Was ist URL-Phishing und wie erkennt man Phishing-Links?

Was ist URL-Phishing?

URL-Phishing ist eine Betrugstechnik, bei der Cyberkriminelle gefälschte Websites erstellen, die echten ähnlich sehen, und Links in seriös aussehenden Nachrichten zu versenden, um Benutzerinformationen (Passwörter oder Kreditkartendaten) zu sammeln, die sie später für illegale Zwecke verwenden könnten. Die Betrüger senden in der Regel Spam-E-Mails mit bösartigen Links in der Hoffnung, dass die Empfänger diesem Phishing-Link zu den gefälschten Websites folgen.

Online-Kriminelle lassen diese Websites täuschend vertraut und legitim aussehen, um ein falsches Gefühl von Sicherheit zu erzeugen, damit du sensible Informationen preisgibst – von deinen Instagram-Zugangsdaten bis zu den geheimsten Firmendaten.

Technisch gesehen ist eine Phishing-URL eine Form von Phishing-Angriff, bei der eine Person dazu gebracht wird, auf einen Link zu klicken – egal ob in einer E-Mail, einem Facebook-Post oder einer Textnachricht.

Beispiele für URL-Phishing

An Beispielen für URL-Phishing mangelt es nicht, da diese Betrugsmethode sehr verbreitet ist und viele Nutzer treffen kann. Hier ein paar aktuelle Beispiele für URL-Phishing, vor denen du dich in Acht nehmen solltest:

• Spotify-URL-Phishing: Vor kurzem hat die Verbraucherzentrale vor Phishing-Mails gewarnt, die angebliche Zahlungsprobleme beim Spotify-Abo vortäuschen. Die Phishing-Nachricht enthielt eine unpersönliche Anrede, unseriöse Absenderadresse, kurze Fristsetzung (48 Stunden), Drohung mit Kontosperrung und ein verdächtiger Link in der E-Mail.
• Commerzbank-URL-Phishing: Der Fokus berichtete, dass Phishing-Mails versendet werden, die sich an Kunden der Commerzbank richten, um deren photoTAN-Daten zu stehlen. Anzeichen des Betrugs sind die Drohung mit einer Kontoeinschränkung und die Aufforderung, auf einen Link zur Bestätigung zu klicken.
• PayPal-URL-Phishing: Vor kurzem hat Merkur über Phishing-Mails berichtet, die angeblich von PayPal stammen und eine bevorstehende Kontoeinschränkung ankündigen. Anzeichen des Betrugs sind die unpersönliche Anrede, die Behauptung einer vorübergehenden Kontosperrung und die künstliche Verknappung durch einen Link, der angeblich nach fünf Tagen abläuft.

Wie du siehst, verwenden die Kriminelle seriöse Namen und vertrauenswürdige Unternehmen, um ihren Scam so echt wie möglich erscheinen zu lassen. Beispielhaft für alle drei aktuellen Beispiele des URL-Phishings ist, dass die Anrede unpersönlich ist und die Nutzer unter Zeitdruck gesetzt werden. Das sind wichtige Warnzeichen eines Phishing-Angriffs.

Wie funktioniert URL-Phishing?

URL-Phishing funktioniert, indem es dich dazu verleitet, auf einen bösartigen Link zu klicken, der dich auf eine gefälschte Webseite umleitet. Durch URL-Phishing versuchen Cyberkriminelle, dein Vertrauen in bekannte Webseiten, Regierungsbehörden und sogar deine Freunde oder Kollegen auszunutzen.

Der Angriff beginnt normalerweise damit, dass der Kriminelle eine gefälschte Kopie einer bekannten Webseite erstellt, zum Beispiel eines sozialen Netzwerks, eines Online-Shops oder sogar einer Bank. Dann erfindet er eine überzeugende Geschichte, die dich in Panik versetzen und zum Klicken auf den Link bringen soll – zum Beispiel Probleme mit deinem Konto, unbekannte Aktivitäten in deinem Profil oder jemand, der versucht, Geld von deinem Bankguthaben zu überweisen.

Sobald sie ihre Webseite, ihre Geschichte und die Phishing-E-Mail bereit haben, beginnen die Cyberkriminellen, sie zu versenden. Wenn es Hackern gelingt, an offengelegte Nutzerlisten mit Namen und E-Mail-Adressen zu gelangen, wissen sie mit Sicherheit, dass du ein Kunde eines bestimmten Dienstes bist, und es ist wahrscheinlicher, dass du handelst.

