Scam

Phishing mit einem gefälschtem Urteil des AG Köln

Mit einem gefälschten Urteil des Amtsgerichts Köln gelang es Scammern, mehrere Domain-Namen unter ihre Kontrolle zu bringen und in einer großen Aktion Phishing zu betreiben. Peter Sunde Kolmisoppi, Mitgründer von The Pirate Bay und des Domain-Dienstleisters njal.la, berichtete auf Twitter über die Details der Angelegenheit.

In einem längeren Thread auf Twitter schilderte Kolmisoppi die ihm bekannten Daten des Ablaufs einer der unverfrorensten Domain-Übernahmen und spekuliert über ein paar Dinge, zu denen ihm keine genauen Informationen vorliegen. Demnach erhielt der Domain-Registrar Tucows am 28. April 2021 eine vermeintlich vom AG Köln stammende eMail mit einem Urteil des Amtsgerichts Köln, in dem eine Liste von Domains aufgeführt ist, die an Dritte zu übertragen seien. Die eMail enthielt ausserdem eine Schweigeverpflichtung, so dass die Inhaber der Domains nicht verständigt wurden. Kolmisoppi vermutet, Absender der eMail, mit der das Urteil übersandt wurde, sei die Domain agkoeln-nrw.de, eine leichte Abwandlung der offiziellen Domain des AG Köln, ag-koeln.nrw.de. Bei Tucows schaute auch ein Deutschsprachler über das Urteil und man kam überein, dass das Urteil valide ist. Daraufhin wurden – entsprechend dem gefälschten Urteil – verschiedene Domains zu anderen Providern transferiert, eine zu Epik, mehrere zu NameCheap – aufgrund der Schweigeverpflichtung jeweils, ohne die Domain-Inhaber zu verständigen. Darunter waren zwei Domains, die über den auf Privacy spezialisierten Dienstleister njal.la registriert sind. Njal.la ist eine Art Reseller, der sich als »Privacy Shield« zwischen Domain-Besteller und Registrar versteht. Njal.la wird treuhänderisch als Inhaber der vom Kunden bestellten Domain eingetragen; der Kunde verfügt vertraglich über alle Nutzungsrechte und kann sich die Domain jederzeit übertragen lassen. Njal.la registriert Domains der Endung .fail über den Registrar Tucows, und eine der betroffenen Domains war dark.fail. Die Scammer erhielten mit dem Coup nicht einfach nur die Domains, sondern hatten zudem Websites vorbereitet, die denen unter den geklauten Domains entsprachen, allerdings mit anderen Links. Diese Abweichung leitete Besucher von dark.fail zu Kopien von DarkWeb-Drogenseiten, zu denen dark.fail eigentlich weiterleitet. Dort schöpften sie unter anderem die zur Bezahlung von vermeintlichen Einkäufen genutzten Kryptowährungseinzahlungen ab. Nachdem das offenbar wurde, bemühten sich Njal.la, Tucows und die berechtigten Betreiber der Domains, schnellstmöglich den früheren Zustand wieder herzustellen. Epik reagierte laut Kolmisoppi zügig. NameCheap hingegen, deren Privacy-Service die Täter zugleich nutzten, reagierte zunächst nicht. Trotz mehrfacher Ansprache von Kolmisoppi, Tucows, Njal.la und anderen hatte NameCheap die Domain dark.fail auch am 03. Mai 2021 noch nicht gesperrt, obwohl die Domain über NameCheap-Server offensichtlich zum Phishing genutzt wurde. Kolmisoppi teilt in seinem Thread auf Twitter am 03. Mai 2021 mit, NameCheap stimme nicht darin ein, dass es sich um ein gefälschtes Urteil des AG Köln handele. NameCheap erklärte später, man habe niemals erklärt, das Urteil sei rechtmäßig; man habe ja nicht einmal eine Kopie des Urteils erhalten. Erst am 04. Mai 2021 stimmte NameCheap der Rückübertragung der Domain zu, nachdem man zuvor die Domain doch noch gesperrt hatte.

Die Domain dark.fail befindet sich jetzt wieder unter der Regie von Njal.la und dem Berechtigten. Doch leitet sie zur Zeit nicht ins Darknet weiter. Man beobachtet weiterhin die Sicherheitslage und betreibt die Linkliste derweil unter der nur über den Onion-Browser erreichbaren Domain darkfailllnkf4vf.onion. Es zeigt sich, dass Scammer und Phisher mit aufwändigen Tricks arbeiten, um an Daten und Geld zu kommen. Dass ein deutschsprachiges gerichtliches Urteil so abgewandelt wird, dass es zunächst für echt genommen wird, zeigt den Aufwand, der betrieben wird – von den vorbereiteten Websites ganz abgesehen. Das Beispiel empfiehlt sich exemplarisch für Schulungen bei Registries, Registraren, Resellern und anderen Unternehmungen und Institutionen, die in der Domain-Industrie agieren.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht, oder weitergegeben.
Bitte füllen Sie die gekennzeichneten Felder aus.*

Abonnieren Sie unseren Newsletter

Der Domain-Newsletter von domain-recht.de ist der deutschsprachige Newsletter rund um das Thema "Internet-Domains". Unser Redeaktionsteam informiert Sie regelmäßig donnerstags über Neuigkeiten aus den Bereichen Domain-Registrierung, Domain-Handel, Domain-Recht, Domain-Events und Internetpolitik.

Mit Bestellung des Domain-Recht Newsletter willigen Sie darin ein, dass wir Ihre Daten (Name und E-Mail-Adresse) zum Zweck des Newsletterversandes in unseren Account bei der Optimizly GmbH (vormals Episerver GmbH), Wallstraße 16, 10179 Berlin übertragen. Rechtsgrundlage dieser Übermittlung ist Artikel 6 Absatz 1 Buchstabe a) der Europäischen Datenschutzgrundverordnung (DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie am Ende jedes Domain-Recht Newsletters auf den entsprechenden Link unter "Newsletter abbestellen? Bitte einfach hier klicken:" klicken.

Top