Phishing-Domains erkennen: Anzeichen und Erkennungsmethoden

Phishing-Domains imitieren echte URLs. Lernen Sie, verdächtige URLs zu lesen, Homoglyphen zu erkennen und Ihre Marke zu schützen.

Eine Phishing-Domain imitiert das visuelle Erscheinungsbild einer legitimen URL, um Nutzer glauben zu machen, sie befänden sich auf einer vertrauenswürdigen Website. Die Anzeichen: leichte Modifikationen in der URL (ein vertauschter Buchstabe, eine andere TLD, eine irreführende Subdomain-Struktur), das Vorhandensein von HTTPS, das nichts über Legitimität beweist, und vertrauenerweckende Wörter wie "sicher" oder "offiziell" im Domainnamen selbst. Dieser Artikel erklärt, wie Angreifer solche Domains aufbauen, wie man eine verdächtige URL liest, und was Marken tun können, wenn sie imitiert werden.

Wie Angreifer eine Phishing-Domain aufbauen

Vier Haupttechniken werden eingesetzt, um Domains zu erstellen, die auf den ersten Blick täuschen.

Typosquatting für Phishing

Anders als kommerzielles Typosquatting (das auf Traffic-Abgriff zielt) ist Phishing-Typosquatting darauf ausgelegt, Nutzern glauben zu machen, dass eine URL legitim ist, nachdem sie einem Link in einer E-Mail oder Nachricht gefolgt sind. Typische Muster: microsofft.com (doppelter Buchstabe), arnazon.com (Buchstabenersetzung), payapl.com (vertauschte Buchstaben).

Die Ziele sind vorhersehbar: Banken, Cloud-Plattformen, Zahlungsdienstleister und soziale Netzwerke. Laut dem Anti-Phishing Working Group (APWG) zählen Finanzinstitute und Zahlungsdienste durchgehend zu den meistimitierten Kategorien. Microsoft, Amazon, PayPal, die Deutsche Bank, Sparkasse und Postbank erscheinen regelmäßig unter den am häufigsten imitierten Marken in auf Deutschland ausgerichteten Phishing-Berichten.

Homoglyphen und IDN-Angriffe

Internationalisierte Domainnamen (IDNs) erlauben Nicht-ASCII-Zeichen, was die Tür zu visueller Imitation durch Zeichen anderer Alphabete öffnet. Das kyrillische "а" (U+0430) ist in nahezu allen Schriftarten visuell identisch mit dem lateinischen "a". Das kyrillische "р" ist identisch mit dem lateinischen "p". Das bedeutet: "раypal.com" (р und а sind kyrillisch) kann registriert und einem flüchtigen Beobachter als "paypal.com" erscheinen.

Die meisten modernen Browser zeigen inzwischen die Punycode-Darstellung (xn--...), wenn eine Domain verschiedene Schriften mischt. Aber Single-Script-Substitutionen, bei denen der Angreifer ein kyrillisches Zeichen verwendet, das dem lateinischen Original visuell entspricht, können die Sichtkontrolle noch bestehen. Bei Zweifeln an einer URL: die Domain in einen Punycode-Konverter einfügen und prüfen.

Irreführende Subdomains

Diese Technik ist besonders effektiv, weil sie die Links-nach-rechts-Lesegewohnheit ausnutzt und die Tatsache, dass Nutzer beim ersten vertrauten Wort aufhören zu lesen. Die Struktur:

https://sparkasse.de.anmeldung-sicher.xyz/konto/bestaetigen
        |___________|___________________|_____|
           Irreführende  Echter Domain    TLD
           Subdomain     (Angreifer)

Die echte Domain hier ist anmeldung-sicher.xyz. sparkasse.de ist nur eine Subdomain. Die Regel: In jeder URL zählt die Domain und TLD unmittelbar vor dem ersten einfachen Slash. Alles davor im Host-Teil ist Subdomain, nicht Domain-Eigentümerschaft.