Sobald du die gefälschte Webseite aufrufst und deine Anmeldedaten eingibst, ist dein echtes Konto so gut wie verloren. Die Angreifer können sich schnell einloggen und dein Passwort ändern, wodurch sie dich praktisch aussperren. Wenn es sich um ein Bankkonto handelt, können sie dein Geld auf ihr eigenes Konto überweisen. Wenn es deine Haupt-E-Mail-Adresse oder ein Social-Media-Konto ist, wirst du möglicherweise gezwungen, ein Lösegeld zu zahlen, um es zurückzubekommen.

Einige Angreifer können deine Konten nutzen, um sich als dich auszugeben und weitere Angriffe auf deine Familie, Freunde oder Kollegen zu starten. Außerdem können einige Hacker die Phishing-Angriffe selbst erstellen, und einige Hacker versuchen, von Phishing as a Service zu profitieren.

Wie erkenne ich einen URL-Phishing-Betrug?

Es gibt verschiedene Anzeichen, dass du vom URL-Phishing betroffen bist. Du erkennst es meistens an einem Zusammenspiel an Faktoren, die wie dir im Folgenden zeigen:

Falsch geschriebene oder ähnlich aussehende Domains

Achte genau auf die Schreibweise der Domain in der URL. Betrüger verwenden oft Web-Adressen, die bekannten Websites täuschend ähnlich sehen, aber kleine Fehler oder Buchstabendreher enthalten – zum Beispiel „amaz0n.com" statt „amazon.com" oder „paypaI.com" (hier mit großem i geschrieben) statt „paypal.com". Diese minimalen Änderungen sind auf den ersten Blick leicht zu übersehen oder gar nicht zu erkennen.

Zusatzwörter oder oder seltsame Subdomains

Sei vorsichtig, wenn eine URL ungewöhnliche Subdomains oder zusätzliche Wörter enthält. Eine seriöse URL wie „login.paypal.com" könnte von Betrügern als „paypal.login.com" nachgeahmt werden. Die echte Domain steht immer direkt vor der Endung (.com, .de usw.) – alles davor sind Subdomains, die jeder erstellen kann.

URL-Verkürzer

Wenn du einen verkürzten Link (wie bit.ly oder tinyurl) in einer E-Mail oder Nachricht erhältst, die angeblich von deiner Bank oder einem anderen vertrauenswürdigen Unternehmen stammt, solltest du vorsichtig sein. Seriöse Unternehmen verwenden in offiziellen Mitteilungen in der Regel ihre eigenen, vollständigen URLs und keine Kurz-Links, die das wahre Ziel verschleiern.

HTTP anstelle von HTTPS

Überprüfe, ob die URL mit „https://" beginnt und ein Schloss-Symbol in der Adressleiste angezeigt wird. Fehlt das „S" (also nur „http://"), ist die Verbindung nicht verschlüsselt. Seriöse Websites, besonders solche, auf denen du persönliche Daten eingibst, verwenden immer HTTPS. 

Zeitdruck oder angstmachende Formulierung im Link-Kontext

URL-Phishing-Nachrichten erzeugen oft Druck mit Formulierungen wie „Dein Konto wird in 24 Stunden gesperrt!" oder „Sofort handeln, sonst verlierst du deinen Zugang!". Diese Methode soll dich zu schnellem, unüberlegtem Handeln verleiten. Seriöse Dienste setzen dich nicht unter solchen Zeitdruck.

Plötzliche Anfrage von persönlichen Daten

Wenn du aufgefordert wirst, über einen Link persönliche Daten wie Passwörter, Kreditkartennummern oder TANs einzugeben, sei äußerst vorsichtig. Banken und seriöse Firmen fragen niemals per E-Mail oder SMS nach solchen sensiblen Informationen. Gib diese Daten nur auf offiziellen Websites ein, die du selbst im Browser aufrufst.

Angebote, die zu schön sind, um wahr zu sein

Die Versprechen von unglaublich tollen Gewinnen, kostenlosen Produkten oder exklusive Deals in E-Mails sind ein Warnzeichen. Betrüger locken mit Angeboten, um dich auf gefälschte Websites zu leiten und dort deine Daten abzugreifen.

