{"id":30400,"date":"2023-09-04T12:30:34","date_gmt":"2023-09-04T10:30:34","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30400"},"modified":"2023-09-04T12:30:34","modified_gmt":"2023-09-04T10:30:34","slug":"how-to-spot-phishing-on-a-hacked-wordpress-website","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/how-to-spot-phishing-on-a-hacked-wordpress-website\/30400\/","title":{"rendered":"So erkennen Sie, dass Sie sich auf einer gehackten Website befinden"},"content":{"rendered":"

Achtung: Hunderttausende von Webseiten sind gef\u00e4lscht. Sie sehen aus wie beliebte Online-Shops, Webseiten von Banken und Lieferdienste aber verfolgen damit nur ein Ziel: Ihre Passw\u00f6rter und Finanzdaten zu stehlen. Die Opfer werden durch Phishing-E-Mails<\/a>, Messenger-Chats und sogar bezahlte Anzeigen<\/a> auf solche Webseiten gelockt. Aber keine Sorge: Selbst wenn Sie auf einen fiesen Link klicken, k\u00f6nnen Sie den Betr\u00fcgern m\u00f6glicherweise verlustfrei entkommen. Solange Sie die F\u00e4lschung rechtzeitig entdecken.<\/p>\n

Wo werden Phishing-Sites gehostet?<\/h2>\n

Manchmal erstellen Betr\u00fcger eine spezielle neue Webseite und registrieren daf\u00fcr einen Namen, der dem Original \u00e4hnelt (z.\u00a0B. netflik.com<\/em> statt netflix.com<\/em>). Es lohnt sich, unseren separaten Beitrag \u00fcber Namensf\u00e4lschungen<\/a> zu lesen. Da die Erstellung solcher Webseiten jedoch teuer und leicht zu unterbinden ist, gehen viele Cyberkriminelle einen anderen Weg. Sie hacken legitime Webseiten aller Art und erstellen dann eigene untergeordnete Bereiche, in denen sie Ihre Phishing-Seiten ver\u00f6ffentlichen. Es sind sehr oft kleine und mittlere Unternehmen, die Opfer solcher Hacks werden, weil ihnen die Ressourcen fehlen, um ihre Webseiten st\u00e4ndig zu aktualisieren und zu \u00fcberwachen. Manchmal kann ein Website-Hack \u00fcber Jahre hinweg unbemerkt bleiben, was f\u00fcr Cyberkriminelle ein Traum ist.<\/p>\n

Eines der am weitesten verbreiteten Web-Content-Management-Systeme ist WordPress, weshalb die Zahl der gehackten Webseiten auf der Plattform in die Zehntausende geht<\/a>. Wenn Sie jedoch wissen, wonach Sie suchen m\u00fcssen, ist es nicht schwer, solche Webseiten selbst zu erkennen.<\/p>\n

Erstes Anzeichen f\u00fcr F\u00e4lschung: Name und Adresse der Webseite stimmen nicht \u00fcberein<\/h2>\n

Wenn Sie einem Link in einer E-Mail, einem Beitrag in sozialen Medien oder einer Anzeige folgen, lohnt es sich, die URL der Website zu \u00fcberpr\u00fcfen, auf die Sie gelangen<\/strong>. Wenn es sich um eine gehackte Webseite handelt, wird Ihnen der Unterschied gleich auffallen. Der Name des Dienstes, f\u00fcr den sich die gef\u00e4lschte Seite ausgibt, kann irgendwo im Verzeichnispfad auftauchen, aber der Dom\u00e4nenname ist ein v\u00f6llig anderer. Zum Beispiel: www.medical-helpers24<\/strong>.dmn\/wp-admin\/js\/js\/Netflix<\/strong>\/home\/login.php<\/em><\/span>. <\/strong>Sie wissen genau, dass Netflix unter netflix.com<\/em> zu finden ist. Was macht es also auf medical-helpers24<\/em>?<\/p>\n

\"Sieht<\/a>

Sieht aus wie Netflix, aber die URL sagt Phishing<\/p><\/div>\n

\u00a0<\/p>\n

Auf mobilen Ger\u00e4ten ist die \u00dcberpr\u00fcfung der URL etwas aufwendiger, da viele Apps Links so \u00f6ffnen, dass die Adresse der Seite nicht oder nur teilweise sichtbar ist. Klicken Sie in diesem Fall auf die Adressleiste Ihres Browsers, um die vollst\u00e4ndige Adresse der Seite anzuzeigen.<\/p>\n