Kombinationen vertrauenswürdiger Wörter

Das Hinzufügen von Wörtern, die Sicherheit oder Autorität signalisieren, in den Domainnamen selbst: microsoft-konto-bestaetigen.com, sparkasse-sicherheitscheck.com, amazon-kundendienst-sicher.com. Diese Wörter sind Warnsignale, keine Beruhigungszeichen. Ein legitimer Dienst muss Ihnen nicht mitteilen, dass er "sicher" oder "offiziell" ist, indem er dies in seinen Domainnamen aufnimmt. Das Vorhandensein von "bestaetigen", "anmeldung", "konto", "sicher", "offiziell", "support" oder "hilfe" in einer Domain, die Sie nicht selbst eingegeben haben, sollte unmittelbares Misstrauen wecken.

Wie man eine verdächtige URL liest

Ein strukturierter Ansatz zur URL-Analyse beseitigt Unsicherheit:

https://sicher.konto.sparkasse.de.angreiferseite.xyz/konto/bestaetigen
[1]     [2    ][3    ][4          ][5              ][6][7               ]

1. Protokoll (https: beweist Verschlüsselung, nicht Legitimität)
2-4. Subdomains (können beliebiges sagen; kontrolliert vom Domain-Inhaber)
5. Domain (wem gehört sie. DAS ist entscheidend)
6. TLD
7. Pfad (kann beliebiges sagen)

URL-Überprüfung in drei Schritten:

  1. Alles ignorieren, was vor dem letzten durch Punkte getrennten Segment vor dem ersten / steht.
  2. Die echte Domain identifizieren (das Wort zwischen diesem letzten Punkt und dem /).
  3. Mit der erwarteten legitimen Domain vergleichen.

Für sparkasse.de.angreiferseite.xyz/konto/bestaetigen entfernt Schritt 1 sparkasse.de., Schritt 2 findet angreiferseite, Schritt 3 zeigt, dass dies nicht mit sparkasse.de übereinstimmt.

TLDs mit erhöhtem Phishing-Risiko

Einige TLDs erscheinen unverhältnismäßig häufig in Phishing-Kampagnen:

TLDHinweis
.xyzGeringe Kosten, hohe Phishing-Nutzung
.topHäufig bei Markenimitation
.tkKostenlos (Tokelau); überdurchschnittliche Phishing-Nutzung
.ml, .ga, .cfKostenlose ccTLDs, häufig missbraucht
.clickEinsatz bei Click-Fraud und Phishing

Allerdings bleibt .com die TLD mit den meisten Phishing-URLs in absoluten Zahlen, schlicht weil sie die gesamte Domain-Registrierung dominiert. Das Phishing-zu-Legitim-Verhältnis ist bei kostenlosen und preisgünstigen TLDs schlechter, aber .com-Phishing existiert in sehr hohem Volumen.

HTTPS bedeutet nicht sicher

Das muss klar gesagt werden: Ein Schloss-Symbol im Browser bedeutet, dass die Verbindung verschlüsselt ist, nicht dass die Website vertrauenswürdig ist. TLS-Zertifikate werden von Let's Encrypt kostenlos ohne Identitätsprüfung ausgestellt. Jeder Angreifer kann in unter einer Minute ein HTTPS-Zertifikat für seine Phishing-Domain erhalten. Laut PhishLabs verwenden inzwischen über 80% der Phishing-Seiten HTTPS. Das Schloss ist ein Sicherheitsindikator für die Verbindung, nicht für das Ziel.

Werkzeuge zur Überprüfung einer verdächtigen Domain

Bei Unsicherheit über eine Domain:

  • Google Safe Browsing Lookup (transparencyreport.google.com/safe-browsing/search): prüfen, ob eine URL bereits als Phishing oder Malware gemeldet ist.
  • VirusTotal (virustotal.com): eine URL gleichzeitig durch Dutzende Sicherheitsmotoren analysieren lassen.
  • URLScan.io: eine URL scannen und einen Screenshot der Seite sehen, ohne sie direkt zu besuchen.
  • Punycode-Konverter: eine Domain in ihre ASCII-Darstellung umwandeln, um versteckte Homoglyphen aufzudecken.
  • Domain Sentinel RDAP-Lookup: prüfen, wann eine Domain registriert wurde, wer der Registrar ist, und ob sie gerade erst erstellt wurde. Eine diese Woche registrierte Domain, die wie eine bekannte Marke aussieht, ist fast sicher verdächtig.