Gängige URL-Phishing-Methoden

Die Kriminellen verwenden unterschiedliche Methoden für URL-Phishing, um dich hinters Licht zu führen. Im Folgenden zeigen wir dir die gängigsten:

Typosquatting

Beim Typosquatting werden Domainnamen registriert, die Schreibfehler beliebter Websites sind (zum Beispiel goggle.com statt google.com). Wenn du dich beim Eingeben einer URL vertippst, kannst du auf einer solchen gefälschten Seite landen, ohne es überhaupt zu bemerken.

Link-Maskierung

Die Link-Maskierung wird von legitimen Website-Betreibern verwendet, die lange und komplexe URLs hinter einfachen und kurzen Phrasen verstecken möchten. Leider nutzen auch Cyberkriminelle diese Methode, um offensichtlich verdächtige Links hinter harmlos aussehenden Titeln zu verbergen.

„Legitime“ Domains

Bei "legitimen" Domains werden Teile echter Domains verwendet, um eine echt aussehende URL zu erstellen, wie zum Beispiel spezial.marke.com, die in Wirklichkeit Phishing-Websites sind.

HTTP-Spoofing

Beim HTTP-Spoofing wird eine gefälschte Website erstellt, die genau wie die echte aussieht, aber auf einem vom Angreifer kontrollierten Server gehostet wird. Oft ist sie nur durch das Fehlen einer sicheren HTTPS-Verbindung zu erkennen. Diese Methode wird auch für Clone-Phishing verwendet.

HTTPS-Phishing

Beim HTTPS-Phishing verwenden Betrüger gefälschte Websites mit HTTPS (dem Schloss-Symbol), um dich glauben zu lassen, dass sie sicher sind. So gibst du deine Login- oder Zahlungsdaten ein, ohne zu merken, dass es eine Falle ist.

Doppelgänger-Domains

Eine Doppelgänger-Domain ist ähnlich wie Typosquatting, aber anstatt ein Zeichen in einer URL zu ändern, wird eines weggelassen. Aus Facebook.com wird facebok.com.

URL-Weiterleitungen

Weiterleitungen sind Websites, die nur eine Funktion haben – Besucher auf eine andere Seite umzuleiten.

URL-Verkürzer

URL-Verkürzer werden oft von einzelnen Nutzern und Unternehmen verwendet, wenn sie eine lange URL kürzen möchten, um Platz zu sparen. Sie haben keine erkennbaren Merkmale, und du wirst nie wissen, ob du auf einer Kampagnenseite einer bekannten Marke oder auf einer bösartigen Website landest.

Mischung aus legitimen Link und falschen Links 

Bei dieser Taktik platzieren Betrüger in einer E-Mail oder Nachricht sowohl echte als auch gefälschte Links nebeneinander. Die legitimen Links führen tatsächlich zu bekannten, vertrauenswürdigen Seiten – etwa zur echten Impressum-Seite oder den AGBs eines Unternehmens. Dadurch wird ein falsches Gefühl von Sicherheit erzeugt. Der entscheidende Link jedoch, zum Beispiel der Button „Jetzt anmelden" oder „Konto bestätigen", führt dich auf eine Phishing-Website. Diese Mischung macht es besonders schwer, den Betrug auf den ersten Blick zu erkennen.

So schützt du dich vor URL-Phishing

Einige URL-Phishing-Angriffe sind extrem ausgeklügelt und gut geplant, und es ist sehr schwierig, sie zu vermeiden. Andere wirst du leicht erkennen, wenn du weißt, worauf du achten musst. In jedem Fall kannst du verschiedene Schritte unternehmen, um deine arbeitsbezogenen Daten sowie deine persönlichen Konten, Informationen und Finanzen zu schützen.

