Gefälschte URLs und URL-Spoofing

Gefälschte URLs sind eine gängige Betrugsmasche im Internet. Sie wirken auf den ersten Blick vertrauenswürdig. Der Fehler liegt im Detail und wird leicht übersehen. Beim sogenannten URL-Spoofing sieht die Webadresse bekannten Seiten (wie Amazon oder Google) täuschend ähnlich, führt aber auf eine Fake-Seite. Diese ist meist ebenfalls nicht als solche zu erkennen.

Im folgenden Überblick zeigen wir typische Merkmale manipulierter URLs.

1. Der Aufbau gefälschter URLs

Das wichtigste Kriterium ist die tatsächliche Domain. Der Teil der URL, der unmittelbar vor der Domain-Endung steht, also zum Beispiel .de, .com oder .net

Beispiel:

www.paypaI.com

Diese Adresse wirkt auf den ersten Blick korrekt. Ist sie aber nicht! Tatsächlich befindet sich der Fehler im letzten Zeichen: Das vermeintliche kleine „l“ ist in Wahrheit ein großes „i“–> „I“. Es handelt sich um eine vollkommen andere Domain, auch wenn sie visuell kaum oder gar nicht (je nach Schriftart) von der Originaladresse zu unterscheiden ist.

Solche Lookalike-Domains gehören zu den gängigsten Varianten von URL-Spoofing. Sie nutzen gezielt die visuelle Wahrnehmung und die Bekanntheit beliebter Marken und Zahlungsdienste aus. Wer achtet schon beim Klick auf Links großer und bekannter Marktplätze oder Online-Shops penibel auf die Webadresse?

1.2. Abweichungen der URL oft minimal

Eine verbreitete Methode ist der Austausch einzelner, möglichst unauffälliger Zeichen, um eine bekannte Adresse nur minimal zu verändern und so Vertrauen zu erschleichen:

• Zahlen statt Buchstaben (zum Beispiel „0“ statt „o“)

• Buchstaben mit ähnlicher Form (zum Beispiel „l“ statt „I“ oder „rn“ statt „m“)

• Leicht veränderte Schreibweisen bekannter Namen (zum Beispiel „gooogle“ statt „google“ oder „paypall“ statt „paypal“)

Solche Abweichungen sind auf den ersten Blick kaum zu erkennen – vor allem dann, wenn Nutzer*innen in Eile sind, Links auf dem Smartphone anklicken oder sich auf das Logo und das Design der Seite verlassen, statt die Adresse genau zu prüfen.

All das sind Beispiele einer Betrugsmasche, die auch als Typosquatting bezeichnet wird. Cyberkriminelle registrieren bewusst Domains, die der Originaladresse extrem ähnlich sehen, und setzen darauf, dass Tippfehler oder minimale Veränderungen beim schnellen Lesen nicht auffallen. 

2. HTTPS ist kein Echtheitsbeweis

Das Schloss-Symbol in der Adressleiste signalisiert, dass eine Verbindung verschlüsselt ist. Es sagt jedoch nichts darüber aus, ob die Website an sich auch vertrauenswürdig oder rechtlich integer ist.

Gültige SSL-Zertifikate finden sich auch auf gefälschten Seiten. Die Verschlüsselung schützt nur die Datenübertragung, aber nicht vor einer betrügerischen Domain!

3. Achte auf Domain-Endungen

Während bekannte Unternehmen meist etablierte Domain-Endungen nutzen, greifen betrügerische Seiten auch auf weniger verbreitete oder kostengünstige Endungen zurück. Zum Beispiel: .xyz, .top oder .club 

Auch wenn eine solche Endung nicht per se auf einen Betrug hinweisen, so kann sie doch ein zusätzliches Warnsignal sein. Besonders im Zusammenhang mit anderen Auffälligkeiten.

4. Irreführende Subdomains und Zusätze

Manipulierte URLs zeichnen sich häufig durch lange, komplexe Adressstrukturen aus, die den bekannten Markennamen lediglich als Subdomain enthalten. Sie sollen auf den ersten Blick seriös wirken, nutzen aber gezielt die Tatsache aus, dass viele Nutzer*innen nur den vertrauten Namen „irgendwo“ in der Adresszeile sehen und den Rest ausblenden.

