So enttarnen Sie gefälschte Links in Phishing-Mails

Wenn Sie eine Phishing-Mail selbst analysieren möchten, dann sehen Sie sich zunächst die enthaltenen Links an. Interessant ist der zentrale Link in der Mail, der auch inhaltlich hervorgehoben ist. Verlinkungen oben oder unten in der Mail rufen meist die echte Website auf, um so die Glaubwürdigkeit zu erhöhen.

Die Kriminellen verstecken den Link in einer Mail meist hinter harmlosen Text oder einer Textgrafik. Der Text kann etwa "www.paypal.com" lauten, oder in der Grafik steht "Informationen aktualisieren". Um an den tatsächlichen Link dahinter zu kommen, führen Sie die Maus darüber, aber ohne zu klicken. Es öffnet sich dann entweder ein kleines Pop-up mit dem Link, oder das Mailprogramm zeigt den Link unten in der Infozeile an. Dort gibt es aber oft zu wenig Platz, um den kompletten Link anzuzeigen. Es ist dann übersichtlicher, wenn Sie sich den Link kopieren und etwa in einen Editor oder eine Textverarbeitung einfügen. Klicken Sie dafür mit der rechten Maustaste auf den Text oder die Grafik mit dem dahinterliegenden Link und wählen Sie "Link kopieren".

Aufbau einer Webadresse: Um einen Link analysieren zu können, müssen Sie den Aufbau einer Webadresse kennen. Die Adresse besteht aus einer Domain und einer Top Level Domain (TLD). Davor steht eine Angabe zum verwendeten Protokoll. Bei Webseiten ist das http:// oder https://, wobei http:// oft nicht mit angezeigt wird, meist aber die Angabe www. Also im Prinzip https://www.domain.TLD oder etwa https://www.paypal.com.

Die Domain kann man sich als Website-Betreiber frei aussuchen, sofern sie nicht bereits vergeben ist. Als TLD sind oft die Länder-Domains (englisch: Country Code Top-Level-Domains, CCTLD) üblich. In Deutschland also .de. Daneben gibt es einige generische TLD (GTLD), etwa .com für commercial, .gov für government oder .org für organization.

Außerdem gibt es seit etwa 2014 etliche weitere Domains, etwa. ag, .berlin, .bio, .cash, .center .club, .tips, oder .versicherung. Sie können also auch auf eine Internetadresse wie diese stoßen: www.beste.versicherung. Insgesamt existieren weit über 1500 TLD (stand November 2016). Diese Zahl hatte sich in nur zwei Jahren mehr als verdoppelt. Dadurch ist es mittlerweile deutlich schwerer geworden, eine getarnte Webadresse zu analysieren. Einen kompletten Überblick über alle Top Level Domains gibts hier .

Tarnung durch lange Webadressen: Die Kriminellen tarnen ihre gefährlichen Adressen auch dadurch, dass sie diese nach vorne durch Subdomains verlängern. Diese sind immer durch einen Punkt getrennt. Das sieht etwa so aus: www.subdomain1.subdomain2.domain.TLD beziehungsweise so: www.paypal.comm.znaower.ru. Die einzige Domain in diesem Beispiel ist znaower mit der Top Level Domain .ru. Zusätzlich verlängern die Kriminellen getarnte Phishing-Links auch nach hinten. Dabei handelt es sich entweder um eine Ordnerstruktur auf dem Webserver oder um Code. Das sieht etwa so aus: www.znaower.ru/paypal.de/ihrkonto.html oder www.znaower.ru?paypal

So erkennen Sie die Domain: Der Domain-Name seht immer links vor der Top-Level-Domain. Die TLD seht immer vor dem ersten Schrägstrich oder dem ersten Fragezeichen. Ausgenommen sind die Schrägstriche der Protokollangabe http://.

Analyse eines Phishing-Links an zwei Beispielen

Leicht zu erkennen sind Links auf IP-Adressen, etwa dieser hier: http://181.41.219.174/zj0lmRV7t. Er stammt aus einer Phishing-Mail für 1und1-Kunden. Aber kein seriöser Dienst versendet Links auf IP-Adressen. Sie sind also schon fertig mit der Analyse.

Möchten Sie dennoch weiterforschen, dann geben Sie die IP-Adresse in das Eingabefeld auf http://network-tools.com ein und drücken auf "Go". Nach kurzer Zeit wird Ihnen rechts unter "Domain Name" die zugehörige Domain genannt. In diesem Beispiel ist das advicecenterrevise.com. Diese Adresse ist nicht grundsätzlich verdächtig, es lässt sich aber auch kein Zusammenhang zu 1und1 herstellen.

Auf den ersten Blick etwas undurchschaubar erscheint der Link hinter dem Verifizierungsfeld in einer Phishing-Mail an Paypal-Kunden. Er beginnt so: http://megaurl.co/d9d4r3wh5zf7foer7bp9845dg697jfszlsprd591j7vfew09bkbllwb0oya5ocycha5g6mcinhj7hx2mah4wlgf622d5g2 qjlmfxs2zxuhm4jtjz8j0zmc3itc1iss2p7zmmdrbflbjr45k8g0oaokbf0yz1h9smhnsuvkddfsgh9igteg-2eu9z78dpirxnham5bzoz6ypogs7vmb7vfoyaw2g6t1fkdicraps7arx62nq2f57wretpdm8ycritel0d5u9wp-154fkvj3trdqh8mypfrinssaacocme39231. Allerdings hört er nicht bei der "1" auf, sondern geht noch fast 700 Zeichen weiter..

Doch mit dem Wissen um den Aufbau einer URL kommen Sie ganz leicht an die tatsächliche Domain. Streichen Sie gedanklich die zwei Schrägstriche nach "http:". Jetzt suchen Sie den ersten Schrägstrich oder das erste Fragezeichen von links und prüfen das Wort davor, um die Top Level Domain zu finden. Es ist ".co". Die Domain seht immer links davor. Es ist somit "megaurl.". Der ganze Text nach ".co" dient nur der Verwirrung. Wenn Sie megarurl.co in den Browser eingeben, gelangen Sie zu einem Dienst, der eine vorhandene URL verlängert. Er macht also genau das Umgekehrte von URL-Verkürzern wie Bit.ly oder Tiny-URL. In allen Fällen lassen sich die letztendlichen Ziel-Adressen nicht sofort erkennen. Wollen Sie diese absolut gefahrlos in einem Browser eingeben, empfiehlt es sich, einen Browser in einem virtuellen PC zu nutzen. Denn sollte hinter der Webadresse keine Phishing-Website, sondern eine virenverseuchte Site warten, sind Sie in einer virtuellen Maschine gut geschützt. Am einfachsten bekommen Sie mit dem Tool Bitbox einen virtuellen Browser.