Phishing: Domain mit gefälschtem Gerichtsbeschluss übernommen

Mit einem gefälschten Beschluss des AG Köln ist eine Domain übernommen und für Bitcoin-Phishing auf Darknet-Handelsplätzen missbraucht worden.

Artikel veröffentlicht am ,
An dem gefälschten Gerichtsbeschluss war Justitia nicht beteiligt.
An dem gefälschten Gerichtsbeschluss war Justitia nicht beteiligt. (Bild: Edward Lich/Pixabay)

Ein Betrüger hat mit einem gefälschten Gerichtsbeschluss die Domain Dark.fail übernommen, die Handelsplätze im Darknet auflistet. Die Links zu den Handelsplätzen ersetzte der Betrüger und verwies auf Kopien unter seiner Kontrolle, die darauf ausgelegt sind, die Bitcoins von Nutzern zu stehlen.

Stellenmarkt
  1. IT-Systemadministrator / Fachinformatiker für Systemintegration (m/w/d)
    andagon people GmbH, Köln
  2. Ingenieur (m/w/d) Netzberechnung Datenhaltung
    Amprion GmbH, Pulheim
Detailsuche

Jede Seite habe echt ausgesehen, aber alle Benutzeraktivitäten mit dem Angreifer geteilt, einschließlich Passwörter und Nachrichten, schreibt Dark-fail in einer Erklärung. Die angzeigten Kryptowährungsadressen seien auf Adressen umgeschrieben worden, die vom Phisher kontrolliert wurden. Dadurch sei das Geld vieler Leute abgefangen worden.

Den Angaben zufolge sind alle Nutzer betroffen, die den Links auf der Webseite zwischen dem 29. April und dem 5. Mai gefolgt sind. Mittlerweile befindet sich die Domain wieder im Besitz des Admins. "Ich hatte 2FA und PGP auf diesem Konto aktiviert. Ich bin kein Idiot, wenn es um Sicherheit geht", sagte der Admin der Webseite mit dem Pseudonym Dark Fail zum Onlinemagazin Motherboard, nachdem seine Webseite übernommen worden war.

Registrar Tucows fiel auf gefälschten Gerichtsbeschluss vom Amtsgericht Köln herein

Die Domain Dark.fail ist beim datenschutzbewussten Domainhoster Njalla von Piratebay-Gründer Peter Sunde registriert. Dort wird auf die Dienste des US-Registrars Tucows zurückgegriffen, wie Sunde auf Twitter erklärt. Demnach erhielt Tucows am 28. April einen gefälschten Gerichtsbeschluss des Amtsgerichts Köln. Zwei der betroffenen Domains seien bei Njalla, eine weitere beim Anbieter Hover registriert gewesen, heißt es.

Golem Akademie
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    14.-16.06.2022, Virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    11.-14.07.2022, Virtuell
Weitere IT-Trainings

"Das PDF sieht aus wie eine echte Gerichtsverfügung, ich habe schon viele davon gesehen", schrieb Sunde. "Aber es ist Fake." In dem gefälschten Dokument werde auf einen Paragrafen verwiesen, der auch im Fall der Domain Kino.to verwendet worden sei. Zudem sei eine Nachrichtensperre verfügt worden, die untersage, dass Njalla informiert werden dürfe.

Sunde vermutet, dass der gefälschte Gerichtsbeschluss per E-Mail von der Domain agkoeln-nrw.de versendet wurde. Die offizielle Domain des Amtsgerichts Köln sei jedoch ag-koeln.nrw.de. Diese Phishingdomain ist beim Registrar Namecheap registriert, zu dem auch die Domain Dark.fail übertragen wurde.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Tucows sei offensichtlich auf das gefälschte Gerichtsdokument hereingefallen und habe den Domain-Transfer erlaubt. Kurze Zeit später hinterlegte der Betrüger neue Inhalte und begann, die Daten der Betroffenen zu phishen. Njalla habe Tucows informiert, schreibt Sunde. Dort habe man ebenfalls sehr schnell reagiert und versucht, die Domain vom Netz zu nehmen, um das Phishing zu stoppen und sie wieder zurückzutransferieren. Das sei allerdings mehrere Tage lang an Namecheap gescheitert, die den Gerichtsbeschluss für authentisch gehalten hätten.

Namecheap und Tucows bestätigen den Fall

Letzterem widerspricht Namecheap: "In diesem Fall wurden uns keine verwertbaren Beweise für Phishing oder Missbrauch von Tucows oder Njalla (einem Tucows-Reseller) vorgelegt, und wir haben sofort nach Erhalt der Anfrage für einen Transferstreit eine interne Untersuchung eingeleitet", erklärte Namecheap dem Onlinemagazin Motherboard.

"Als wir den Fall untersuchten [...] stellten wir schnell fest, dass der Gerichtsbeschluss, den uns der neue Registrant zur Verfügung stellte, ein gefälschtes Dokument war. Daraufhin haben wir den Prozess eingeleitet, um die Domains zurück zu Tucows zu transferieren." Um das Phishing zu unterbinden, habe man die Domain zudem suspendiert.

"Unsere Untersuchung der Vorfälle zeigt, dass Tucows das Opfer eines komplizierten Phishing-Schemas war, das unter dem Deckmantel eines geheimen Gerichtsbeschlusses präsentiert wurde. Es handelte sich um einen gezielten Phishing-Angriff mit der direkten Absicht, ausgewählte Domains zu kapern", sagte die Tucows-Sprecherin Madeleine Stoesser. Man habe neue Prozesse implementiert, um solche Probleme zukünftig zu entschärfen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


chefin 07. Mai 2021

Bullshit, natürlich sind Gerichtsbeschlüsse geheim. Und es kann auch Verschwiegenheit...

Xara 06. Mai 2021

Ich finde, man sollte in zwielichtigen Gassen Warnschilder aufstellen "Achtung: Dunkle...



Aktuell auf der Startseite von Golem.de
Nordvpn, Expressvpn, Mullvad & Co
Die Qual der VPN-Wahl

Wer sicher im Internet unterwegs sein will, braucht ein VPN - oder doch nicht? Viele Anbieter kommen jedenfalls gar nicht erst in Frage.
Von Moritz Tremmel

Nordvpn, Expressvpn, Mullvad & Co: Die Qual der VPN-Wahl
Artikel
  1. Autoindustrie: Mit handgeknüpften Kabelbäumen gegen die Lieferkrise
    Autoindustrie
    Mit handgeknüpften Kabelbäumen gegen die Lieferkrise

    Der Krieg in der Ukraine unterbricht die Lieferkette bei den Kabelbäumen. Jetzt suchen Autohersteller nach neuen Produktionswegen.
    Von Wolfgang Gomoll

  2. Mobile Workstation: Neues Thinkpad P16 bekommt 157-Watt-Chip und vier RAM-Slots
    Mobile Workstation
    Neues Thinkpad P16 bekommt 157-Watt-Chip und vier RAM-Slots

    Mittels Alder Lake HX und viel Platz für weitere Hardware dürfte das Thinkpad P16 eine leistungsfähige Workstation in Notebook-Form sein.

  3. Homeoffice: Bastler baut Gestell für die liegende Büroarbeit im Bett
    Homeoffice
    Bastler baut Gestell für die liegende Büroarbeit im Bett

    Der Bildschirm über dem Kopf, die Tastatur hängt herab: Das Homeoffice aus dem Bett heraus funktioniert - mit Handwerk und Kreativität.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /