Methodik & Funktionsweise
Was wird geprueft?
Bewertet eine URL anhand von 12+ Phishing-/Malware-Indikatoren und vergibt einen Risk-Score 0-100.
Wie funktioniert es?
Pattern-Analyse für: NO_HTTPS, IP_AS_HOST, lange URL, viele Subdomains, verdächtige TLDs (.zip/.click/.xyz/...), URL-Shortener, Brand-Impersonation (35 Top-Brands), IDN-Homograph (Latin+Cyrillic/Greek-Mix), Punycode, Phishing-Pfad-Keywords (login/verify/account/secure...), non-standard Ports. Plus Live-Lookup gegen URLhaus (abuse.ch, kostenlos).
Beispiel-Ergebnis
http://paypal-secure-login-update.click/verify → Score 75, level=critical (NO_HTTPS + SUSPICIOUS_TLD + BRAND_IMPERSONATION + PHISHING_KEYWORDS_PATH)
Hinweise
Brand-Impersonation kennt offizielle Apex-Domains der erkannten Marken — eine URL mit "paypal" im Host, die nicht auf paypal.com/paypal.de endet, gilt als verdächtig.
Wie funktioniert der Phishing URL Checker?
Der Phishing URL Checker prueft eine URL gegen 14+ lokale Pattern (Brand-Impersonation gegen 80+ Marken inkl. DACH-Banken, IDN-Homograph, verdaechtige TLDs, URL-Shortener, Phishing-Pfad-Keywords, Hostname-Heuristiken wie viele Bindestriche oder Buchstaben/Zahlen-Mix wie paypa1) und drei externe Reputation-Quellen: URLhaus (kostenlos, Malware-fokussiert), Google Safe Browsing v4 (10.000 Lookups/Tag kostenlos) und RDAP fuer das Domain-Alter. Ergebnis: Risk-Score 0-100 mit Klassifikation low/medium/high/critical. Brand-Lookalikes werden gegen einen Katalog offizieller Apex-Domains geprueft, sodass paypal.com nicht als verdaechtig markiert wird, aber paypal-secure-verify.click schon.
Wann der Score nicht das ganze Bild zeigt
- 1Score 0 = keine Indikatoren getroffen, garantiert nicht 100% sicher.
- 2Zero-Day-Phishing auf brandneuen Domains wird oft noch nicht von URLhaus/GSB erkannt.
- 3Bei Online-Banking-Mails: lieber manuell die echte URL eintippen.
- 4Bei Verdacht: an reportphishing@apwg.org oder URLhaus melden.