Mit einem gefälschten Urteil des Amtsgerichts Köln gelang es Scammern, mehrere Domain-Namen unter ihre Kontrolle zu bringen und in einer großen Aktion Phishing zu betreiben. Peter Sunde Kolmisoppi, Mitgründer von The Pirate Bay und des Domain-Dienstleisters njal.la, berichtete auf Twitter über die Details der Angelegenheit.
In einem längeren Thread auf Twitter schilderte Kolmisoppi die ihm bekannten Daten des Ablaufs einer der unverfrorensten Domain-Übernahmen und spekuliert über ein paar Dinge, zu denen ihm keine genauen Informationen vorliegen. Demnach erhielt der Domain-Registrar Tucows am 28. April 2021 eine vermeintlich vom AG Köln stammende eMail mit einem Urteil des Amtsgerichts Köln, in dem eine Liste von Domains aufgeführt ist, die an Dritte zu übertragen seien. Die eMail enthielt ausserdem eine Schweigeverpflichtung, so dass die Inhaber der Domains nicht verständigt wurden. Kolmisoppi vermutet, Absender der eMail, mit der das Urteil übersandt wurde, sei die Domain agkoeln-nrw.de, eine leichte Abwandlung der offiziellen Domain des AG Köln, ag-koeln.nrw.de. Bei Tucows schaute auch ein Deutschsprachler über das Urteil und man kam überein, dass das Urteil valide ist. Daraufhin wurden – entsprechend dem gefälschten Urteil – verschiedene Domains zu anderen Providern transferiert, eine zu Epik, mehrere zu NameCheap – aufgrund der Schweigeverpflichtung jeweils, ohne die Domain-Inhaber zu verständigen. Darunter waren zwei Domains, die über den auf Privacy spezialisierten Dienstleister njal.la registriert sind. Njal.la ist eine Art Reseller, der sich als »Privacy Shield« zwischen Domain-Besteller und Registrar versteht. Njal.la wird treuhänderisch als Inhaber der vom Kunden bestellten Domain eingetragen; der Kunde verfügt vertraglich über alle Nutzungsrechte und kann sich die Domain jederzeit übertragen lassen. Njal.la registriert Domains der Endung .fail über den Registrar Tucows, und eine der betroffenen Domains war dark.fail. Die Scammer erhielten mit dem Coup nicht einfach nur die Domains, sondern hatten zudem Websites vorbereitet, die denen unter den geklauten Domains entsprachen, allerdings mit anderen Links. Diese Abweichung leitete Besucher von dark.fail zu Kopien von DarkWeb-Drogenseiten, zu denen dark.fail eigentlich weiterleitet. Dort schöpften sie unter anderem die zur Bezahlung von vermeintlichen Einkäufen genutzten Kryptowährungseinzahlungen ab. Nachdem das offenbar wurde, bemühten sich Njal.la, Tucows und die berechtigten Betreiber der Domains, schnellstmöglich den früheren Zustand wieder herzustellen. Epik reagierte laut Kolmisoppi zügig. NameCheap hingegen, deren Privacy-Service die Täter zugleich nutzten, reagierte zunächst nicht. Trotz mehrfacher Ansprache von Kolmisoppi, Tucows, Njal.la und anderen hatte NameCheap die Domain dark.fail auch am 03. Mai 2021 noch nicht gesperrt, obwohl die Domain über NameCheap-Server offensichtlich zum Phishing genutzt wurde. Kolmisoppi teilt in seinem Thread auf Twitter am 03. Mai 2021 mit, NameCheap stimme nicht darin ein, dass es sich um ein gefälschtes Urteil des AG Köln handele. NameCheap erklärte später, man habe niemals erklärt, das Urteil sei rechtmäßig; man habe ja nicht einmal eine Kopie des Urteils erhalten. Erst am 04. Mai 2021 stimmte NameCheap der Rückübertragung der Domain zu, nachdem man zuvor die Domain doch noch gesperrt hatte.
Die Domain dark.fail befindet sich jetzt wieder unter der Regie von Njal.la und dem Berechtigten. Doch leitet sie zur Zeit nicht ins Darknet weiter. Man beobachtet weiterhin die Sicherheitslage und betreibt die Linkliste derweil unter der nur über den Onion-Browser erreichbaren Domain darkfailllnkf4vf.onion. Es zeigt sich, dass Scammer und Phisher mit aufwändigen Tricks arbeiten, um an Daten und Geld zu kommen. Dass ein deutschsprachiges gerichtliches Urteil so abgewandelt wird, dass es zunächst für echt genommen wird, zeigt den Aufwand, der betrieben wird – von den vorbereiteten Websites ganz abgesehen. Das Beispiel empfiehlt sich exemplarisch für Schulungen bei Registries, Registraren, Resellern und anderen Unternehmungen und Institutionen, die in der Domain-Industrie agieren.