So erkennst du gefälschte Links & betrügerische Webseiten
Das Internet ist Fluch und Segen zugleich. Wer sich nicht gut auskennt, tappt schnell in eine Falle und verliert im schlimmsten Falle seine Daten, die Angreifer für böse Zwecke nutzen. Doch das muss nicht sein! Wir geben dir Tipps, wie du beispielsweise gefälschte Links erkennst, mit denen Daten abgegriffen werden sollen oder wie du betrügerische Webseiten enttarnst. Als Bonuswissen geben wir dir noch Tipps zum Umgang mit deinen Passwörtern.
Gefälschte Links
Betrüger locken ihre Opfer im Internet oft über scheinbar vertrauenswürdige Links auf Webseiten, die dann Bankdaten oder anderweitige Login-Daten abgreifen sollen. Mit den dort eingegeben Daten können die Betrüger äußerst viel Schindluder treiben. Andererseits kannst du dir mit dem Klick auf einen gefälschten Link gefährliche Schadsoftware herunterladen
Daher zeigen wir dir jetzt, wie du gefälschte Links erkennen kannst und welche Arten von Link-Fälschungen es überhaupt gibt.
Das Wichtigste vorab: Klicke niemals auf einen unbekannten Link, ohne ihn vorher GENAU anzuschauen!
Die Tricks mit gefälschten Links
Man spricht vom sogenannten Squatting, wenn gefälschte Links dem Original-Link zum Verwechseln ähnlich sehen. Es wird dabei in sechs Squatting-Arten unterschieden:
TLD-Squatting
Beim TLD-Squatting wird der Markenname bzw. der Domainname mit einer anderen Top-Level-Domain versehen. Beispielsweise so: www.easyname.at könnte zu www.easyname.info werden und führt damit zu einer gefälschten Website.
Subdomain-Squatting
Bei dieser Squatting-Variante wird die eigentliche Domain nur als Subdomain genutzt, um den User zu täuschen. Nach einem Klick befindet sich der User nicht auf der vermeintlich bekannten Website, sondern auf einer gefälschten Domain. Subdomain-Squatting sieht beispielsweise so aus: Statt auf www.easyname.at könnte der Angreifende beispielsweise auf diese Seite www.easyname.at-logindaten.net leiten.
Sound-Squatting
Angreifer nutzen bei dieser Methode Laute oder Worte, die ähnlich wie die Original-Domain klingen. Ein Beispiel dafür ist: Statt www.easyname.at diese URL: www.easynama.at.
Combo-Squatting
Für das Combo-Squatting registrieren die Online-Ganoven bekannte Markennamen mit einem zusätzlichen Wort, so dass auf dem ersten Blick der Eindruck entsteht, dass der Link zu der Website der bekannten Marke führt. Hier siehst du ein Beispiel für Combo-Squatting: Statt www.easyname.at beispielsweise www.easyname-support.at mit dem zusätzlichen Wort „Support“.
Typo-Squatting
Hierbei werden kleine Fehler in die Adresse geschummelt, beispielweise könnten Betrüger statt www.easyname.at diese Schreibweise www.esyname.at nutzen.
Homographische Attacke
Bei einer sogenannten homographischen Attacke ersetzen Online-Betrüger bei einer Domain manche Buchstaben mit ähnlich aussehenden Zeichen, so beispielweise statt einem „o“ wird eine „0“ eingesetzt. Der Unterschied ist auf dem ersten Blick kaum zu unterscheiden. Und so könnte das dann aussehen: Statt www.easyname.at soll der User auf www.easynam3.at klicken.
Du siehst: Es gibt unterschiedlichste Möglichkeiten, wie du online hinter das Licht geführt werden könntest. Allerdings gibt es Abhilfe: Du kannst Links nach einem bestimmten Schema prüfen und somit erkennen, ob sie zu der echten Domain führen oder ob sie möglicherweise manipuliert wurden.
So ist eine URL aufgebaut
Eine Adresszeile, auch URL genannt, kann in der Regel in fünf Teile zerlegt werden. Wir schauen uns das anhand dieser fiktiven URL einmal genauer an:
https://easyname.at.beispiel-angreiferwebsite.at/kontakt
Übertragungsprotokoll
Am Beginn der Adresszeile steht entweder „http://“ oder „https://“. Letzteres zeigt dir an, dass die auf der Webseite übertragenden Daten verschlüsselt sind.
