Betrug mit "Priority Expiration Notice"

Derzeit versuchen wieder Betrüger, mit einer ebenso hinterhältigen wie alten Masche an das Geld von Homepage-Betreibern zu kommen.

Eine Firma, die sich “Domain Registration Services” nennt, versendet dazu eine Rechnungsähnliche E-Mail in englischer Sprache. Der Firmenname soll offenbar dahingehend täuschen, die Mail komme von der für .com zuständigen Domain-Registry. Die Überschrift “Priority Expiration Notice” soll dann den irreführenden Eindruck erwecken, der Homepage-Betreiber müsse für die Erneuerung seiner Domain einen Betrag von 75 Dollar überweisen.

Diese "Rechnung" müssen Sie nicht zahlen. Tatsächlich erhält der Homepagebetreiber jedoch in einem geschwurbelten Text einen für ihn wahrscheinlich völlig wertlosen Eintrag in einer dubiosen Suchmaschine angedreht – das eigentliche Produkt: “Your registration includes search engine submission for SCHACHBUCH.COM for 1 year.”

Ähnliche Fälle gab es schon früher. Auch bei dem aktuellen Angebot handelt es sich um Scam, zu Deutsch “Vorschussbetrug”.

Alle Links in der Mail enthalten einen Trackingcode, über welchen der Absender feststellen kann, welcher Domaininhaber seine Mail erhalten und gelesen hat. Die Zusendung der Mail erfolgt ohne Anforderung, ist somit Spam und daher auch nach US-Gesetzgebung illegal.

Klickt man auf den Link “Online Payment 128Bit secure”, wird man aufgefordert auf der Webseite www.renewalregistra.com seine Kreditkartendaten einzugeben und bis zu 450 Dollar für eine zehnjährige Registrierung zu überweisen. Die Bezahlung soll angeblich sicher per https erfolgen, allerdings stimmt dies nicht.

Wir haben weiter recherchiert: Als Inhaber der Domain www.renewalregistra.com ist seit 24. Mai eine Allie Lee, wohnhaft 130W 57th Street # 12B in New York, eingetragen. Unter der dazu gehörigen Telefonnummer ist ein Anrufbeantworter erreichbar. Als weiterer Kontakt ist die Mail-Adresse allielittlemuffin@yahoo.com hinterlegt – wahrscheinlich kaum nachvollziehbar, wer in Wahrheit dahinter steckt.

Bei der Bestellung einer Domain muss jeder Domaininhaber diese Daten angeben. Diese müssen an die Registry jeder TLD (Top Level Domain) mitgeteilt werden – beispielsweise bei der deutschen DENIC für .de Domains, oder bei Verisign für .com. Offenbar hat “Domain Registration Services”  die Domaindaten der angeschriebenen Kunden bei den im Netz zugänglichen Whois-Datenbank “geharvestet” – was nicht erlaubt ist.

Das 1&1 Abuse-Team will die Sache deshalb nicht auf sich beruhen lassen und hat die Probe auf’s Exempel gemacht. 75 Dollar wurden per Kreditkarte an “Domain Registration Services” überwiesen, um die weitere Entwicklung zu verfolgen und gegebenenfalls Anzeige zu erstatten. “Sobald wir etwas neues herausfinden, werden wir hier im Blog darüber berichten”, verspricht Security-Experte Thorsten Kraft. Außerdem wurde die Domain renewalregistra.com und einige weitere, die damit verbunden sind, gleich in die GMX und WEB.DE Toolbar aufgenommen. Millionen Nutzer der kostenlosen Toolbar werden somit ab sofort wirkungsvoll vor dieser und anderen betrügerischen Webseiten gewarnt.

Derweil ist Domaininhabern unbedingt davon abzuraten, das “Angebot” anzunehmen und ihre Kreditkartendaten ungesichert an die dubiose Firma zu übersenden. Bei 1&1 gehört die “Domain Renewal” übrigens zum Inklusiv-Service: Solange der Homepagevertrag nicht gekündigt wird, übernimmt 1&1 auch die Zahlung der echten “Domain Renewal” – an die wirkliche Registry.

