hier mit der IP-Adresse unserer seriösen Com-Kollegen; der Link ist von der Autorin konstruiert und führt natürlich nur auf einen 404-Fehler:

https://0x55c74313/raiffeisen.ch_login

Aber auch dies ist ein Trick, der in Phishing-Mails schon gesehen wurde.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*