Tipps & Tricks 15.08.2012, 05:45 Uhr

Phishing-Link entlarven

Sie haben vielleicht eine plausibel klingende Mail von PostFinance oder einem anderen Unternehmen erhalten. Sie fordert dazu auf, einen Link anzuklicken, um ein Sicherheitsupdate durchzuführen. So erkennen Sie, ob ein Link echt ist.
Lösung: Keine Bank – auch nicht PostFinance – wird Sie zum Anklicken eines Links in einer Mail auffordern. Die Kommunikation findet stets über die bankeigenen Websites und Apps statt.
Es gibt aber eine Faustregel, mit deren Hilfe Sie Links zu gefälschten Seiten ganz einfach erkennen können. Sie lautet: Die Domain, zu welcher der Link führt, steht immer vor dem ersten Slash (/). Und wenn das nicht exakt die offizielle Domain Ihrer Bank bzw. von PostFinance (postfinance.ch) ist, dann ist es Phishing.
Klicken Sie niemals auf den Link, fahren Sie aber einmal mit der Maus drüber. In den meisten Mailprogrammen erscheint damit die verlinkte Adresse entweder in einem kleinen Popup oder in der Statuszeile (oder beides). Schauen Sie selbst:
Die Domain lautet nicht postfinance.ch, also ist es Phishing
Quelle: PCtipp.ch
Im obigen Beispiel lautet die Domain «pstfin-ch.com». Das ist nicht die Domain von PostFinance, denn die lautet ja «postfinance.ch». Somit ist es eine Betrugs- bzw. Phishing-Mail.
Eine weitere besonders perfide Masche in vielen Phishing-Mails: Im Mailtext steht manchmal eine fast richtig und legitim aussehende Webadresse, oft sogar inklusive «https». HTML ist aber geduldig, will heissen: In solchen Mails kann man den Text «guteseite.ch» problemlos mit der Adresse «böseseite.ch» verlinken. Schauen Sie daher nicht auf das, was auf den ersten Blick im Mailtext steht, sondern auf die verlinkte Adresse. Hier gleich ein typisches Beispiel für diesen Cybercrime-Trick. Erkennen Sie die tatsächliche Domain?
Die Adresse im Text ist nicht dieselbe, zu welcher der Link führt
Quelle: PCtipp.ch
Im Mailtext steht zwar «https.postfinance.ch/upgrade». Aber die dahinter verlinkte Adresse (die beim Drüberfahren per Maus erscheint) führt ganz woanders hin. Also Augen auf!
Es ist also komplett unerheblich, ...
- ob die Absenderadresse stimmt
- ob der Text plausibel klingt
- ob der Text in gutem Deutsch verfasst ist
- ob die Mail schön professionell gestaltet ist
- ob das Logo Ihrer Bank bzw. PostFinance darin vorkommt
- ob auf den ersten Blick die richtige Domain im Text steht
Denn: All das können Phisher fälschen – und sie tun es auch. Die verlinkte Adresse jedoch wird den Phishing-Versuch immer verraten.

Und was machen Sie aus folgendem Beispiel?

Update vom 16.07.2021. weil ein Leser kürzlich gefragt hat: Fahren Sie per Maus über einen Link im PCtipp-Newsletter, steht dort nicht «pctipp.ch», sondern ein Link wie dieser:
Dieser PCtipp-Newsletter ist echt, auch wenn die Domain nmg.de auf den ersten Blick irritierend scheint
Quelle: PCtipp.ch
https://click.digital.nmg.de/?qs=cf8e5dbc003c9d84cd4a947edfbd3263771a9e8fceb17ac1bf8253b44d13ecc5fb1fc6515933fbd5ee4dfa58a99e7e945bb52ded629b2aa0
Wenn die Domain vorher einen Punkt hat, sind die davor stehenden Begriffe bloss Server- oder Subdomain-Namen. Die wichtigste Info darüber, zu welcher Organisation der Link führt, bleibt weiterhin die Domain, die direkt vor dem ersten Slash steht. Denken Sie sich das https:// einmal weg, suchen Sie den ersten Slash (/). Und davor steht die Domain: nmg.de. Das steht für «Neue Mediengesellschaft» und ist der (ehemalige) Name des deutschen Verlages (Ebner Media Group), zu dem auch der PCtipp seit mehreren Jahren gehört. Tippen Sie die Domain nmg.de ohne Beigemüse im Browser ein, landen Sie bei ebnermedia.de. Unter Standorte finden Sie auch Zürich: Neue Mediengesellschaft Zürich AG, www.nmgz.ch, die Schweizer Niederlassung des Verlags, zu dem auch PCtipp, Computerworld und Online-PC gehören.
Die nmg.de-Domain steht in den Links, weil wir beim PCtipp das gleiche Newsletter-Werkzeug wie im restlichen Verlag verwenden. Geheimnis gelüftet!



