Phishing: Domain mit gefälschtem Gerichtsbeschluss übernommen

Mit einem gefälschten Beschluss des AG Köln ist eine Domain übernommen und für Bitcoin-Phishing auf Darknet-Handelsplätzen missbraucht worden.

Artikel veröffentlicht am ,
An dem gefälschten Gerichtsbeschluss war Justitia nicht beteiligt.
An dem gefälschten Gerichtsbeschluss war Justitia nicht beteiligt. (Bild: Edward Lich/Pixabay)

Ein Betrüger hat mit einem gefälschten Gerichtsbeschluss die Domain Dark.fail übernommen, die Handelsplätze im Darknet auflistet. Die Links zu den Handelsplätzen ersetzte der Betrüger und verwies auf Kopien unter seiner Kontrolle, die darauf ausgelegt sind, die Bitcoins von Nutzern zu stehlen.

Stellenmarkt
  1. Senior Software Architect .NET (m/w)
    MED-EL Medical Electronics, Innsbruck (Österreich)
  2. Mitarbeiter*in (m/w/d) für das Prozessmanagement
    Universität Bielefeld, Bielefeld
Detailsuche

Jede Seite habe echt ausgesehen, aber alle Benutzeraktivitäten mit dem Angreifer geteilt, einschließlich Passwörter und Nachrichten, schreibt Dark-fail in einer Erklärung. Die angzeigten Kryptowährungsadressen seien auf Adressen umgeschrieben worden, die vom Phisher kontrolliert wurden. Dadurch sei das Geld vieler Leute abgefangen worden.

Den Angaben zufolge sind alle Nutzer betroffen, die den Links auf der Webseite zwischen dem 29. April und dem 5. Mai gefolgt sind. Mittlerweile befindet sich die Domain wieder im Besitz des Admins. "Ich hatte 2FA und PGP auf diesem Konto aktiviert. Ich bin kein Idiot, wenn es um Sicherheit geht", sagte der Admin der Webseite mit dem Pseudonym Dark Fail zum Onlinemagazin Motherboard, nachdem seine Webseite übernommen worden war.

Registrar Tucows fiel auf gefälschten Gerichtsbeschluss vom Amtsgericht Köln herein

Die Domain Dark.fail ist beim datenschutzbewussten Domainhoster Njalla von Piratebay-Gründer Peter Sunde registriert. Dort wird auf die Dienste des US-Registrars Tucows zurückgegriffen, wie Sunde auf Twitter erklärt. Demnach erhielt Tucows am 28. April einen gefälschten Gerichtsbeschluss des Amtsgerichts Köln. Zwei der betroffenen Domains seien bei Njalla, eine weitere beim Anbieter Hover registriert gewesen, heißt es.

"Das PDF sieht aus wie eine echte Gerichtsverfügung, ich habe schon viele davon gesehen", schrieb Sunde. "Aber es ist Fake." In dem gefälschten Dokument werde auf einen Paragrafen verwiesen, der auch im Fall der Domain Kino.to verwendet worden sei. Zudem sei eine Nachrichtensperre verfügt worden, die untersage, dass Njalla informiert werden dürfe.

Sunde vermutet, dass der gefälschte Gerichtsbeschluss per E-Mail von der Domain agkoeln-nrw.de versendet wurde. Die offizielle Domain des Amtsgerichts Köln sei jedoch ag-koeln.nrw.de. Diese Phishingdomain ist beim Registrar Namecheap registriert, zu dem auch die Domain Dark.fail übertragen wurde.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Tucows sei offensichtlich auf das gefälschte Gerichtsdokument hereingefallen und habe den Domain-Transfer erlaubt. Kurze Zeit später hinterlegte der Betrüger neue Inhalte und begann, die Daten der Betroffenen zu phishen. Njalla habe Tucows informiert, schreibt Sunde. Dort habe man ebenfalls sehr schnell reagiert und versucht, die Domain vom Netz zu nehmen, um das Phishing zu stoppen und sie wieder zurückzutransferieren. Das sei allerdings mehrere Tage lang an Namecheap gescheitert, die den Gerichtsbeschluss für authentisch gehalten hätten.

Namecheap und Tucows bestätigen den Fall

Letzterem widerspricht Namecheap: "In diesem Fall wurden uns keine verwertbaren Beweise für Phishing oder Missbrauch von Tucows oder Njalla (einem Tucows-Reseller) vorgelegt, und wir haben sofort nach Erhalt der Anfrage für einen Transferstreit eine interne Untersuchung eingeleitet", erklärte Namecheap dem Onlinemagazin Motherboard.

"Als wir den Fall untersuchten [...] stellten wir schnell fest, dass der Gerichtsbeschluss, den uns der neue Registrant zur Verfügung stellte, ein gefälschtes Dokument war. Daraufhin haben wir den Prozess eingeleitet, um die Domains zurück zu Tucows zu transferieren." Um das Phishing zu unterbinden, habe man die Domain zudem suspendiert.

"Unsere Untersuchung der Vorfälle zeigt, dass Tucows das Opfer eines komplizierten Phishing-Schemas war, das unter dem Deckmantel eines geheimen Gerichtsbeschlusses präsentiert wurde. Es handelte sich um einen gezielten Phishing-Angriff mit der direkten Absicht, ausgewählte Domains zu kapern", sagte die Tucows-Sprecherin Madeleine Stoesser. Man habe neue Prozesse implementiert, um solche Probleme zukünftig zu entschärfen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Der Nachfolger von Windows 10
Windows 11 ist da

Nun ist es offiziell: Microsoft kündigt das neue Windows 11 an. Vieles war bereits vorher bekannt, einiges Neues gibt es aber trotzdem.

Der Nachfolger von Windows 10: Windows 11 ist da
Artikel
  1. EE: Britische Netzbetreiber führen wieder Roaming ein
    EE
    Britische Netzbetreiber führen wieder Roaming ein

    Für britische Mobilfunk-Nutzer ist die Zeit des freien Telefonierens in der EU bald vorbei. EE und zuvor O2 und Three haben Einschränkungen angekündigt.

  2. Krypto-Betrug in Milliardenhöhe: Gründer von Africrypt stehlen 69.000 Bitcoin
    Krypto-Betrug in Milliardenhöhe
    Gründer von Africrypt stehlen 69.000 Bitcoin

    Die Gründer der Kryptoplattform Africrypt haben sich offenbar mit 69.000 gestohlenen Bitcoin abgesetzt. Der Betrug deutete sich schon vor Monaten an.

  3. Interview: Avatar und die global beleuchteten Mikrodetails von Pandora
    Interview
    Avatar und die global beleuchteten Mikrodetails von Pandora

    Waldplanet statt The Division: Golem.de hat mit dem Technik-Team von Avatar - Frontiers of Pandora über die Snowdrop-Engine gesprochen.
    Ein Interview von Peter Steinlechner

chefin 07. Mai 2021 / Themenstart

Bullshit, natürlich sind Gerichtsbeschlüsse geheim. Und es kann auch Verschwiegenheit...

Xara 06. Mai 2021 / Themenstart

Ich finde, man sollte in zwielichtigen Gassen Warnschilder aufstellen "Achtung: Dunkle...

Kommentieren


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • AMD Ryzen 5 5600X 251,59€ • Dualsense Midnight Black + R&C Rift Apart 99,99€ • Logitech Lenkrad-Sets zu Bestpreisen [Werbung]
    •  /