08.07.2025 - Die Sommerferien sind da – eine Zeit zum Entspannen, Auftanken und vielleicht auch zum Geniessen ruhiger Momente am Strand. Genau jetzt, wo viele etwas mehr Zeit zum Lesen haben, nutzt das BACS die Gelegenheit, um Sie in den kommenden sechs Wochen fit in Sachen Cybersicherheit zu machen. Denn gerade in der Ferienzeit erhält das BACS immer wieder Meldungen zu Themen wie dubiosen Webshops, Phishing-Versuchen und weiteren Tricks, mit denen Cyberkriminelle auch die Sommerzeit für ihre Machenschaften ausnutzen.
Den Auftakt der Sommer-Wochenrückblicke macht das Thema «URLs und Links» - zentrale Bausteine unseres digitalen Lebens. Immer wieder erreichen das BACS Meldungen über Phishing-E-Mails, in denen Empfänger aufgefordert werden, betrügerische Links anzuklicken. Im Folgenden wird erklärt, was sich hinter den Begriffen «Link» und «URL» sowie den dahinterstehenden Technologien verbirgt und wie Sie sicher damit umgehen.
Was sind Links und URLs?
Links sind wichtige Grundbausteine des heutigen Internets und der ursprüngliche Gedanke hinter dem World Wide Web, bestehend aus sogenanntem «Hypertext». Mit Links lassen sich Webseiten direkt miteinander verknüpfen, Informationen aus E-Mails aufrufen, oder auch das E-Mail-Programm mit der richtigen Empfängeradresse direkt aus einer Webseite heraus öffnen. Der Link ist der angezeigte Verweis-Text (z. B. «Website des BACS»). Die URL (Uniform Resource Locator) ist die dahinter stehende Information, wohin der Link führt (z. B. «www.bacs.admin.ch»). Häufig werden die beiden Begriffe aber synonym verwendet.
Wie sieht ein Link aus?
Ein Link ist üblicherweise in einen Text (Webseite oder E-Mail) eingebettet. Erkennbar ist er zum Beispiel durch eine andere Farbgebung oder durch unterstrichenen Text, respektive einen sogenannten Button (digitale Schaltfläche). Auch hinter einem angezeigten Bild kann sich ein Link verbergen.
Die Gefahr bei den Links
Links sind als solche zu erkennen. Hingegen ist es manchmal nicht einfach festzustellen, wo sie hinführen (sprich: welches die dahinterstehende URL ist). Der Text oder Button, welcher den Link bildet, kann beliebig gestaltet werden, komplett unabhängig vom Link. Das kann auch ausgenutzt werden, indem der Text dann z. B. «Website der Firma X» anzeigt, dahinter zeigt die URL aber auf etwas ganz anderes, wie beispielsweise auf eine Phishing-Seite.
Wie sind URLs aufgebaut?
Eine URL beinhaltet in der Regel ein sogenanntes Protokoll (meist ist das heute «HTTPS»), einen Server-Namen, zu dem der Link führt, und häufig einen Pfad. Es können noch weitere Daten angehängt und übermittelt werden. Der Einfachheit halber soll hier nicht auf weitere Protokolle und Möglichkeiten von URLs eingegangen werden, sondern nur auf die weitaus gängigsten.
Entscheidend insbesondere auch für die Erkennung von bösartigen URLs ist, wie die Bestandteile «Protokoll», «Server», «Pfad» und «Rest» voneinander abgetrennt sind:
Die einzelnen Teile des Server-Namens mit der Domain und der sogenannten «Top Level Domain» (.ch, .com usw.) werden mit Punkten voneinander getrennt, der Pfad mit Schrägstrichen («Slash»). Der Server- und Domain-Name kann nebst Buchstaben und Zahlen z. B. Bindestriche enthalten, sonst aber keine Sonderzeichen, und insbesondere keine Schrägstriche. Nach dem vollständigen Server- und Domänennamen folgt entweder nichts, oder eines der folgenden Zeichen: «/», «#» oder «?».
Das ist eminent wichtig für die Beurteilung von Links. Die Betrüger spielen mit solchen Möglichkeiten, um die potenziellen Opfer zu täuschen. Der Einsatz von Bindestrichen gehört beispielsweise häufig dazu.
Beispiele von häufig missbrauchten Domänen
Nachfolgend eine (unvollständige) Aufzählung von durch Betrüger häufig imitierten Domänen, in der korrekten Version:
- Behörden: admin.ch, be.ch, zh.ch (und alle anderen Kantonskürzel)
- Post und Pakete: post.ch, dhl.com, ups.com, fedex.com
- Transport: sbb.ch, swisspass.ch, swiss.com
- Telekom, Internet: swisscom.ch, swisscom.com, sunrise.ch, sunrise.net, salt.ch
- Finanz: ubs.com, raiffeisen.ch, twint.ch
Wie beschrieben, können Bindestriche innerhalb von Domänennamen verwendet werden - aber nicht zur Abtrennung der einzelnen Bestandteile. Dazu dient einzig der Punkt.