Kommentare

Avatar
atomar
16.08.2012
Nicht so einfach wie mir scheint. Im pctipp-Newsletter habe ich das mal gemacht mit folgendem Ergebnis: http:/nl.pctipp.ch .......... und da ist schon der Fehler. Nach http: folgt ein doppel // und nicht ein einfacher /

Avatar
Gaby Salvisberg
16.08.2012
Nicht so einfach wie mir scheint. Im pctipp-Newsletter habe ich das mal gemacht mit folgendem Ergebnis: http:/nl.pctipp.ch ......... Was soll das nl. vor pctipp.ch - ist dies jetzt eine pishingmail ? Nach einigen solchen Versuchen wird man das ganze wieder vergessen - es braucht halt doch vertiefte Kentnisse. Doch, es ist so einfach. Die zwei // nach "http" zählen nicht. Geh zum ersten Slash. Gleich davor steht die Domain "pctipp.ch". Und die ist logischerweise richtig. Der Punkt ist: Auch wenn es vor der Domain eine Subdomain hat ("nl" für Newsletter) oder "irgendwasmitwww", ist diese Domain im Weblink nicht fälschbar. Ein Angreifer kann nicht auf "irgendwas.pctipp.ch" eine Phishingseite errichten. Herzliche Grüsse Gaby

Avatar
Masche
16.08.2012
Noch ein paar Bemerkungen zur Klärung: Nach dem ersten Slash "/" ist eine Webseite ähnlich aufgebaut, wie die Ordnerstruktur eines Laufwerks. Das heisst hierarchisch von links nach rechts strukturiert. Vor dem ersten Slash dagegen ist es gemäss dem Domain Name System genau umgekehrt. Da ist die oberste Ebene (Top-Level-Domain) ganz rechts. Diese Top-Level-Domain ist unter anderem die Länderkennung (z.B. .ch, .de etc.). Ab hier geht nun die Hierarchie von rechts nach links, was zugegebenermassen etwas ungewohnt ist. Solche Subdomains sind weit verbreitet. Ich möchte hier z.B. auf die Homepage des Schweizer Fernsehens verweisen. Man findet dort Adressen wie "Tagesschau.sf.tv", "Sport.sf.tv" etc.. ".tv" hat übrigens nichts mit TV=Fernsehen zu tun sondern ist der Ländercode von Tuvalu. Wie kommt nun aber das Schweizer Fernsehen zu einer Adresse in der Südsee? Das Schweizer Fernsehen wollte eigentlich die Adresse sf.ch, doch die Top-Level-Domain .ch erlaubt keine Adressen mit nur zwei Buchstaben, weshalb das Schweizer Fernsehen wie auch andere Fernsehgesellschaften fremd gegangen ist, was Tuvalu zu einem willkommenen Nebenverdienst verhilft. "nl.pctipp.ch" ist also, wie schon von Gaby gesagt, einfach eine Subdomain von "pctipp.ch". Etwas anderes wäre es, wenn die Adresse "nlpctipp.ch" oder "nl-pctipp.ch"heissen würde. Doch was wäre der Sinn eines Phishings bei einem Newsletter?

Avatar
Pummel
18.08.2012
Was immer wieder vergessen wird: PostFinance schickt selten Mails, aber die sind nach meiner Erfahrung IMMER verschlüsselt. Liebe Grüsse Hans