2check.click

Erkennungsgenauigkeit und Tests

Wie wir 2check.click an echten Bedrohungen testen, was zuverlässig erkannt wird und wo die aktuellen Einschränkungen liegen.

Testübersicht

Jede Änderung am Erkennungsmodul wird an einem strukturierten Testkorpus geprüft, bevor sie in die Produktion geht. Der Korpus ist in drei Teile unterteilt, die jeweils einen anderen Aspekt der Analysepipeline testen.

Link-Tests

Wir testen anhand von Stichproben aus drei öffentlichen Bedrohungsdaten-Feeds — URLhaus, OpenPhish und GitHub Phishing.Database — die über 300 bestätigte schädliche Links abdecken. Daneben dient ein manuell zusammengestellter Satz aus 98 sicheren Links (beliebte legitime Seiten, offizielle Marken-Domains, Behördenportale) als Kontrollgruppe für die Prüfung auf Falschmeldungen.

Nachrichten-Tests

Der Nachrichten-Analyzer wird an 100 manuell annotierten Stichproben getestet: 50 bestätigte Phishing-Nachrichten (SMS, E-Mail und Chat) und 50 sichere (normale Benachrichtigungen, Bestellbestätigungen, Lieferbenachrichtigungen). Jeder Fall wird einzeln geprüft, damit die Bezeichnung die tatsächliche Absicht der Nachricht widerspiegelt.

Bedrohungsanalyse-Überprüfung

Neben der Bestanden/Nicht-bestanden-Genauigkeit verfolgen wir die Erkennungsrate nach Bedrohungskategorien: Markenimitation, Paketzustellungsbetrug, Behördenimitation, Datendiebstahl — um systematische Lücken zu erkennen. Wenn eine Kategorie unter einen Schwellenwert fällt, löst das einen gezielten Regelverbesserungszyklus aus, keine allgemeine Erhöhung der Bewertungen, die die Falschmeldungsrate verschlechtern würde.

Aktuelle Ergebnisse

Ergebnisse des letzten Validierungsdurchlaufs. Diese Zahlen werden mit jeder Version des Erkennungsmoduls aktualisiert.

≈ 96%URLhaus-ErkennungEchter Bedrohungs-Feed
≈ 94%Nachrichten-ErkennungPhishing-SMS und E-Mails
≈ 95%GesamterkennungÜber alle Testdatensätze
0%FalschmeldungenAuf sicherem URL-Korpus

Die Erkennungsrate wird ab dem Risikoniveau MITTEL und darüber gemessen (Bewertung ≥ 26). Die Falschmeldungsrate wird an einem Korpus von 98 sicheren Links gemessen — keiner wurde auf irgendeinem Risikoniveau markiert.

Was gut erkannt wird

Das Erkennungsmodul ist speziell für Link-Ebenen-Signale ausgelegt — das, was im Link selbst sichtbar ist, ohne die Zielseite zu besuchen.

  • Phishing-Domains und ähnliche Links

    Domains, die bekannte Marken durch Homoglyph-Zeichen, Ziffernaustausch oder Tippfehler auf Nachbartasten visuell imitieren — zum Beispiel paypa1.com oder arnazon.com.

  • Markenimitationsangriffe

    Markennamen, die in Subdomains oder Pfade eingebettet werden, um Legitimität vorzutäuschen — zum Beispiel amazon.com.fake-site.net oder login.microsoft.com.phishing.xyz.

  • QR-Code-Betrug

    QR-Codes, die zu Phishing-Links führen, durchlaufen dieselbe Link-Analyse wie manuell eingegebene Adressen — der QR-Code wird lokal dekodiert, bevor das Ziel geprüft wird.

  • Paketzustellungsbetrug und Behördenimitation

    Die Nachrichtenanalyse erkennt Dringlichkeitsmuster, gefälschte Sendungsverfolgungsanfragen sowie Steuer- und Leistungsschlüsselwörter, die typisch für SMS- und E-Mail-Phishing sind.

  • Link-Verschleierungstechniken

    Prozentkodierung, doppelte Kodierung, Base64-Links, HTML-Entities und Unicode-Escapes werden alle dekodiert und das endgültige Ziel analysiert.

  • Verdächtige Weiterleitungsketten

    Die Kurz-Link-Auflösung deckt mehrstufige Weiterleitungsketten auf, und jeder Zwischenhop wird eigenständig auf Risiko bewertet — nicht nur die endgültige Adresse.

Bekannte Einschränkungen

Ehrliche Erkennung bedeutet, anzuerkennen, was 2check.click nicht zuverlässig erfassen kann. Dies sind strukturelle Einschränkungen der clientseitigen Link-Analyse — keine Versäumnisse.

  • Rein inhaltsbasiertes Phishing

    Phishing-Seiten, die eine unauffällige, nicht markengebundene Domain ohne Link-Indikatoren verwenden, sind für die Link-Analyse unsichtbar. Die Täuschung liegt vollständig im Seiteninhalt — den 2check.click bewusst niemals lädt oder anzeigt.

  • Neu registrierte, unauffällige Domains

    Eine völlig neue Domain mit neutralem Namen und ohne verdächtige Schlüsselwörter ist von einem legitimen neuen Unternehmen nicht zu unterscheiden. Ohne Seiteninhalt oder Verhaltenssignale gibt es keine Link-Indikatoren zur Bewertung.

