Blog

Reveal URLs: Phishing-Links erkennen, bevor Sie klicken

Veröffentlicht am Dienstag, 7. Juli 2026 von Jeroen Derks

Kurzfassung: Phishing-Links verbergen ihr wahres Ziel hinter freundlichem Anzeigetext. Reveal URLs zeigt das wahre Ziel jedes Links direkt darüber an — rot, wenn der Ziel-Host nicht zum Linktext passt — sodass eine Diskrepanz bereits vor dem Klick unübersehbar ist. Die Browser-Erweiterungen und das Thunderbird-Add-on erledigen ihre gesamte Arbeit auf Ihrem eigenen Gerät und übertragen dabei nichts; das Gmail-Add-on (bald verfügbar) wird auf Googles Servern laufen. Es hat keine Analyse und kein Tracking und ist quelloffen unter der AGPL. Ab sofort verfügbar in den Stores von Chrome, Edge, Firefox und Thunderbird; die Add-ins für Gmail und Outlook folgen in Kürze.

Sie können nicht sicher auf das klicken, was Sie nicht sehen. Jeder Phishing-Angriff, der einen Link tarnt, beruht auf demselben blinden Fleck: Die Worte, die Sie lesen, sind nicht die Adresse, die Sie besuchen. Der Anzeigetext sagt das eine; der href führt an einen ganz anderen Ort. Bis Sie es normalerweise herausfinden würden, haben Sie bereits geklickt. Und es ist nicht immer eine plumpe Nachahmer-Domain: Oft wird der Link über einen Tracker oder Redirector geleitet, sodass der Ort, an dem Sie tatsächlich landen, nichts mit der im Text genannten Marke zu tun hat.

Mit der Maus über einen Link zu fahren, um die URL zu prüfen, hilft, ist aber freiwillig, leicht zu überspringen, auf Mobilgeräten umständlich und verlangt von Ihnen — selbst wenn Sie es tun — eine lange Adresse zu lesen und den einen Teil herauszupicken, der zählt. Das ist viel verlangt bei jedem Link, jeden Tag. Reveal URLs nimmt Ihnen diese Mühe ab: Es macht das wahre Ziel standardmäßig sichtbar, sodass die Diskrepanz ins Auge springt, statt sich zu verstecken.

Der Link, der richtig aussieht, es aber nicht ist

Betrachten Sie eine reale Kampagne aus dem Jahr 2025 gegen Booking.com. Die E-Mail zeigte einen Link, der https://admin.booking.com/hotel/hoteladmin/… lautete — genau das, was ein Hotelier erwarten würde. Die Adresse, auf die er tatsächlich verwies, war https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/. Das Zeichen zwischen „com“ und „detail“ ist kein Schrägstrich: Es ist das japanische Hiragana-Zeichen (U+3093), das in vielen Schriftarten nahezu identisch wie „/“ dargestellt wird. Die tatsächlich registrierte Domain ist daher www-account-booking.com — vom Angreifer kontrolliert — und alles links davon ist lediglich Subdomain-Text, der so aufgemacht ist, dass er wie ein Pfad auf booking.com zu lesen ist.

Genau gegen diesen Fall ist Reveal URLs gebaut. Die URL zu sehen ist notwendig, aber nicht immer ausreichend: Sie müssen außerdem erkennen, welcher Teil die tatsächlich registrierte Domain ist. Reveal URLs stellt Ihnen das Ziel standardmäßig vor Augen — über dem Link angezeigt und in dem Moment rot markiert, in dem sein Host nicht zum Namen im Linktext passt —, sodass die Diskrepanz die Arbeit für Sie erledigt.

Dies ist die clientseitige, praktische Antwort auf ein Problem, das wir zuvor eingehend untersucht haben: warum E-Mail-Authentifizierung Domain-Spoofing stoppt, aber kein link-basiertes Phishing, und warum die Branche die URL immer anzeigen sollte. Den vollständigen Hintergrund finden Sie unter E-Mail-Link-Phishing: Warum Ihre Mail-App immer die URL anzeigen sollte.

Jetzt tut sie es tatsächlich.

