Domain-Spoofing, auch als Domainbetrug bekannt, ist eine gängige Form von betrügerischen Verbrechen im Internet. Wie Sie als Unternehmen oder Website-Betreiber von Domain-Spoofing ebenfalls betroffen sein könnten, verraten wir Ihnen in diesem Blogpost anhand von realen Fallbeispielen.
Was ist Domain-Spoofing?
Domain-Spoofing ist eine Form des Internetbetrugs und definiert sich so: Wenn ein Angreifer die Domain eines Unternehmens zu verwenden scheint, um sich als ein Unternehmen oder ein Mitarbeiter dieses Unternehmens auszugeben. Dies kann durch das Versenden von E-Mails mit falschen Domainnamen, die legitim erscheinen, oder durch das Einrichten von Websites mit leicht veränderten Zeichen, die als korrekt gelesen werden, erfolgen.
Beispiel 1 – Penta Bank Spoofing Webseite
Die Penta Bank ist ein deutsches Unternehmen, welches vor allem Konten für Geschäftskunden in Europa anbietet. Dabei wurde die Penta Bank Anfang 2021 Ziel von Domainbetrügern. Die originale Domain der Penta Bank lautet getpenta.com – Betrüger registrierten kurzerhand einfach die Domain GetPenta-Bank.com und versuchten über diese mit einer gefälschten Webseite Login-Daten von Kunden abzugreifen.
Obwohl dieser Betrugsversuch unserer Meinung nach sehr schlecht umgesetzt wurde, bot er dennoch genügend Potential für die Betrüger um an sensible Daten zu gelangen. Trotz optisch sehr abweichenden Webauftritts der Betrüger, gab die Penta Bank unverzüglich eine Warnung an Ihre Kunden heraus um Schäden abzuwenden. Die große Ähnlichkeit der Domain war hier wohl ausschlaggebend.
Beispiel 2 – Media Markt Spoofing Webseite
Media Markt ist die größte Ladenkette für Unterhaltungs- und Elektronikartikel in Deutschland. Natürlich betreibt Media Markt auch eine Webseite inklusive Online-Shop. Genau dieser Shop wurde das Ziel von Domain Spoofing im Jahre 2018.
So sicherten sich Betrüger die Domain MediaMarktDirekt.de und betrieben unter dieser eine Kopie des damaligen Online-Shops. Dabei waren die Details ziemlich überzeugend: Kunden mussten sich so zunächst erst registrieren bevor diese zum Kaufabschluss inkl. Bezahlung gelangten. Im Impressum der Seite fanden sich Angaben einer spanischen Filiale und eines deutschen Geschäftsführers. All diese Tatsachen sorgten dafür, dass etliche Leute auf den Betrug hereinfielen sind und über MediaMarktDirekt.de Bestellungen tätigten. Die Waren wurden selbstverständlich durch die Betrüger niemals ausgeliefert und das Geld der war Opfer verloren.
Beispiel 3 – Maybank Spoofing Webseite
Die Maybank gehört zu den größten Banken in Malaysia und Südostasien. Das Unternehmen wurde im Februar 2021 Opfer eines sehr ausgeklügelten Domain-Spoofing Betrugs. Dabei registrierten die Betrüger die Domain campaginmay2u.com und versuchten auf diese Fake-Webseite mittels Social-Media-Ads ahnungslose Opfer zu locken.
Obwohl sich die originale Domain der Maybank (maybank2u.com.my) doch deutlich von der Spoofing Domain unterscheidet, so macht diese Aufgrund des Promo-Angebotes durchaus Sinn. Zu damaligen Zeit hatte die Maybank nämlich ein Gewinnspiel für Kunden eingerichtet, bei dem Elektronikartikel zur Verlosung standen. Die Betrüger machten genau von diesem Gewinnspiel Gebrauch und nutzten dieses für die gefälschte Landingpage sowie die Social-Media-Ads.
Der Social-Media-Beitrag weist die Benutzer an auf einen Link zu klicken, der sie zu der gefälschten Website führt. Dort wurde dann aufgefordert den Benutzernamen und das Passwort einzugeben um am Gewinnspiel teilzunhemen. Exakt diese Login-Daten konnten dann von den Betrügern verwendet werden, um Zugang zu den realen Bankkonten zu erhalten.
Optisch war die gefälschte Spoofing-Webseite kaum vom Original zu unterscheiden und so sind leider viele Kunden der Maybank auf diesen Betrugsversuch hereingefallen. Die Höhe des entstandenen Schadens durch diesen Spoofing-Angriff ist leider nicht bekannt.
Beispiel 4 – Amazon Spoofing Webseiten
Amazon wird häufig Opfer von Domain-Spoofing. Gerade zu besonderen Anlässen wie Black-Friday oder Prime Day versuchen Betrüger immer wieder ahnungslose Opfer mit gefälschten Amazon Webseiten hinters Licht zu führen.