Subdomain
Die Subdomain kann frei gewählt werden und entweder aus einem oder aus mehreren Abschnitten bestehen. In unserem Beispiel ist es „easyname.at“. Besteht die Subdomain aus mehreren Abschnitten, so werden diese durch Punkte getrennt. Dieser Teil der URL wird sehr häufig für Fälschungen missbraucht.
Domain
Die eigentliche Domain, unter der die Website registriert ist, ist in unserem Beispiel diese: „beispiel-angreiferwebsite“.
Top-Level-Domain (TLD)
Anschließend folgt die Top-Level-Domain, kurz TLD, die Angaben zum Land, zur Region oder auch zur Branche machen kann. Es gibt neben .at, .com, .info, .online beispielsweise auch .amsterdam, .bike, .bio, .cafe oder .community. In unserem oben genannten Beispiel ist die TLD „.at“. Weitere Domainendungen findest du hier https://www.easyname.at/de/alle-domains
Unterverzeichnis
Nach der TLD kommt mit dem Unterverzeichnis die genaue Seite oder Datei, die auf- bzw. abgerufen werden soll. Diese Angaben sehen meist merkwürdig aus, da sie seltsame Zeichenfolgen enthalten können oder Marketingmessdaten erfassen sollen. Das ist aber meist harmlos. Wir haben uns in dem Beispiel für „kontakt“ entschieden.
So kannst du echte Domains erkennen
Nach dem folgenden Schema kannst du echte Domains erkennen. Befolge dazu einfach die folgenden drei Schritte, die wir wieder an unserem Beispiel von oben erläutern:
https://easyname.at.beispiel-angreiferwebsite.at/kontakt
Step 1: Die Basis
Schau dir die URL genau an und gehe von links ausgehend zu dem ersten einzelnen Slash. In unserem Beispiel ist das der Slash vor „kontakt“. Gibt es außer den beiden Doppel-Slashs am Anfang keinen weiteren Schrägstrich, dann such dir das Ende der URL als Ausgangsbasis.
Step 2: Und wieder zurück
Von der Ausgangsbasis (siehe Step 1) gehst du zurück nach links bis zum zweiten Punkt.
Step 3: Domain identifiziert
Nun hast du den Bereich der Domain (+ TLD) identifiziert und nur auf diesen Bereich kommt es bei der Identifikation wirklich an. In unserem Beispiel ist das:
„.beispiel-angreiferwebsite.at“
Die Subdomain „easyname.at“ trügt und soll den User nur in der Sicherheit wiegen, dass es sich um eine easyname-Website handelt – dies stimmt hier aber nicht! Unsere Beispiel-URL ist demnach eine Fälschung.
Betrügerische Webseiten
Nun gibt es sogar unseriöse Anbieter, die ganze Webseiten erstellen, um Kunden in eine Falle zu locken. Doch was sind eigentlich betrügerische Webseiten?
Diese Internetangebote bieten beispielsweise vermeintliche Gratis-Dienste oder scheinbar kostenlose Gewinnspiele an, die allerdings in einer gebührenpflichtigen Abo-Falle enden können. Darunter zählen außerdem gefälschte Onlineshops, die entweder keine, völlig falsche Ware oder Markenfälschungen vertreiben. Dein PC kann sich durch den Besuch der Webseite mit Malware infizieren, die bösen Schaden anrichtet. Phishingseiten, um persönliche Daten abzugreifen gehören ebenso dazu. Die Ideen der Online-Abzocker sind nahezu grenzenlos. Mehr zum Thema Phishing findest du hier Phishing in E-Mails: Das solltest du wissen – easyname blog
Daran erkennst du betrügerische Webseiten
Daher gilt: Schau dir Webseiten immer ganz genau an, bevor du auf Links oder Buttons klickst bzw. deine Daten eingibst. Wir haben dir eine Liste zusammengestellt, woran du betrügerische Webseiten erkennen kannst:
- In der Adresszeile steht am Anfang statt https:// nur http://. Damit weißt du, dass diese Verbindung nicht gesichert ist. Allerdings: Leider verzichten auch viele seriöse Webseiten auf dieses Sicherheits-Feature.
