«Phishing» ist eine Art Kofferwort aus «password» und «fishing». So bezeichnet man Methoden, die Kriminelle verwenden, um von ihren Opfern Daten zu erschleichen, meistens Benutzernamen und Passwörter zu E-Banking- und anderen Onlinekonten, oft auch Kreditkartennummern und andere persönliche Daten.

Dabei versenden die Kriminellen meistens verfänglich gestaltete Mails z.B. im Design einer bestimmten Bank an zigtausende wahllos gesammelte Mailadressen. Ein kleiner Teil der Adressierten hat garantiert ein Konto bei jenem Finanzinstitut. Der Inhalt dieser Mails dreht sich meist darum, dass angeblich etwas mit dem E-Banking- oder sonstigen Konto nicht stimme, weshalb sich die Benutzer sofort bei jenem einloggen sollen, um das Problem zu beheben. Die Kriminellen verbinden damit die angebliche «Wichtigkeit» des Anliegens mit Zeitdruck, damit die Opfer nicht zu lange überlegen oder recherchieren und dem Betrug auf die Schliche kommen könnten.

Beim neulich geschilderten Fall vom Phishing gegen Raiffeisen-Bank-Kunden waren es keine Mails, sondern Google-Ads, die aber auf ebenso gefälschte Links führten.

Gut zu wissen: Erstens verschicken Banken Ihnen eigentlich keine Mails. Zweitens: Bei Banking- und anderen Konten (z.B. PayPal, Google, Microsoft, Dropbox usw.) aktivieren Sie mit Vorteil die Zwei-Faktor-Authentifizierung.

Was, wenn dennoch Mails hereinschneien, die echt und plausibel aussehen? Um einen richtigen von einem gefälschten Link zu unterscheiden, müssten Sie eigentlich genauer wissen, wie ein Link bzw. eine URL üblicherweise aufgebaut ist. Im Grunde so: Nach dem Protokoll (https://) folgt oft eine Subdomain bzw. ein Hostname (z.B. «www»), gefolgt von einem Punkt, dem Domainnamen (z.B. «pctipp») und der Top-Level-Domain (z.B. «.ch»). Dahinter folgt ein Slash (/), nach welchem Unterordner (z.B. /support/downloads/), direkte Dokument- bzw. Seitennamen (z.B. treiberliste.html) und weitere Parameter stehen können.

Wenn es darum geht, herauszufinden, ob der Link tatsächlich zum angegebenen Unternehmen führt, braucht das meiste davon Sie überhaupt nicht zu kümmern! Es ist viel einfacher.

Das Ganze lässt sich auf zwei Regeln reduzieren, mit denen Sie schon schätzungsweise 95% der Phishing-Links zuverlässig entlarven können.

Suchen Sie in der URL nach dem https:// von links nach rechts den ersten Slash (/), siehe A im folgenden Screenshot.

Fahren Sie von dort aus nach links zurück, bis Sie entweder auf den zweiten Punkt treffen oder beim Protokoll (https://) landen, siehe B. Alles zwischen A und B ist der Domainname dieses Links, siehe C. Wenn dies nicht die zu erwartende Domain jener Bank oder sonstigen Firma ist, führt der Link nicht zu ihr.

Wenn die auf obigem Weg ermittelte Domain eine andere ist und der erwartbare Domainname der Bank o.ä. nur an anderer Stelle in der URL vorkommt, dann ist es Phishing.

Tipps: Es gibt übrigens praktisch nie einen Grund, einen Banking-Link in einer Mail anzuklicken. Eine Bank wird Ihnen Probleme mit Ihrem Konto primär per Briefpost oder nach dem Einloggen ins E-Banking mitteilen. Legen Sie den Link zu Ihrem E-Banking am besten in die Favoriten. Oder noch besser: Tippen Sie die offizielle Adresse inklusive Top-Level-Domain (z.B. raiffeisen.ch statt nur raiffeisen) in die Adresszeile. Damit öffnen Sie die Webseite, statt nur nach dem Namen der Bank zu «googlen». Auf der Startseite der Bank angekommen, finden Sie immer auch einen Link zum E-Banking. Falls Sie den Link angeklickt haben, achten Sie im Browser weiterhin aufs Schloss-Symbol und prüfen Sie, auf wen das Zertifikat zugelassen ist.

Auf der Folgeseite ein paar Beispiele für die Tricks der Kriminellen.

Natürlich versuchen die Betrüger allerlei Tricks. Sie stecken den erwartbaren Namen der angeblichen Bank-Domain an eine andere Stelle im Link. Manchmal garniert mit Begriffen wie «Admin» oder «Security». Folgende Beispiele hat sich die Autorin zur Veranschaulichung bloss ausgedacht; sie sind aber von tatsächlich gesehenen Phishing-Links inspiriert.

Zum Beispiel so. Auf welche Domain führt der Link?

https://raiffeisen_ch.trallaladomain.ru/hiereinformular.html

Oder so. Welches ist die Domain?

https://admin_secrty.br/raiffeisen_ch.html

Oder so. Sogar das «.ch» mit Punkt abgetrennt. Aber ist raiffeisen.ch die tatsächliche Domain in diesem Link?

https://bla.lu/raiffeisen.ch_login

So auch das da:

https://raiffeisen.ch.bla.256-101-158-1.hosttech.eu/rb

In Mails, auf Webseiten und sogar in Word-Dokumenten können Sie ein Textschnipsel wie «www.pctipp.ch» markieren und ihm einen Link wie «http://ichbineinphisher.harrharr.example.org» verpassen. Wer nur den Text liest und sofort klickt, sieht vielleicht nicht, dass der Link ganz anderswo hinführt. Fahren Sie aber zum Beispiel in Ihrem Mailprogramm per Mauszeiger nur über einen Link, ohne ihn anzuklicken, erscheint die tatsächlich verlinkte Adresse je nach Mailprogramm entweder in der Statusleiste oder in einem kleinen Pop-up.

Manche Phisher verwirren ihre Opfer mit Links, die nicht auf eine Textdomain verweisen, sondern auf eine IP-Adresse. Das könnte dann so aussehen (und ja, die Autorin weiss, dass es eigentlich nur bis 255 geht):

https://256.45.123.99/raiffeisen.ch_login
https://raiffeisen_ch.256.45.123.99/hiereinformular.html

Wenn Sie auf so etwas treffen, ist es sowieso verdächtig und bei Ihnen hoffentlich als Betrugsversuch durchgerasselt. Das Vorgehen ist im Prinzip dasselbe. Finden Sie den ersten Slash und schauen Sie sich das an, was eigentlich der Domainname sein müsste. Wenn es eine IP-Adresse ist, dann ist es nicht jene Ihrer Bank.

IP-Adressen lassen sich auch als Hex-Codes schreiben, zum Beispiel so, hier mit der IP-Adresse unserer seriösen Com-Kollegen; der Link ist von der Autorin konstruiert und führt natürlich nur auf einen 404-Fehler:

https://0x55c74313/raiffeisen.ch_login

Aber auch dies ist ein Trick, der in Phishing-Mails schon gesehen wurde.