Die echte Domain steht vor dem ersten Slash
Tricks der Phisher
Natürlich versuchen die Betrüger allerlei Tricks. Sie stecken den erwartbaren Namen der angeblichen Bank-Domain an eine andere Stelle im Link. Manchmal garniert mit Begriffen wie «Admin» oder «Security». Folgende Beispiele hat sich die Autorin zur Veranschaulichung bloss ausgedacht; sie sind aber von tatsächlich gesehenen Phishing-Links inspiriert.
Zum Beispiel so. Auf welche Domain führt der Link?
https://raiffeisen_ch.trallaladomain.ru/hiereinformular.html
Oder so. Welches ist die Domain?
https://admin_secrty.br/raiffeisen_ch.html
Oder so. Sogar das «.ch» mit Punkt abgetrennt. Aber ist raiffeisen.ch die tatsächliche Domain in diesem Link?
https://bla.lu/raiffeisen.ch_login
So auch das da:
https://raiffeisen.ch.bla.256-101-158-1.hosttech.eu/rb
Noch mehr Tricks der Phisher
Falschen Link hinter richtigem verstecken
In Mails, auf Webseiten und sogar in Word-Dokumenten können Sie ein Textschnipsel wie «www.pctipp.ch» markieren und ihm einen Link wie «http://ichbineinphisher.harrharr.example.org» verpassen. Wer nur den Text liest und sofort klickt, sieht vielleicht nicht, dass der Link ganz anderswo hinführt. Fahren Sie aber zum Beispiel in Ihrem Mailprogramm per Mauszeiger nur über einen Link, ohne ihn anzuklicken, erscheint die tatsächlich verlinkte Adresse je nach Mailprogramm entweder in der Statusleiste oder in einem kleinen Pop-up.
Der IP-Adressen-Trick
Manche Phisher verwirren ihre Opfer mit Links, die nicht auf eine Textdomain verweisen, sondern auf eine IP-Adresse. Das könnte dann so aussehen (und ja, die Autorin weiss, dass es eigentlich nur bis 255 geht):
https://256.45.123.99/raiffeisen.ch_login
https://raiffeisen_ch.256.45.123.99/hiereinformular.html
Wenn Sie auf so etwas treffen, ist es sowieso verdächtig und bei Ihnen hoffentlich als Betrugsversuch durchgerasselt. Das Vorgehen ist im Prinzip dasselbe. Finden Sie den ersten Slash und schauen Sie sich das an, was eigentlich der Domainname sein müsste. Wenn es eine IP-Adresse ist, dann ist es nicht jene Ihrer Bank.
Der Hex-IP-Trick
IP-Adressen lassen sich auch als Hex-Codes schreiben, zum Beispiel so, hier mit der IP-Adresse unserer seriösen Com-Kollegen; der Link ist von der Autorin konstruiert und führt natürlich nur auf einen 404-Fehler:
https://0x55c74313/raiffeisen.ch_login
Aber auch dies ist ein Trick, der in Phishing-Mails schon gesehen wurde.
27.09.2021