- Die Internetadresse sieht zwar einer echten sehr ähnlich, hat aber unübliche Zusätze, die dich aufhorchen lassen oder enthält Rechtschreibfehler.
- Auf der Login-Seite werden neben Username und Passwort weitere (unübliche) Daten abgefragt, wie beispielsweise TAN-Nummern.
- Das Design der Webseite sieht der echten Webseite zwar ähnlich, aber das Design ist anders als gewohnt.
- Dein Browser weist auf ein teilweise ungültiges Zertifikat hin und fragt dich, ob du eine Sicherheitsausnahme bestätigen möchtest.
- Die Webseite hat kein Impressum.
- Du findest keinerlei Kontaktmöglichkeiten zu dem Webseitenbetreiber.
- Die Webseite enthält Rechtschreib- und Grammatikfehler.
- Das Angebot auf der Webseite klingt eigentlich viel zu gut, um wahr zu sein? Dann sollten spätestens jetzt deine Alarmglocken klingeln! Bspw. „Extremer Gewichtsverlust in 2 Wochen ohne zu hungern“ oder „Schnell viel Geld verdienen ohne zu arbeiten“ – das kann nicht seriös sein.
Wenn du dir unsicher bist, ob die von dir besuchte Webseite wirklich seriös ist, dann ist auch der Blick in das Kleingedruckte oft hilfreich. Weiterhin ist es sinnvoll nach Erfahrungen und Bewertungen anderer User zu suchen.
Grundsätzlich gilt: Geh immer sparsam und vorsichtig mit deinen Daten um! Gib besonders auf verdächtigen Webseiten keine Daten von dir preis und nutze die Linkvorschau, bevor du einen Link tatsächlich anklickst.
Bonuswissen: Sichere Passwörter
Um das Thema „Sicherheit im Internet“ abzurunden, geben wir dir nun noch Tipps, die du deine Accounts im Web mit sicheren Passwörtern schützen kannst:
Diese Passwörter sind nicht sicher:
- Beinhalten persönliche Daten (Namen, Geburtsjahr etc.)
- Enthalten Wiederholungs- oder Tastaturmuster (bspw. „qwertz“)
- Beinhalten ein Wort aus dem Lexikon
- Werden bei unterschiedlichen Accounts genutzt
Diese Passwörter sind stark:
- Bestehen aus mindestens 12 Zeichen
- Beinhalten Groß- und Kleinbuchstaben
- Enthalten Zahlen und Sonderzeichen
Pro Account: Ein Passwort
Ein und dasselbe Passwort solltest du nicht bei mehreren Online-Diensten nutzen. Denn knackt ein Cyberkrimineller beispielsweise dein Social-Media-Passwort, welches du auch für deinen Zugang zum Online-Banking nutzt, erhält derjenige auch dort Zugang.
Kein ständiger Passwort-Wechsel
Außerdem solltest du deine Passwörter nicht ständig wechseln, da du somit dazu verleidet wirst, dir möglichst einfach zu merkende Passwörter auszuwählen.
Passwortgenerator nutzen
Du kannst dir mittels eines Passwortgenerators starke Passwörter erzeugen lassen.
Passwortmanager
Nutze einen Passwortmanager, so dass du dir nur ein starkes Master-Passwort merken musst. Alle weiteren Passwörter kannst du in dem Passwortmanager sicher verwahren und hast sie immer zur Hand.
2-Faktor-Authentifizierung
Für besonders sensible Konten solltest du eine 2-Faktor-Authentifizierung nutzen, um deine Identität zu bestätigen.
Wenn du dich noch weiter zum Thema Sicherheit im Netz belesen möchtest, dann empfehlen wir dir folgende Blog-Beiträge:
Phishing in E-Mails: Das solltest du wissen – easyname blog
Gib Hackern keine Chance – die Absicherung deiner Website – easyname blog
Manage deine Passwörter! – easyname blog
Julia liebt Buchstaben und jongliert gern mit Worten. Wenn Julia nicht gerade Texte für Social Media, Newsletter, Blogartikel, Websites, PR oder Mailings schreibt, dann ist sie bei ihrer Familie und ihrem verrückten Kater zu finden - am liebsten mit einem guten Buch in der Hand.