Was Reveal URLs tut

Reveal URLs vergleicht den sichtbaren Linktext mit dem tatsächlichen href des Links und kennzeichnet jede Diskrepanz. Für jeden Link zeigt es das wahre Ziel direkt über dem Link an, vorangestellt mit → , in einem dünnen Kasten. Wenn der Host des Ziels nicht zu dem im Linktext genannten Hostnamen passt, färben sich dieser Kasten und sein Text rot; andernfalls bleiben sie schlicht dunkelgrau. Die Warnung, die Sie brauchen, ist standardmäßig da, bevor Sie klicken — kein Hovern, kein langer Fingerdruck.

Nehmen wir ein konkretes Beispiel. Eine Nachricht enthält einen Link, dessen Text amazon.com lautet, dessen href jedoch auf https://amaz0n-secure.com/signin verweist (eine Null anstelle des „o“, auf einer Domain, die niemand bei Amazon besitzt). Mit Reveal URLs ist die Lücke unübersehbar: Über dem Link steht → https://amaz0n-secure.com/signin in einem roten Kasten, weil der Ziel-Host amaz0n-secure.com nicht zu dem im Text versprochenen amazon.com passt. Sie sehen die Täuschung, bevor Sie klicken, ohne Hovern und ohne Raten.

Im Web und in Thunderbird zeigt die WebExtension das Ziel über jedem Link an, während die Seite oder Nachricht gerendert wird. In Outlook erscheint dieselbe Analyse in einem Seitenbereich. So oder so ist das Ziel standardmäßig sichtbar — niemals hinter einem Hover oder einem langen Fingerdruck verborgen.

Das ist nicht hypothetisch. Nehmen Sie eine echte Paketzustellungs-Phishing-E-Mail: Sie warnt, dass ein Paket zurückgehalten wird, bis eine offene Zollgebühr bezahlt ist, und bietet eine freundliche Schaltfläche „Zur Zahlung“ an, deren Beschriftung überhaupt kein Ziel nennt. Reveal URLs zeigt das wahre Ziel der Schaltfläche direkt darüber an — → parcel-pay.custom.co.xa — sodass die Adresse, die die freundliche Beschriftung verbirgt, offen sichtbar ist. Sie sehen, wohin die Schaltfläche wirklich führt, und Sie mussten nie klicken, um es herauszufinden.

Wie es plattformübergreifend funktioniert

Reveal URLs ist eine einzige Idee, die über den jeweils auf jeder Plattform möglichen Mechanismus umgesetzt wird. Darunter tut jede Variante dasselbe: die Links lesen, ermitteln, wohin sie wirklich führen, und dieses Ziel über dem Link anzeigen — rot, wenn der Ziel-Host nicht zum Linktext passt. Wo diese Arbeit geschieht, ist je nach Oberfläche unterschiedlich, daher wird jede unten einzeln erläutert.

  • Browser und Thunderbird (WebExtensions): In Chrome, Edge, Opera, Firefox und Thunderbird nimmt ein Content-Script das gerenderte DOM nach und zeigt das Ziel jedes Links darüber an. Diese erledigen ihre gesamte Arbeit auf Ihrem eigenen Gerät und übertragen dabei nichts.
  • Gmail (bald verfügbar): Ein Google-Apps-Script-Add-on wird dasselbe Ziel über jedem Link innerhalb der Gmail-Oberfläche anzeigen. Da Gmail-Add-ons auf Googles eigenen Servern laufen, wird die geöffnete Nachricht dort gelesen und analysiert (von Google, das Ihre E-Mails ohnehin besitzt), niemals von uns und niemals von jemand anderem.
  • Outlook (bald verfügbar): Ein Office.js-Add-in wird die Analyse in einem Seitenbereich anzeigen. Seine Task-Pane-Oberfläche wird über HTTPS von Codeberg Pages geladen, doch die Linkanalyse selbst läuft lokal auf der Nachricht vor Ihnen — es werden keine E-Mail- oder Nachrichtendaten irgendwohin gesendet.
  • Safari: geplant.

Reveal URLs bringt eingebaute Unterstützung für die Anbieter mit, über die Menschen am häufigsten gephisht werden — Gmail, Outlook und Proton Mail — und die Host-Liste ist über die Optionsseite durch den Nutzer erweiterbar, sodass Sie die Webmail-Dienste und Seiten hinzufügen können, die Sie verwenden. Die Oberfläche ist in viele Sprachen lokalisiert.