Beispielhaft sind Adressen nach demMuster:
login.deutschebank.sicher-check.net

Auf den ersten Blick liest unser Gehirn oft nur „login.deutschebank“ und ordnet die URL automatisch der echten Bankseite zu. Technisch entscheidend ist aber der Teil ganz am Ende: Die Domain ist hier „sicher-check.net“ – und hat nichts mit der offiziellen Domain der Deutschen Bank zu tun, egal, was davor noch steht.

Darum gilt: Schau bei langen oder ungewohnten URLs immer ganz an das Ende der Adresszeile und prüfe, ob die Hauptdomain wirklich zu der bekannten Marke passt. Wenn du unsicher bist, tippe die dir bekannte Originaladresse lieber selbst in den Browser ein, statt auf Links in E-Mails, Chats oder Anzeigen zu klicken.

5. Unicode-Zeichen und Homograph-Angriffe

Extrem schwer zu erkennen sind URLs, die Zeichen aus anderen Schriftsystemen enthalten. Diese ähneln lateinischen Buchstaben mitunter verblüffend. Unser Auge erkennt den Fehler oft nicht. Diese sogenannten Homograph-Angriffe kommen zum Beispiel bei groß angelegten Phishing-Kampagnen vor.

Die kyrillischen Buchstaben а, с, е, о, р, х und у haben zum Beispiel optische Entsprechungen im lateinischen Grundalphabet und sehen ähnlich oder identisch aus wie a, c, e, o, p, x und y.

6. Der Kontext ist Teil des Angriffs

Die meisten gefälschten URLs werden per E-Mail oder Messenger zugestellt. Der Link findet sich eingebaut in einer scheinbar plausiblen Nachricht, in der es um angebliche Sicherheitsprobleme, offene Zahlungen oder um Bestätigungen geht.

Der Erfolg solcher Angriffe liegt im ausgefeilten Zusammenspiel von Anlass, Tonfall und Dringlichkeit.

7. Dringlichkeit als Warnsignal

Formulierungen mit unmittelbarem Handlungsdruck sind klassischer Bestandteil betrügerischer Kommunikation. Diese setzt fast immer auf Zeitdruck und verhindert so, dass Inhalte oder URLs genauer hinterfragt werden.

Der entscheidende Unterschied zu seriösen Sicherheitsabfragen? Hier ist die Kommunikation mehrstufig (es gibt mehrere aufeinander aufbauende E-Mails) und sie enthält selten ein Ultimatum.

8. Stimmen Link und Ziel-URL überein?

Häufig kannst du schon vor dem Klick erkennen, wohin ein Link führt. Fahre zum Beispiel mit der Maus über den Link und prüfe, welche Adresse unten im Browserfenster oder neben dem Cursor eingeblendet wird. Insbesondere bei E-Mails, Newslettern oder Links in sozialen Medien lohnt sich dieser kurze Kontrollblick.

Auf dem Handy kannst du das so erkennen: Halte den Link mit dem Finger länger gedrückt, bis eine Vorschau oder ein kleines Fenster mit der vollständigen URL erscheint.

9. Der beste Schutz: wachsam sein!

Browser-Warnungen, Sicherheitssoftware und Filter blockieren einen Großteil bekannter Fake-Domains. Problematisch sind vor allem neu registrierte oder kurzzeitig genutzte URLs, die immer wieder neu für einzelne “Kampagnen” erstellt werden. Technischer Schutz ist notwendig, keine Frage, aber er ersetzt nicht das kritische Prüfen von Webadressen.

Unser Tipp: Bleibe immer wachsam. Wenn der fragliche Link auf einen Online-Shop verweist, dann kannst du für einen Sicherheitscheck auch die kostenfreie Shopsuche von #trstd nutzen. Lies hierzu auch unsere Beiträge: Fake-Shops erkennen und Quick-Guide für sicheres Online-Shopping