Phishing: Domain mit gefälschtem Gerichtsbeschluss übernommen

Ein Betrüger hat mit einem gefälschten Gerichtsbeschluss die Domain Dark.fail übernommen, die Handelsplätze im Darknet auflistet. Die Links zu den Handelsplätzen ersetzte der Betrüger und verwies auf Kopien unter seiner Kontrolle, die darauf ausgelegt sind, die Bitcoins von Nutzern zu stehlen.

Jede Seite habe echt ausgesehen, aber alle Benutzeraktivitäten mit dem Angreifer geteilt, einschließlich Passwörter und Nachrichten, schreibt Dark-fail in einer Erklärung. Die angzeigten Kryptowährungsadressen seien auf Adressen umgeschrieben worden, die vom Phisher kontrolliert wurden. Dadurch sei das Geld vieler Leute abgefangen worden.

Den Angaben zufolge sind alle Nutzer betroffen, die den Links auf der Webseite zwischen dem 29. April und dem 5. Mai gefolgt sind. Mittlerweile befindet sich die Domain wieder im Besitz des Admins. "Ich hatte 2FA und PGP auf diesem Konto aktiviert. Ich bin kein Idiot, wenn es um Sicherheit geht", sagte der Admin der Webseite mit dem Pseudonym Dark Fail zum Onlinemagazin Motherboard, nachdem seine Webseite übernommen worden war.

Registrar Tucows fiel auf gefälschten Gerichtsbeschluss vom Amtsgericht Köln herein

Die Domain Dark.fail ist beim datenschutzbewussten Domainhoster Njalla von Piratebay-Gründer Peter Sunde registriert. Dort wird auf die Dienste des US-Registrars Tucows zurückgegriffen, wie Sunde auf Twitter erklärt. Demnach erhielt Tucows am 28. April einen gefälschten Gerichtsbeschluss des Amtsgerichts Köln. Zwei der betroffenen Domains seien bei Njalla, eine weitere beim Anbieter Hover registriert gewesen, heißt es.

"Das PDF sieht aus wie eine echte Gerichtsverfügung, ich habe schon viele davon gesehen", schrieb Sunde. "Aber es ist Fake." In dem gefälschten Dokument werde auf einen Paragrafen verwiesen, der auch im Fall der Domain Kino.to verwendet worden sei. Zudem sei eine Nachrichtensperre verfügt worden, die untersage, dass Njalla informiert werden dürfe.

Sunde vermutet, dass der gefälschte Gerichtsbeschluss per E-Mail von der Domain agkoeln-nrw.de versendet wurde. Die offizielle Domain des Amtsgerichts Köln sei jedoch ag-koeln.nrw.de. Diese Phishingdomain ist beim Registrar Namecheap registriert, zu dem auch die Domain Dark.fail übertragen wurde.

Tucows sei offensichtlich auf das gefälschte Gerichtsdokument hereingefallen und habe den Domain-Transfer erlaubt. Kurze Zeit später hinterlegte der Betrüger neue Inhalte und begann, die Daten der Betroffenen zu phishen. Njalla habe Tucows informiert, schreibt Sunde. Dort habe man ebenfalls sehr schnell reagiert und versucht, die Domain vom Netz zu nehmen, um das Phishing zu stoppen und sie wieder zurückzutransferieren. Das sei allerdings mehrere Tage lang an Namecheap gescheitert, die den Gerichtsbeschluss für authentisch gehalten hätten.

Namecheap und Tucows bestätigen den Fall

Letzterem widerspricht Namecheap: "In diesem Fall wurden uns keine verwertbaren Beweise für Phishing oder Missbrauch von Tucows oder Njalla (einem Tucows-Reseller) vorgelegt, und wir haben sofort nach Erhalt der Anfrage für einen Transferstreit eine interne Untersuchung eingeleitet", erklärte Namecheap dem Onlinemagazin Motherboard.

"Als wir den Fall untersuchten [...] stellten wir schnell fest, dass der Gerichtsbeschluss, den uns der neue Registrant zur Verfügung stellte, ein gefälschtes Dokument war. Daraufhin haben wir den Prozess eingeleitet, um die Domains zurück zu Tucows zu transferieren." Um das Phishing zu unterbinden, habe man die Domain zudem suspendiert.

"Unsere Untersuchung der Vorfälle zeigt, dass Tucows das Opfer eines komplizierten Phishing-Schemas war, das unter dem Deckmantel eines geheimen Gerichtsbeschlusses präsentiert wurde. Es handelte sich um einen gezielten Phishing-Angriff mit der direkten Absicht, ausgewählte Domains zu kapern", sagte die Tucows-Sprecherin Madeleine Stoesser. Man habe neue Prozesse implementiert, um solche Probleme zukünftig zu entschärfen.