Zweites Anzeichen f\u00fcr F\u00e4lschung: Elemente des Verzeichnispfads<\/h2>\n

Wenn Sie sich die vollst\u00e4ndige Adresse einer Webseite ansehen, achten Sie auf den Bereich der URL nach dem Dom\u00e4nennamen. Die URL mag ziemlich lang sein, aber Sie brauchen sich nur auf die ersten Teile zu konzentrieren.<\/p>\n

Gehackte Unterabschnitte der Seite sind normalerweise tief in den Verzeichnissen der WordPress-Dienste versteckt, daher enth\u00e4lt die Adresse h\u00f6chstwahrscheinlich Elemente wie \/wp-content\/<\/em><\/span>, \/wp-admin\/<\/em><\/span> oder \/wp-includes\/<\/em><\/span>.<\/p>\n

In unserem Beispiel www.medical-helpers24.dmn\/<\/em> wp-admin<\/em><\/strong>\/js\/js\/Netflix\/home\/login.php<\/em><\/span> steht ein solches Element direkt nach dem Dom\u00e4nennamen und best\u00e4tigt unseren Verdacht, dass die Seite unterwandert wurde.<\/p>\n

Es kann auch sein, dass die URL auf .php<\/em> endet. Seiten mit der Erweiterung .php<\/em> sind weit verbreitet, und dies allein ist kein Zeichen f\u00fcr einen Hackerangriff. Aber in Kombination mit diesem Verzeichnispfad ist die Erweiterung .php<\/em> ein eindeutiger Hinweis, dass etwas nicht stimmt.<\/p>\n

Drittes Anzeichen f\u00fcr F\u00e4lschung: Die Webseite hat ein anderes Thema<\/h2>\n

Wenn der Name der Seite unbekannt oder verd\u00e4chtig erscheint, k\u00f6nnen Sie auf der Startseite eine zus\u00e4tzliche \u00dcberpr\u00fcfung durchf\u00fchren. L\u00f6schen Sie dazu das Ende der URL und lassen Sie nur den Dom\u00e4nennamen stehen. Dadurch sollte die Seite des wirklichen Eigent\u00fcmers der Website ge\u00f6ffnet werden, die sich in Bezug auf das Thema und das Design vollst\u00e4ndig von der Phishing-Seite unterscheidet. Sie kann sogar in einer anderen Sprache vorliegen, wie im folgenden Beispiel.<\/p>\n

\"Franz\u00f6sisches<\/a>

Franz\u00f6sisches Phishing auf einer chinesischen Website<\/p><\/div>\n

\u00a0<\/p>\n

Ihre pers\u00f6nlichen Daten auf einer gef\u00e4lschten Webseite<\/h2>\n

Es kann vorkommen, dass einige Informationsfelder (z. B. Ihre E-Mail-Adresse oder Bankkartennummer) selbst auf einer Phishing-Webseite korrekt vorausgef\u00fcllt sind. Dies bedeutet, dass die Angreifer auf irgendeine Weise an eine Datenbank mit gestohlenen pers\u00f6nlichen Daten gelangen und versuchen, diese mit zus\u00e4tzlichen Informationen wie Passw\u00f6rtern und CVV-Nummern anzureichern. Zu diesem Zweck stellen sie eine Tabelle mit bekannten Daten \u00fcber die Opfer zur Verf\u00fcgung, die oft kostenlos von der Website heruntergeladen werden kann. Wenn Sie also Ihre echte Kartennummer auf einer gef\u00e4lschten Webseite finden, lassen Sie sich sofort eine neue Karte ausstellen und denken Sie \u00fcber zus\u00e4tzliche Sicherheitsma\u00dfnahmen f\u00fcr andere personenbezogene Daten nach. Wenn beispielsweise Ihre E-Mail-Adresse weitergegeben wurde, sch\u00fctzen Sie Ihren E-Mail-Login mit einem st\u00e4rkeren Passwort<\/a> und aktivieren Sie die Zwei-Faktor-Authentifizierung<\/a>.<\/p>\n

So sch\u00fctzen Sie sich vor Phishing<\/h2>\n