Sie können nicht sicher auf das klicken, was Sie nicht sehen. Jeder Phishing-Angriff, der einen Link tarnt, beruht auf demselben blinden Fleck: Die Worte, die Sie lesen, sind nicht die Adresse, die Sie besuchen. Der Anzeigetext sagt das eine; der href führt an einen ganz anderen Ort. Bis Sie es normalerweise herausfinden würden, haben Sie bereits geklickt. Und es ist nicht immer eine plumpe Nachahmer-Domain: Oft wird der Link über einen Tracker oder Redirector geleitet, sodass der Ort, an dem Sie tatsächlich landen, nichts mit der im Text genannten Marke zu tun hat.
Mit der Maus über einen Link zu fahren, um die URL zu prüfen, hilft, ist aber freiwillig, leicht zu überspringen, auf Mobilgeräten umständlich und verlangt von Ihnen — selbst wenn Sie es tun — eine lange Adresse zu lesen und den einen Teil herauszupicken, der zählt. Das ist viel verlangt bei jedem Link, jeden Tag. Reveal URLs nimmt Ihnen diese Mühe ab: Es macht das wahre Ziel standardmäßig sichtbar, sodass die Diskrepanz ins Auge springt, statt sich zu verstecken.
Der Link, der richtig aussieht, es aber nicht ist
Betrachten Sie eine reale Kampagne aus dem Jahr 2025 gegen Booking.com. Die E-Mail zeigte einen Link, der https://admin.booking.com/hotel/hoteladmin/… lautete — genau das, was ein Hotelier erwarten würde. Die Adresse, auf die er tatsächlich verwies, war https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/. Das Zeichen zwischen „com“ und „detail“ ist kein Schrägstrich: Es ist das japanische Hiragana-Zeichen ん (U+3093), das in vielen Schriftarten nahezu identisch wie „/“ dargestellt wird. Die tatsächlich registrierte Domain ist daher www-account-booking.com — vom Angreifer kontrolliert — und alles links davon ist lediglich Subdomain-Text, der so aufgemacht ist, dass er wie ein Pfad auf booking.com zu lesen ist.
Genau gegen diesen Fall ist Reveal URLs gebaut. Die URL zu sehen ist notwendig, aber nicht immer ausreichend: Sie müssen außerdem erkennen, welcher Teil die tatsächlich registrierte Domain ist. Reveal URLs stellt Ihnen das Ziel standardmäßig vor Augen — über dem Link angezeigt und in dem Moment rot markiert, in dem sein Host nicht zum Namen im Linktext passt —, sodass die Diskrepanz die Arbeit für Sie erledigt.
Dies ist die clientseitige, praktische Antwort auf ein Problem, das wir zuvor eingehend untersucht haben: warum E-Mail-Authentifizierung Domain-Spoofing stoppt, aber kein link-basiertes Phishing, und warum die Branche die URL immer anzeigen sollte. Den vollständigen Hintergrund finden Sie unter E-Mail-Link-Phishing: Warum Ihre Mail-App immer die URL anzeigen sollte.
Was Reveal URLs tut
Reveal URLs vergleicht den sichtbaren Linktext mit dem tatsächlichen href des Links und kennzeichnet jede Diskrepanz. Für jeden Link zeigt es das wahre Ziel direkt über dem Link an, vorangestellt mit → , in einem dünnen Kasten. Wenn der Host des Ziels nicht zu dem im Linktext genannten Hostnamen passt, färben sich dieser Kasten und sein Text rot; andernfalls bleiben sie schlicht dunkelgrau. Die Warnung, die Sie brauchen, ist standardmäßig da, bevor Sie klicken — kein Hovern, kein langer Fingerdruck.
Nehmen wir ein konkretes Beispiel. Eine Nachricht enthält einen Link, dessen Text amazon.com lautet, dessen href jedoch auf https://amaz0n-secure.com/signin verweist (eine Null anstelle des „o“, auf einer Domain, die niemand bei Amazon besitzt). Mit Reveal URLs ist die Lücke unübersehbar: Über dem Link steht → https://amaz0n-secure.com/signin in einem roten Kasten, weil der Ziel-Host amaz0n-secure.com nicht zu dem im Text versprochenen amazon.com passt. Sie sehen die Täuschung, bevor Sie klicken, ohne Hovern und ohne Raten.
Im Web und in Thunderbird zeigt die WebExtension das Ziel über jedem Link an, während die Seite oder Nachricht gerendert wird. In Outlook erscheint dieselbe Analyse in einem Seitenbereich. So oder so ist das Ziel standardmäßig sichtbar — niemals hinter einem Hover oder einem langen Fingerdruck verborgen.
Das ist nicht hypothetisch. Nehmen Sie eine echte Paketzustellungs-Phishing-E-Mail: Sie warnt, dass ein Paket zurückgehalten wird, bis eine offene Zollgebühr bezahlt ist, und bietet eine freundliche Schaltfläche „Zur Zahlung“ an, deren Beschriftung überhaupt kein Ziel nennt. Reveal URLs zeigt das wahre Ziel der Schaltfläche direkt darüber an — → parcel-pay.custom.co.xa — sodass die Adresse, die die freundliche Beschriftung verbirgt, offen sichtbar ist. Sie sehen, wohin die Schaltfläche wirklich führt, und Sie mussten nie klicken, um es herauszufinden.
