Die echte Domain steht vor dem ersten Slash

«Phishing» ist eine Art Kofferwort aus «password» und «fishing». So bezeichnet man Methoden, die Kriminelle verwenden, um von ihren Opfern Daten zu erschleichen, meistens Benutzernamen und Passwörter zu E-Banking- und anderen Onlinekonten, oft auch Kreditkartennummern und andere persönliche Daten.

Dabei versenden die Kriminellen meistens verfänglich gestaltete Mails z.B. im Design einer bestimmten Bank an zigtausende wahllos gesammelte Mailadressen. Ein kleiner Teil der Adressierten hat garantiert ein Konto bei jenem Finanzinstitut. Der Inhalt dieser Mails dreht sich meist darum, dass angeblich etwas mit dem E-Banking- oder sonstigen Konto nicht stimme, weshalb sich die Benutzer sofort bei jenem einloggen sollen, um das Problem zu beheben. Die Kriminellen verbinden damit die angebliche «Wichtigkeit» des Anliegens mit Zeitdruck, damit die Opfer nicht zu lange überlegen oder recherchieren und dem Betrug auf die Schliche kommen könnten.

Beim neulich geschilderten Fall vom Phishing gegen Raiffeisen-Bank-Kunden waren es keine Mails, sondern Google-Ads, die aber auf ebenso gefälschte Links führten.

Gut zu wissen: Erstens verschicken Banken Ihnen eigentlich keine Mails. Zweitens: Bei Banking- und anderen Konten (z.B. PayPal, Google, Microsoft, Dropbox usw.) aktivieren Sie mit Vorteil die Zwei-Faktor-Authentifizierung.

Was, wenn dennoch Mails hereinschneien, die echt und plausibel aussehen? Um einen richtigen von einem gefälschten Link zu unterscheiden, müssten Sie eigentlich genauer wissen, wie ein Link bzw. eine URL üblicherweise aufgebaut ist. Im Grunde so: Nach dem Protokoll (https://) folgt oft eine Subdomain bzw. ein Hostname (z.B. «www»), gefolgt von einem Punkt, dem Domainnamen (z.B. «pctipp») und der Top-Level-Domain (z.B. «.ch»). Dahinter folgt ein Slash (/), nach welchem Unterordner (z.B. /support/downloads/), direkte Dokument- bzw. Seitennamen (z.B. treiberliste.html) und weitere Parameter stehen können.

Wenn es darum geht, herauszufinden, ob der Link tatsächlich zum angegebenen Unternehmen führt, braucht das meiste davon Sie überhaupt nicht zu kümmern! Es ist viel einfacher.

Das Ganze lässt sich auf zwei Regeln reduzieren, mit denen Sie schon schätzungsweise 95% der Phishing-Links zuverlässig entlarven können.

Suchen Sie in der URL nach dem https:// von links nach rechts den ersten Slash (/), siehe A im folgenden Screenshot.

Fahren Sie von dort aus nach links zurück, bis Sie entweder auf den zweiten Punkt treffen oder beim Protokoll (https://) landen, siehe B. Alles zwischen A und B ist der Domainname dieses Links, siehe C. Wenn dies nicht die zu erwartende Domain jener Bank oder sonstigen Firma ist, führt der Link nicht zu ihr.

Wenn die auf obigem Weg ermittelte Domain eine andere ist und der erwartbare Domainname der Bank o.ä. nur an anderer Stelle in der URL vorkommt, dann ist es Phishing.

Tipps: Es gibt übrigens praktisch nie einen Grund, einen Banking-Link in einer Mail anzuklicken. Eine Bank wird Ihnen Probleme mit Ihrem Konto primär per Briefpost oder nach dem Einloggen ins E-Banking mitteilen. Legen Sie den Link zu Ihrem E-Banking am besten in die Favoriten. Oder noch besser: Tippen Sie die offizielle Adresse inklusive Top-Level-Domain (z.B. raiffeisen.ch statt nur raiffeisen) in die Adresszeile. Damit öffnen Sie die Webseite, statt nur nach dem Namen der Bank zu «googlen». Auf der Startseite der Bank angekommen, finden Sie immer auch einen Link zum E-Banking. Falls Sie den Link angeklickt haben, achten Sie im Browser weiterhin aufs Schloss-Symbol und prüfen Sie, auf wen das Zertifikat zugelassen ist.

Auf der Folgeseite ein paar Beispiele für die Tricks der Kriminellen.