Das wahre Ziel sehen, bevor Sie klicken

Reveal URLs bei einer betrügerischen Deutsche-Post-Phishing-E-Mail: Direkt über der Schaltfläche "Zur Zahlung" zeigt Reveal URLs das wahre Ziel → https://parcel-pay.custom.co.xa/bezahlen/ in einem schlichten dunklen Kasten an und macht sichtbar, wohin die freundliche Beschriftung tatsächlich führt.
Reveal URLs entlarvt die Schaltfläche „Zur Zahlung“: Sie verweist auf parcel-pay.custom.co.xa, nicht auf Deutsche Post. Dieser Screenshot zeigt eine betrügerische Phishing-E-Mail, die sich als Deutsche Post ausgibt. Deutsche Post ist nicht mit Reveal URLs verbunden und unterstützt es nicht.

Datenschutz und kein Tracking

Wo Reveal URLs seine Arbeit verrichtet, hängt von der Oberfläche ab, und es ist ehrlich über den Unterschied. Die Browser-Erweiterungen und das Thunderbird-Add-on erledigen ihre gesamte Arbeit auf Ihrem eigenen Gerät und übertragen dabei nichts: Nichts über die Nachrichten, die Sie lesen, die Links, die Sie sehen, oder die Seiten, die Sie besuchen, verlässt jemals Ihre Maschine. Es gibt keine Analyse, keine Telemetrie und kein Tracking jeglicher Art.

Das Gmail-Add-on (bald verfügbar) wird die Ausnahme sein. Da Gmail-Add-ons auf Googles eigenen Servern laufen, wird die geöffnete Nachricht dort gelesen und analysiert — von Google, das Ihre E-Mails ohnehin besitzt, niemals von uns und niemals von jemand anderem.

Outlook (bald verfügbar) wird dazwischen liegen: Die Benutzeroberfläche des Add-ins wird über HTTPS von Codeberg Pages ausgeliefert (so werden Office-Add-ins verteilt), doch die eigentliche Linkanalyse läuft weiterhin lokal auf der Nachricht, die Sie gerade ansehen, und es werden keine E-Mail- oder Nachrichtendaten irgendwohin gesendet. Ein Sicherheitswerkzeug, dem Sie nicht vertrauen können, ist schlimmer als gar keines, deshalb ist Reveal URLs genau darin, wo jede Oberfläche ihre Arbeit verrichtet, statt ein einziges pauschales Versprechen zu geben.

Open Source und Lizenz

Reveal URLs ist kostenlos und quelloffen, veröffentlicht unter der Lizenz AGPL-3.0-only. Der Code ist ein TypeScript-pnpm-Monorepo, und das Projekt ist © 2026 Jeroen Derks (Magentron). Weil es quelloffen ist, müssen Sie keiner Datenschutzaussage blind vertrauen — Sie können genau nachlesen, was es tut, es selbst bauen und für jede Oberfläche bestätigen, wo die Analyse läuft: auf Ihrem eigenen Gerät bei den Browser-Erweiterungen und Thunderbird, ohne dabei etwas zu übertragen.

Der vollständige Quellcode liegt unter codeberg.org/magentron/reveal-urls.

Reveal URLs installieren

Reveal URLs beziehen

Unter Opera installieren Sie den Chrome-Build aus dem Chrome Web Store; ein eigener Opera-Eintrag folgt in Kürze.

In Kürze: das Gmail-Add-on (Google Workspace Marketplace) und das Outlook-Add-in (Microsoft AppSource).

Projektseite: magentron.codeberg.page/reveal-urls · Quellcode: codeberg.org/magentron/reveal-urls

Reveal URLs ist die praktische, clientseitige Antwort auf ein Problem, das wir eingehend in E-Mail-Link-Phishing: Warum Ihre Mail-App immer die URL anzeigen sollte dargelegt haben: E-Mail-Authentifizierung kann belegen, wer eine Nachricht gesendet hat, aber nicht, wohin ihre Links führen. Bis Clients die URL standardmäßig anzeigen, schließt dies die Lücke — kostenlos, quelloffen und ehrlich darüber, wo jede Oberfläche ihre Arbeit verrichtet.

Benötigen Sie Unterstützung dabei, die E-Mail- oder Web-Sicherheit Ihrer Organisation zu härten, oder beim Entwickeln eines Werkzeugs wie diesem? Nehmen Sie gern Kontakt mit mir auf.