Wie es plattformübergreifend funktioniert
Reveal URLs ist eine einzige Idee, die über den jeweils auf jeder Plattform möglichen Mechanismus umgesetzt wird. Darunter tut jede Variante dasselbe: die Links lesen, ermitteln, wohin sie wirklich führen, und dieses Ziel über dem Link anzeigen — rot, wenn der Ziel-Host nicht zum Linktext passt. Wo diese Arbeit geschieht, ist je nach Oberfläche unterschiedlich, daher wird jede unten einzeln erläutert.
- Browser und Thunderbird (WebExtensions): In Chrome, Edge, Opera, Firefox und Thunderbird nimmt ein Content-Script das gerenderte DOM nach und zeigt das Ziel jedes Links darüber an. Diese erledigen ihre gesamte Arbeit auf Ihrem eigenen Gerät und übertragen dabei nichts.
- Gmail (bald verfügbar): Ein Google-Apps-Script-Add-on wird dasselbe Ziel über jedem Link innerhalb der Gmail-Oberfläche anzeigen. Da Gmail-Add-ons auf Googles eigenen Servern laufen, wird die geöffnete Nachricht dort gelesen und analysiert (von Google, das Ihre E-Mails ohnehin besitzt), niemals von uns und niemals von jemand anderem.
- Outlook (bald verfügbar): Ein Office.js-Add-in wird die Analyse in einem Seitenbereich anzeigen. Seine Task-Pane-Oberfläche wird über HTTPS von Codeberg Pages geladen, doch die Linkanalyse selbst läuft lokal auf der Nachricht vor Ihnen — es werden keine E-Mail- oder Nachrichtendaten irgendwohin gesendet.
- Safari: geplant.
Reveal URLs bringt eingebaute Unterstützung für die Anbieter mit, über die Menschen am häufigsten gephisht werden — Gmail, Outlook und Proton Mail — und die Host-Liste ist über die Optionsseite durch den Nutzer erweiterbar, sodass Sie die Webmail-Dienste und Seiten hinzufügen können, die Sie verwenden. Die Oberfläche ist in viele Sprachen lokalisiert.
Das wahre Ziel sehen, bevor Sie klicken
Datenschutz und kein Tracking
Wo Reveal URLs seine Arbeit verrichtet, hängt von der Oberfläche ab, und es ist ehrlich über den Unterschied. Die Browser-Erweiterungen und das Thunderbird-Add-on erledigen ihre gesamte Arbeit auf Ihrem eigenen Gerät und übertragen dabei nichts: Nichts über die Nachrichten, die Sie lesen, die Links, die Sie sehen, oder die Seiten, die Sie besuchen, verlässt jemals Ihre Maschine. Es gibt keine Analyse, keine Telemetrie und kein Tracking jeglicher Art.
Das Gmail-Add-on (bald verfügbar) wird die Ausnahme sein. Da Gmail-Add-ons auf Googles eigenen Servern laufen, wird die geöffnete Nachricht dort gelesen und analysiert — von Google, das Ihre E-Mails ohnehin besitzt, niemals von uns und niemals von jemand anderem.
Outlook (bald verfügbar) wird dazwischen liegen: Die Benutzeroberfläche des Add-ins wird über HTTPS von Codeberg Pages ausgeliefert (so werden Office-Add-ins verteilt), doch die eigentliche Linkanalyse läuft weiterhin lokal auf der Nachricht, die Sie gerade ansehen, und es werden keine E-Mail- oder Nachrichtendaten irgendwohin gesendet. Ein Sicherheitswerkzeug, dem Sie nicht vertrauen können, ist schlimmer als gar keines, deshalb ist Reveal URLs genau darin, wo jede Oberfläche ihre Arbeit verrichtet, statt ein einziges pauschales Versprechen zu geben.
Open Source und Lizenz
Reveal URLs ist kostenlos und quelloffen, veröffentlicht unter der Lizenz AGPL-3.0-only. Der Code ist ein TypeScript-pnpm-Monorepo, und das Projekt ist © 2026 Jeroen Derks (Magentron). Weil es quelloffen ist, müssen Sie keiner Datenschutzaussage blind vertrauen — Sie können genau nachlesen, was es tut, es selbst bauen und für jede Oberfläche bestätigen, wo die Analyse läuft: auf Ihrem eigenen Gerät bei den Browser-Erweiterungen und Thunderbird, ohne dabei etwas zu übertragen.
Der vollständige Quellcode liegt unter codeberg.org/magentron/reveal-urls.
Reveal URLs installieren
- Chrome Web Store (auch für Brave, Opera usw.)
- Microsoft Edge Add-ons
- Firefox Add-ons (AMO)
- Thunderbird Add-ons (ATN)
Unter Opera installieren Sie den Chrome-Build aus dem Chrome Web Store; ein eigener Opera-Eintrag folgt in Kürze.
In Kürze: das Gmail-Add-on (Google Workspace Marketplace) und das Outlook-Add-in (Microsoft AppSource).
Projektseite: magentron.codeberg.page/reveal-urls · Quellcode: codeberg.org/magentron/reveal-urls
Reveal URLs ist die praktische, clientseitige Antwort auf ein Problem, das wir eingehend in E-Mail-Link-Phishing: Warum Ihre Mail-App immer die URL anzeigen sollte dargelegt haben: E-Mail-Authentifizierung kann belegen, wer eine Nachricht gesendet hat, aber nicht, wohin ihre Links führen. Bis Clients die URL standardmäßig anzeigen, schließt dies die Lücke — kostenlos, quelloffen und ehrlich darüber, wo jede Oberfläche ihre Arbeit verrichtet.