Typosquatting und Homoglyph-Domains: Die URL sieht stimmig aus
Security & Privacy

Typosquatting und Homoglyph-Domains: Die URL sieht stimmig aus

Angreifer registrieren Domains, die vom Original kaum zu unterscheiden sind: mit kyrillischen Buchstaben, fehlenden Punkten oder zusätzlichen Zeichen. Wie die Tricks funktionieren, warum sie immer noch ziehen und wie du sie gefahrlos öffnest.

BROWSER.LOL
19.02.2026
20 Min. Lesezeit
Teilen

Der Entwickler eines bekannten Krypto-Projekts öffnete die Seite seines eigenen Tools, um einen neuen Vertrag auszurollen. Die URL sah aus wie immer. Die Seite sah aus wie immer. Die Wallet verband sich, signierte, und neunzehn Minuten später war die Projektkasse leer. Erst beim genauen Hinsehen fiel auf, dass das lateinische „a" in der Domain durch ein kyrillisches „а" ersetzt war. Zwei Codepoints mit gleicher Form und unterschiedlicher Identität.

Homoglyph- und Typosquatting-Angriffe sind billige, industrialisierte Phishing-Maschen. Der Angreifer registriert einen Domain-Namen, der vom echten kaum zu unterscheiden ist, kopiert die Zielseite per Scraper und wartet darauf, dass jemand die URL vertippt, einen Link aus einer Mail anklickt oder über eine Suchanzeige stolpert. Die Konversion pro Besucher ist hoch, weil die Opfer gar nicht mitbekommen, dass sie umgeleitet wurden.

Welche Tricks in der Adresszeile wirklich funktionieren

Fünf Zeilen mit schematischen Domain-Formen untereinander, in jeder Zeile ein einzelnes Zeichen subtil anders gezeichnet

Typosquatting ist kein einzelner Trick, sondern eine ganze Familie. Vier Varianten erwischen früher oder später fast jeden.

Homoglyphen. Buchstaben aus anderen Schriftsystemen sehen in vielen Schriftarten identisch aus: kyrillisches „а" und lateinisches „a", kyrillisches „о" und lateinisches „o", griechisches „ο". Per Punycode registriert, handelt es sich technisch um andere Domains, optisch aber um dieselben Zeichen.

Reine Tippfehler. amazoon.com, gooogle.com, paypa1.com (Ziffer 1 statt l), facebok.com. Wer schnell tippt, landet sehr viel häufiger auf solchen Domains, als die Betreiber ahnen. Squatter registrieren pro Ziel Hunderte Varianten.

Subdomain-Täuschung. apple.com.security-check.xyz oder paypal.com.login-ref.ru. Der vertraute Hostname steht vorne, die eigentliche Domain ist aber das letzte Segment vor dem Pfad.

TLD-Austausch. Firmen registrieren .com und gelegentlich .net, selten jedoch jede passende TLD. Angreifer schnappen sich .co, .shop, .io oder .app und bauen eine pixelgenaue Kopie. Auf dem Smartphone, wo die URL häufig beschnitten ist, fällt die TLD ohnehin kaum auf.

Wie Typosquatter-Kampagnen skalieren

Moderne Kampagnen laufen längst nicht mehr von Hand. Der Angreifer wirft DNS-Twisting-Tools wie dnstwist an und erzeugt damit innerhalb von Sekunden Hunderte plausibler Varianten eines Ziels. Registriert wird, was günstig zu haben ist. Das Klonen der Originalseite übernimmt ein Scraper, der HTML, CSS und Assets eins zu eins spiegelt, teils auch live als Reverse-Proxy.

Die Reverse-Proxy-Variante ist besonders unangenehm: Die Fake-Seite zeigt exakt denselben Inhalt wie das Original, samt korrektem Login-Formular, TLS-Zertifikat (von Let's Encrypt für die gefälschte Domain) und teils sogar funktionierenden Unterseiten. Der Angreifer fängt deine Eingaben im Vorbeigehen ab und reicht sie an den echten Dienst weiter. Diese Masche heisst Adversary-in-the-Middle, und sie ist der Grund, warum 2FA per SMS oder TOTP nichts ausrichtet.

18.000+

neu registrierte Lookalike-Domains pro Monat

47 %

davon hosten aktive Phishing-Kits

9 Min.

durchschnittliche Zeit bis zum ersten Opfer

Warum Menschen die Warnzeichen übersehen

Ein halbes Jahrzehnt Nutzerforschung liefert immer dieselbe Antwort: Niemand liest URLs. Man überfliegt den Markennamen, sieht ein Schloss-Symbol und zieht weiter. Das ist kein Versagen, sondern schlicht, wie hochfrequentes Lesen funktioniert.