Mit diesem Wissen lässt sich eine zur Täuschung erstellte Domäne einfach erkennen:
| Korrekt | Betrügerisch |
| www.post.ch | www-post.ch |
| login.ubs.com | login.ubs-com.net |
HTTPS kann in der URL weggelassen werden, da moderne Browser in der Regel standardmässig HTTP oder HTTPS erwarten und automatisch versuchen, die sicherere HTTPS-Verbindung herzustellen, falls diese verfügbar ist.
Allein schon die sogenannte «Top Level Domain» kann aussagekräftig sein. Legitime Firmen verwenden in der Schweiz in der Regel eine .ch, .swiss oder auch .com Domäne. Es gibt eine Reihe von häufig missbräuchlich verwendeten Top Level Domains, welche kaum legitim verwendet werden.
Dazu gehören z. B. .top, .sbs, .cfd, .xyz, .vip, .cc, .co, .life, und noch etliche weitere, die nur selten legitim Verwendung finden.
Ähnlich aussehende Domänen
Eine weitere Möglichkeit der Betrüger ist die Verwendung ähnlich aussehender Domänen, im Englischen «look-alike domains» genannt. Damit sind optisch schwer auseinander zu haltende Buchstabenfolgen, oder die Verwendung von internationalen Buchstaben (z. B. kyrillisch, griechisch) gemeint, die ein fast identisches Gegenstück im lateinischen Alphabet haben.
Beispiele:
| Korrekt | Betrügerisch |
| www.admin.ch | www.adrnin.ch (Verwendung der Kombination eines r und eines n, das auf den ersten Blick zusammen wie ein m aussieht). |
| www.vogelwarte.ch | www.vogelvvarte.ch (zwei aufeinanderfolgende v, anstatt ein w). |
Short Links
Es gibt eine mittlerweile unübersichtliche Anzahl von Diensten, die verkürzte Links («short links») anbieten. Dabei handelt es sich um nichts anderes als eine Weiterleitung auf die möglicherweise sehr lange URL. Die Grundidee hinter «short links» ist, dass man sich diese oft viel besser merken kann als sehr lange Links. Betrüger nutzen diese Dienste häufig, um gerade in SMS nicht auf den ersten Blick aufzufallen. Bekannte «short links» beginnen zum Beispiel so:
- bit.ly
- t.co
- tinyurl.com
- cutt.ly
Seien Sie also bei solchen Diensten vorsichtig. In legitimen Nachrichten mit Links werden «short links» in der Regel nicht verwendet.
URL hinter Links sichtbar machen
Entscheidend ist nun, dass nicht einfach auf einen Link geklickt wird, sondern dass man die URL dahinter beurteilt: Wie macht man diese also sichtbar?
Am einfachsten geht es auf dem Computer, indem man im E-Mail-Programm oder im Browser die Maus über den Link bewegt, ohne zu klicken. Dadurch wird unter der Maus oder unten in der Fusszeile des Programms meistens die URL angezeigt.
Viele Programme erlauben zudem, den Link mit einem Rechtsklick zu kopieren. Man kann ihn danach in einen Texteditor einfügen und begutachten oder den Link in die Adresszeile des Browsers einfügen, ohne schon die Eingabetaste zu drücken. Bei Auffälligkeiten sollte man die Seite nicht öffnen und die Nachricht löschen.
Etwas komplizierter ist es auf dem Handy. Kann man die E-Mail nicht auf dem PC respektive dem Laptop anschauen oder sie dorthin weiterleiten, funktioniert es in der Regel, indem man mit dem Finger länger auf den Link tippt und einen Moment dort lässt, bis sich ein entsprechendes Kontextmenü öffnet.
Empfehlungen
- Hinterfragen Sie verdächtige Aufforderungen kritisch und geben Sie keine Daten auf Seiten ein, auf die Sie über einen Link gelangt sind, der Ihnen von Unbekannten übermittelt worden ist.
- Geben Sie nie Passwörter, Codes oder Kreditkartendaten auf einer Seite ein, die Sie über einen Link in einer E-Mail oder Textnachricht geöffnet haben.
- Bedenken Sie, dass E-Mail-Absender und auch URLs leicht gefälscht werden können.
- Seien Sie besonders vorsichtig bei «short links». Überprüfen Sie, ob Sie auch wirklich auf der richtigen Seite gelandet sind.
- Phishing-Nachrichten können dem BACS gemeldet werden: www.antiphishing.ch / reports@antiphishing.ch.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 08.07.2025