Markenperspektive: Nutzer vor Phishing in Ihrem Namen schützen

Wenn eine Ihren Markennamen imitierende Domain für Phishing verwendet wird, sind Ihre Kunden die Opfer. Sie haben sowohl eine ethische Verpflichtung als auch ein praktisches Geschäftsinteresse, schnell zu handeln.

Vier Maßnahmen bei der Entdeckung einer Phishing-Domain:

  1. Schauen Sie im RDAP-Eintrag nach dem Abuse-Kontakt des Registrars. RDAP-Daten jeder Domain enthalten eine Entität mit der Rolle "abuse" und einem Kontakt-E-Mail oder einer URL. Senden Sie einen detaillierten Abuse-Report mit: der Phishing-Domain, Screenshots der betrügerischen Seite, Ihrer legitimen Domain und Markennachweisen.

  2. Melden Sie bei Google Safe Browsing (safebrowsing.google.com/safebrowsing/report_phish) und Microsoft SmartScreen (microsoft.com/de-de/wdsi/support/report-unsafe-site). Beide speisen Browser-Warnsysteme. Eine in diesen Datenbanken gemeldete Domain zeigt Nutzern einen vollbildigen Warnhinweis.

  3. Informieren Sie Ihre Nutzer proaktiv, wenn Sie begründeten Verdacht haben, dass sie bereits betroffen sind. Eine kurze Mitteilung über Ihre üblichen Kommunikationskanäle, die die gefälschte Site erklärt und zeigt, wie man Ihre legitime Domain erkennt, begrenzt den Schaden.

  4. Bei aktiven Kampagnen in größerem Umfang wenden Sie sich an das BSI (Bundesamt für Sicherheit in der Informationstechnik) oder das CERT-Bund, das Phishing-Vorfälle koordiniert, die deutsche Nutzer betreffen.

Effektiver Kontakt mit dem Abuse-Team eines Registrars

Der RDAP-Eintrag der Phishing-Domain enthält den Abuse-Kontakt des Registrars. Ein nützlicher Abuse-Report enthält:

  • Die vollständige URL der betrügerischen Seite (nicht nur die Domain)
  • Einen Screenshot mit dem betrügerischen Inhalt
  • Die imitierten legitimen URLs
  • Ihre Markeneintragungsnummer wenn verfügbar
  • Ihre Kontaktdaten für Rückfragen

Vage Berichte ("diese Domain wirkt verdächtig") sind weniger wirksam als spezifische, mit Belegen unterstützte Beschwerden. Registrare erhalten täglich Tausende von Abuse-Berichten und priorisieren klar dokumentierte.


Fünf Signale, die bei jeder URL Misstrauen wecken sollten: Der Domain-Root stimmt nicht mit dem erwarteten Dienst überein; die Domain enthält Subdomains mit einem Markennamen vor einer unbekannten Domain; Wörter wie "sicher", "anmeldung" oder "bestaetigen" erscheinen im Domainnamen selbst; die TLD ist .xyz, .top, .tk oder eine andere Free-Extension für einen angeblichen Großmarken-Auftritt; oder die Domain wurde erst kürzlich registriert. Für Marken beginnt der beste Schutz für Nutzer mit der frühzeitigen Erkennung von Lookalike-Domains, bevor sie für Phishing-Kampagnen eingesetzt werden. Die Watchlist von Domain Sentinel erfüllt genau diese Aufgabe.

Fangen Sie mit einer Domain an, die Ihnen wichtig ist

Kostenlos nachschlagen. Für Benachrichtigungen bei Statusänderungen oder Ablauf einfach ein Konto erstellen. Dauert 30 Sekunden.