Kategorie: Netzkultur | Server & Hosting
10 Kommentare
  1. 1. Juni 2011 um 16:35 |

    Hallo, das ist ja unglaublich aber ich glaube mich zu erinnern auch schon so eine Mail bekommen zu haben. Am besten immer die Mails genau lesen, aber das ist wahrscheinlich schon bekannt.

  2. 3. Juni 2011 um 16:32 |

    Mal eine ganz doofe Frage dazu: Ist das nicht ein wenig vergebene “Liebesmüh”?

    Was will man damit erreichen, dass man diese $75 indirekt auf Kosten der Kunden aufs Spiel setzt? Kann mir nämlich gut vorstellen, dass das Kreditkartenunternehmen das als Fahrlässigkeit wertet. ;)

    Einfach solche Mails nicht beachten und immer grundsätzlich im Textmodus öffnen. Und “offizielle” E-Mails von Absenderadressen á la @yahoo.com, @web.de, … sind doch eh unglaubwürdig.

    1. 6. Juni 2011 um 12:36 |

      Hallo Lars Ewald,

      für den normalen Kunden ist die Zahlung der 75$ nicht zur Nachahmung empfohlen. Das kann riskant sein und tatsächlich weitere Folgen nach sich ziehen, wie mehrfache Abbuchungen oder Weiterverkauf der Kreditkartendaten.

      Unsere Abuse-Abteilung nutzt für solche Ermittlungen jedoch spezielle Kreditkartennummern. Die Spezialisten dort kennen auch das Risiko durch ihre tätgliche Arbeit. Falls ein Missbrauch entsteht, gewinnen sie wertvolle Erkenntnisse und können so 1&1-Kunden noch besser vor Internet-Kriminalität schützen. Dass dies nicht vergebliche Liebesmühe ist, zeigen die Erfolge der Arbeit der 1&1-Abuse-Spezialisten. Wer mehr darüber wissen möchte, findet hier vier Links:
      http://presse.1und1.de/xml/article?article_id=378
      http://www.dsl-magazin.de/news/bka-fasst-versender-von-gefaelschten-1und1-rechnungen_22018.html
      http://presse.1und1.de/xml/article?article_id=743
      http://blog.1und1.de/2010/09/15/11-sagt-online-betruegern-den-kampf-an/

      Dein Tipp, solche Mails am besten zu löschen und wenn nur im Textmodus zu öffnen, ist immer richtig. Wenn man E-Mails anhand von Maildienst-Absenderangaben beurteilt, sollte man jedoch differenzieren. Deutsche Kreditagenturen haben beispielsweise nachgewiesen, dass bei E-Commerce-Transaktionen Mailadressen deutscher Freemailer wie @web.de oder @freenet.de prozentual wesentlich weniger Zahlungsausfälle aufweisen als die ausländischer Dienste. Das man betrügerische Mails häufig an Freemailer-Adressen erkennen könnte, entspricht auch nicht unbedingt dem aktuellen Stand. Der Domain-Scam zum Beispiel stammt von einer Mailadresse @whchcar.com.

  3. 3. Februar 2012 um 09:33 |

    Kann es sein, dass es sich bei dem Spam, den ich heute erhalten habe, um dieselbe Firma handelt? Einiges darin ist ein bisschen abgeändert: “Registration Expiration”, Mail von Notice Domain Expiring < noreply@urldomairegis.com Bemerkenswert, dass es domairegis heißt und nicht domainregis.com. Ich meine, dass man manchmal Spam auch ganz einfach an Schreibfehlern oder an falschem Englisch erkennen kann. Wenn Sie mir Ihre E-Mail angeben, schicke ich Ihnen den allerneuesten Spam dieser Firma, dann können Sie Ihre Nachforschungen machen… und viel Spaß dabei.

Die Kommentare sind geschlossen.