• Klicke nicht auf verdächtige Links. Überprüfe den Link, indem du mit der Maus über ihn fährst, um die Zielwebsite am unteren linken Rand zu sehen. Wenn dir Tippfehler oder URL-Verkürzer auffallen, solltest du auf jeden Fall davon absehen, darauf zu klicken. Im Zweifel kannst du direkt im Browser nach dem Dienst oder der Seite suchen, um zu überprüfen, ob die angeblichen Angebote oder Kontoänderungen wahrheitsgemäß sind.
• Nutze KI-basierte Hilfsmittel. Unternehmen können KI-basierte Sicherheitslösungen implementieren, die Muster analysieren, Anomalien erkennen und potenzielle Phishing-Bedrohungen effizienter kennzeichnen, als es ein Mensch könnte.
• Nutze URL-Filter. Diese Tools dienen sowohl Unternehmen als auch einzelnen Benutzern. Solch eine Anti-Phishing-Lösung ist zum Beispiel in ausgewählten NordVPN-Paketen mit dem Bedrohungsschutz Pro™ enthalten. Dieser scannt automatisch jede URL, die du besuchst. Wenn Phishing oder Malware erkannt wird, wird dein Zugriff auf die Website blockiert. Alternativ kannst du auch den Link-Checker von NordVPN nutzen.
• Schulungen. Im Arbeitskontext sind Cybersicherheitstrainings das A und O. Regelmäßige Schulungen für Mitarbeiter, wie man Phishing-Versuche erkennt, sind entscheidend für die Sicherheit eines Unternehmens. Aber auch du solltest dir der gängigeren URL-Phishing-Taktiken bewusst sein und wissen, wie sie möglicherweise gezielt gegen dich eingesetzt werden.

Was passiert, wenn man auf einen Phishing-Link klickt?

Wenn du auf einen Phishing-Link klickst kann Folgendes passieren:

• Du wirst auf eine nachgebaute Seite oder zu einem Dienst weitergeleitet, wo du deine Kontodaten eingeben sollst. Da diese Phishing-Seiten von Kriminellen erstellt wurden, haben sie die Möglichkeiten, deine Daten mitzulesen und zu stehlen.
• Manchmal führen Links auch dazu, dass du eine Datei herunterlädst. Das Ziel der Angreifer ist es, dass sie Malware (Trojaner, Ransomware, Keylogger) auf dein Gerät schleusen wollen, um dann weitere Angriffe auf dich durchzuführen.
• Du wirst aufgefordert, deine Anmeldedaten oder Kreditkartendetails sowie andere persönliche Daten preiszugeben. Diese Informationen können zum Identitätsdiebstahl oder zum Verkauf im Dark Web genutzt werden.

Was kann man tun, wenn man auf eine Phishing-URL geklickt hat?

Wenn du auf eine Phishing-URL geklickt hast, ist es wichtig Folgendes schnellstmöglich zu tun:

• Gib niemals persönliche Informationen von dir ein.
• Schließe die Webseite umgehend oder trenne dein Gerät vom Internet, um die Ausbreitung einer Schadsoftware zu verhindern. 
• Öffne keine Datei, die über einen Phishing-Link heruntergeladen wurden. Lösche sie sofort und aktiviere ein Anti-Malware-Programm.
• Ändere deine Passwörter für alle Konten, die dieses Passwort verwenden und richte wenn möglich die Multi-Faktor-Authentifizierung für deine Dienste ein, damit Angreifer es schwerer haben, sich einzuloggen.
• Informiere die betreffende Bank oder Plattform, dass du eine Phishing-Nachricht erhalten hast, die deren Namen verwendet. Sie können dich mitunter vor unbefugten Abbuchungen schützen und deine Konten vorübergehend sperren.
• Melde den Vorfall gegebenenfalls auch der Polizei, besonders, wenn dir bereits ein Schaden durch den Phishing-Angriff entstanden ist.

Wie kann man URL-Phishing melden?

Wenn du den Verdacht hast, Ziel eines URL-Phishing-Versuchs zu sein, ist es wichtig, dies umgehend zu melden. Im Arbeitskontext solltest du umgehend deine IT-Abteilung involvieren, wenn der Phishing-Versuch über deine Arbeits-E-Mail erfolgt. Jemand dort kann sofort das Netzwerk und andere Benutzer schützen.

Im persönlichen Bereich kannst du den Vorfall deiner örtlichen Polizeistelle melden. Wichtig ist, dass du am besten so viele Details wie möglich notierst, z. B. Zeitpunkt, Screenshot der Nachricht usw. Du kannst und solltest den Vorfall auch den betreffenden Organisationen melden, unter deren Namen das Phishing durchgeführt wurde, sie können dir helfen und andere Kunden warnen, dass eine solche Nachricht im Umlauf ist.