Ratgeber E-Mail-Sicherheit

Wie Sie gefälschte und verseuchte E-Mails erkennen

23.09.2021
Von Gaby Salvisberg

Kodierte URLs dechiffrieren

Nicht immer wird ein Domainname verwendet, um auf ein Ziel im Internet zu verlinken. Oft steht in einer Verknüpfung stattdessen die IP-Adresse. Auch wenn Internetlinks auf IP-Adressen schon in seriösen Mails gesehen wurden, ist dies bereits ein Indiz dafür, dass der Absender etwas verschleiern will. Betrachten Sie es als Alarmzeichen, wenn vor dem ersten Schrägstrich etwas anderes steht als ein Domainname mit Endung (z.B. "pcwelt.de").

Hier verwendet der Spammer gleich zwei Verschleierungstaktiken (Prozentzeichen und Google-Trick).
Hier verwendet der Spammer gleich zwei Verschleierungstaktiken (Prozentzeichen und Google-Trick).

Für IP-Adressen gibt es zudem verschiedene Schreibweisen bzw. Kodierungen. Eine Zeit lang griffen die Spammer zu punktlosen IP-Adressen. Das sind zehnstellige Zahlen, die – korrekt umgerechnet – wieder eine IP-Adresse ergeben. Es gibt noch weitere mögliche Verfremdungen. Einige davon werden von diversen Browsern und Firewalls jedoch nicht mehr unterstützt, weshalb die Cyberkriminellen wieder davon Abstand nahmen. Sollte Ihnen statt eines Domainnamens etwas begegnen, das wie "3475931693" (punktlose IP), "0324.0273.0167.0253" (oktal kodiert) oder "0xd4bb77ab" (hexadezimal) aussieht, liegt eine versuchte Irreführung vor. Dasselbe gilt auch für speziell kodierte Domainnamen. Sie erkennen diese an den Prozentzeichen.

Genauso wie sich IP-Adressen und Domains verunstalten lassen, gibt es Werkzeuge, die diese wieder in Ordnung bringen.

Wem gehört die Domain?

Auf welche Firma oder Person eine Domain registriert ist, verrät Ihnen eine Whois-Abfrage. Die Webseite www.dnsstuff.com leistet hier sehr gute Dienste. Beachten Sie aber, dass es Domains gibt, die zwei Endungen haben. Viele britische Domains hören zum Beispiel nicht nur mit .uk auf, sondern mit .co.uk.

Außerdem gibt es Firmen wie die amerikanische Network Solutions, die gegen Aufpreis eine anonyme Domainregistrierung erlauben. Im Resultat einer Whois-Abfrage erscheint nicht mehr der wahre Inhaber, sondern nur noch die Registrierstelle.

Zur Startseite