Moderne Browser verschärfen das Ganze, indem sie URLs kürzen oder auf dem Smartphone nur noch die Domain anzeigen. Lesbarkeit gewinnt, aber genau die Subdomain- und TLD-Variationen, die Angreifer einsetzen, fallen dabei unter den Tisch. Chrome hat zeitweise sogar ausprobiert, nur die registrierte Domain einzublenden und den Rest zu verstecken, was das Problem zusätzlich vergrössert hätte.

Dazu kommt: Viele Phishing-Links erreichen dich über Kanäle, denen du im Grundsatz vertraust. Eine Mail vom Hoster, eine Push-Benachrichtigung vom Steuerportal, eine Slack-Nachricht vom Chef (gefälscht per Spoofing). Wenn der Kontext passt, prüft kaum jemand die URL.

Wie du eine Lookalike-Domain schnell entlarvst

Wenn du einen Link geöffnet hast und dir nicht sicher bist, lässt sich in unter einer Minute klären, ob die Domain echt ist.

  1. 1

    Markiere die Domain in der Adressleiste

    Der markierte Text wird in echter Typografie angezeigt, meist in einer Schrift, in der Homoglyphen viel deutlicher hervortreten als im Browser selbst.
  2. 2

    Kopiere die URL in einen Texteditor

    Ein schlichter Editor wie Notepad oder TextEdit zeigt dir die rohen Zeichen. Steht in der Domain plötzlich `xn--` oder tauchen ungewöhnliche Glyphen auf, hast du einen Homoglyph-Angriff vor dir.
  3. 3

    Prüfe die TLD und eventuelle Subdomains

    Der Abschnitt direkt vor dem ersten Schrägstrich ist die eigentliche Domain. Alles davor sind Subdomains, die beliebig heissen können.
  4. 4

    Im Zweifel über die Hauptdomain einsteigen

    Statt dem Link aus der Mail zu folgen, tippst du die offizielle Domain selbst in den Browser oder nimmst ein Lesezeichen. Der Umweg kostet zehn Sekunden und nimmt dem Angriff jede Wirkung.

Einen verdächtigen Link sicher öffnen

Ein Link-Symbol mit Pfeil, das in ein grösseres abgeschlossenes Browser-Fenster in einer gestrichelten Blase führt

Manchmal willst du den Link trotzdem öffnen, weil du wissen möchtest, wer dahintersteckt. Genau dafür gibt es den isolierten Browser. Du öffnest die verdächtige URL in einer Umgebung, die nichts von dir weiss: keine Cookies, keine gespeicherten Passwörter, keine Wallet-Erweiterung. Selbst bei einem Adversary-in-the-Middle hat der Angreifer keinerlei echte Anmeldedaten in der Sitzung, die er abgreifen könnte.

Security-Teams arbeiten seit Jahren nach diesem Muster, wenn sie Phishing prüfen. Für dich als Einzelperson gilt dasselbe: Kritische Logins laufen immer über ein Lesezeichen oder den Passwortmanager, verdächtige URLs landen im Wegwerf-Browser. Wie die Triage im Detail abläuft, liest du in Testing Suspicious Links Without Risk.

Desktop-Power, auf jedem Gerät?

Probier Browser.lol kostenlos aus und sieh selbst, wie produktiv du mobil arbeiten kannst.

Desktop-Browser starten

Kein Download nötig • Läuft auf jedem Gerät

Über 250'000 Profis sind schon dabei
Volle Desktop-Kompatibilität
Sofort einsatzbereit

Neueste Beiträge

Alle Beiträge
Canvas, WebGL und Audio: Die drei Fingerprints, die jeden Neustart überleben
Sicherheit & Privatsphäre

Canvas, WebGL und Audio: Die drei Fingerprints, die jeden Neustart überleben

Gegen diese drei hilft kein Cookie-Löschen. So entstehen Canvas-Hashes, WebGL-Renderer-Strings und AudioContext-Signaturen, und so leakt selbst Tor noch einen davon.

17.05.2026Weiterlesen
Tabnabbing und Clickjacking: Die UI-Angriffe, die du nie bemerkst
Sicherheit & Privatsphäre

Tabnabbing und Clickjacking: Die UI-Angriffe, die du nie bemerkst

Manche Angriffe im Browser kommen ganz ohne Malware aus. Sie tauschen den Inhalt eines unbenutzten Tabs aus oder schieben einen echten Button unter einen gefälschten, und du gibst deine Zugangsdaten selbst preis. So funktionieren diese UI-Tricks.

19.03.2026Weiterlesen
Web3-Wallet-Drainer: Wie eine einzige Signatur dein Krypto-Vermögen abräumt
Sicherheit & Privatsphäre

Web3-Wallet-Drainer: Wie eine einzige Signatur dein Krypto-Vermögen abräumt

Wallet-Drainer brauchen deine Seed Phrase nicht. Sie bringen dich dazu, eine Transaktion zu unterschreiben, die mit einem Klick alles überträgt. So funktioniert die Masche, und so signierst du sicher.

05.03.2026Weiterlesen