  • Social Engineering ohne Link-Indikatoren

    Phishing, das auf Vertrauenskontext setzt — etwa eine Nachricht, die aussieht, als käme sie von einer bekannten Person mit einem Link zu einem geteilten Dokument — kann keine erkennbaren Link-Signale enthalten.

  • Neue Marken ohne Datenbankeinträge

    Eine Domain, die eine Marke imitiert, die noch nicht in unserer Datenbank ist, löst keine markenspezifische Erkennung aus. Die Datenbank umfasst derzeit rund 200 bekannte Namen und wird in Wartungszyklen erweitert.

Warum Transparenz wichtig ist

Sicherheitstools, die ihre eigenen Einschränkungen veröffentlichen, sind selten. Ein Angreifer, der genau weiß, wo ein Tool versagt, könnte es gezielt umgehen. Für einen auf Privatanwender ausgerichteten Phishing-Analyzer ist die Kalkulation jedoch eine andere.

Die Menschen, die 2check.click nutzen, sind keine Sicherheitsforscher, die nach Lücken suchen. Es ist jemand, der gerade eine verdächtige SMS erhalten hat und wissen möchte, ob es sicher ist, zu klicken. Für diese Person ist das Ziel informiertes Vertrauen. Zu wissen, dass das Tool 96% bekannter Bedrohungen erkennt, und dabei ehrlich zuzugeben, dass neu registrierte unauffällige Domains durchschlüpfen können, hilft bessere Entscheidungen zu treffen als eine vage Aussage über 'umfassenden Schutz'.

Transparenz fördert auch kontinuierliche Verbesserung. Jede Falschmeldung oder übersehene Bedrohung, die über das Meldeformular gemeldet wird, fließt direkt in das nächste Regelupdate ein. Nutzer, die verstehen, was das Tool zu leisten versucht und wo es an Grenzen stößt, geben deutlich nützlicheres Feedback.

Schließlich schafft die Veröffentlichung einer strukturierten Testmethodik Rechenschaftspflicht. Die Zahlen auf dieser Seite stammen aus einem reproduzierbaren Korpus, nicht aus handverlesenen günstigen Beispielen. Wenn die Erkennungsrate sinkt — werden wir diese Zahlen ehrlich aktualisieren und die Regeln korrigieren.

Häufig gestellte Fragen

Wie genau ist 2check.click?

Laut unseren Testdatensätzen erreicht 2check.click derzeit etwa 96% Erkennung bei URLhaus-Bedrohungs-Feeds, 94% bei Phishing-Nachrichten und 0% Falschmeldungen bei sicheren URLs. Diese Zahlen spiegeln unseren automatisierten Testkorpus wider, den wir bei jeder Code-Änderung ausführen, um Regressionen in der Produktion zu verhindern.

Kann Phishing die Erkennung umgehen?

Ja. Einige Phishing-Kampagnen sind gezielt darauf ausgelegt, die Link-Analyse zu umgehen. Angreifer können unauffällige Domains ohne Markenreferenzen in der URL registrieren, brandneue Domains ohne Verlauf verwenden oder vollständig auf täuschende Seiteninhalte setzen, die nur der Browser beim Laden sieht. Dies sind bekannte strukturelle Einschränkungen, die wir offen dokumentieren.

Warum sind Falschmeldungen wichtig?

Eine Falschmeldung — das Markieren einer legitimen Seite als verdächtig — untergräbt das Vertrauen genauso wie eine übersehene Bedrohung. Wenn ein Tool zu oft fälschlicherweise warnt, hören Menschen auf, seinen Warnungen zu vertrauen. Deshalb ist die Null-Falschmeldungsrate eine strenge Anforderung, die wir kontinuierlich testen, kein Zielwert. Wenn Sie sehen, dass eine legitime Seite markiert wird, melden Sie es uns — solche Meldungen fließen direkt in die Regelanpassung ein.

Wie oft werden die Erkennungsregeln aktualisiert?

Die Erkennungsregeln werden mit jeder Version aktualisiert. Das Modul befindet sich derzeit im Wartungsmodus — neue Heuristiken werden nur hinzugefügt, um bestätigte Falsch-Negative oder Falschmeldungen zu beheben, nicht zur beliebigen Erweiterung der Abdeckung. Jede Änderung wird am vollständigen Testkorpus geprüft, bevor sie in die Produktion geht.

Welche Datenquellen werden für Tests verwendet?

Unser Validierungsdatensatz umfasst drei öffentliche Bedrohungsdaten-Feeds — URLhaus, OpenPhish und GitHub Phishing.Database — sowie einen manuell zusammengestellten Satz aus 98 sicheren URLs und 50 sicheren Nachrichten. Alle Testbeispiele werden lokal ausgeführt; weder Links noch Nachrichten werden beim Testen an externe Dienste gesendet.

Eine Falschmeldung entdeckt oder einen übersehenen Betrug bemerkt? Problem melden — jede Meldung beeinflusst das nächste Erkennungsupdate.

Bereit, es auszuprobieren? Verdächtigen Link prüfen →