Laut dem Sicherheitsforschungsunternehmen Check Point, hat sich die Zahl der gefälschten Domains mit den Wörtern „Amazon“ und „Prime“ vor allem in der Zeit rund um die Events Black Friday und Prime Day verdoppelt. Diese Domains sind für Hacker eine einfache Möglichkeit, Kunden dazu zu bringen, ihre sensibelsten Daten wie Kreditkarteninformationen, Namen, Geburtstag, E-Mail- und physische Adressen sowie andere Details auf der bösartigen Website des Hackers einzugeben.
Eine Betrugs-Kampagne zielte dabei auf „Rücksendungen“ oder „Bestellstornierungen“ im Zusammenhang mit dem Prime Day ab. Die URL www.amazoncustomersupport.net wurde registriert, um eine authentische Amazon-Site nachzuahmen.
Generell kommt es immer wieder und in regelmäßigen Abständen vor, dass ähnliche klingende Amazon-Domains mit Fake-Webseiten veröffentlicht werden. Dabei nutzen die Betrüger selbstverständlich auch das Amazon-Logo um millionen von Menschen rund um den Erdball zu schädigen.
Anbei finden Sie ein Beispiel der gefälschten Domain Amazonx.com, welche mit einem täuschend echt aussehenden Login-Formular Kundendaten abgreift.
So einfach kann jede beliebige Webseite für Betrug kopiert und genutzt werden
Damit Sie eine Vorstellung davon erhalten, wie einfach es für Betrüger ist eine exakte Kopie Ihrer Webseite zu erstellen, haben wir für Sie ein kleines Domain Spoofing Experiment vorbereitet.
In unserem Beispiel kopieren wir unsere eigene Startseite domainspace.io und kopieren diese zu einer ähnlichen Domain mit dem Namen Domainspacecloudhost.com.
Betrüger hätten so in nur wenigen Minuten nun ein komplettes Abbild unserer Webseite auf eine ähnlich lautende Domain hochgeladen und könnten so beispielsweise ohne großen Aufwand Kundenlogin-Daten über diese abgreifen.
Hinweis: Um diese Schritte ausführen zu können, müssen Sie in keinerlei Verbindung mit der Webseite stehen oder Zugriff auf den Ursprungsserver haben. Es genügt Ihr öffentlicher Webauftritt und ein moderner Webbrowser. Jeder Laie könnte also die beschriebenen Schritte zum Domainbetrug oder Website-Spoofing ohne besondere IT-Kenntnisse durchführen!
Schritt 1 – Eine ähnlich lautende Domain wird registriert
Am Anfang steht die Registrierung einer ähnlich lautenden Domain durch Betrüger. Ohne entsprechende Schutzmaßnahmen (z.B. Domain-Markenschutz) oder Überwachungstechniken wie unser Monitoring, bleibt diese Registrierung den Opfern meist unbekannt.
Schritt 2 – Eine Serverumgebung wird eingerichtet
Nach der Registrierung einer Fake-Domain richten die Betrüger eine Serverumgebung für die Webseite ein. Dafür kommt vom eigenen Profi-Server irgendwo in China oder Russland, bis hin zum einfachen Billig-Hosting so gut wie alles in Frage.
Um Ihre Spuren zu verwischen und für Behörden gar nicht oder nur schwer greifbar zu sein, werden oftmals Proxy-Services wie Cloudflare zwischengeschaltet. Außerdem ist es in der Regel so, dass die Daten auf einem eigenen Server gehostet werden. Sollte dies nicht der Fall sein, so werden oftmals Server-Anbieter im fernen Ausland genutzt, welche eine komplett anonyme Nutzung der Dienste ermöglichen, die Bezahlung der Dienste erfolgt anonym in Bitcoin. Auf diese Weise werden Betrüger beinahe zu 100% anonym.
Schritt 3 – Die originale Webseite wird kopiert
Nun geht es an das Abgreifen der Daten. Dazu besuchen die Betrüger ganz einfach und regulär Ihre Webseite und laden als normaler Internetnutzer mit einem modernen Browser Ihre Daten mit wenigen Klicks herunter. Wie einfach das in der Praxis tatsächlich ist, sehen Sie hier…
Schritt 4 – Die Kopie der Webseite wird auf den betrügerischen Server geladen
Nachdem eine 1:1 Kopie der Webseite erstellt wurde, wird diese nun auf den Server der Cyberkriminellen hochgeladen. Dies ist ebenfalls mit minimalem technischen Aufwand möglich.
Um Daten abzugreifen sind oftmals noch geringfügige Änderungen am Code der Webseite notwendig. So wird zum Beispiel ein Shop-/Zahlungssystem eingerichtet um Buchung und Bestellungen abzugreifen oder einfache Textfelder, mit denen z.B. Login-Daten gespeichert werden, hinzugefügt. Um diese Änderungen durchzuführen bedarf es im Normalfall nur geringfügiger HTML Kenntnisse, welche Kriminelle dieser Art mit Sicherheit haben.
Anschließend wird noch die gefälschte Domain mit dem Server konnektiert. Dabei wird oftmals Cloudflare als Proxy verwendet. Dies ermöglicht es den Domain-Spoofern ganz einfach die reale Server-IP zu verschleiern.
Schritt 5 – Eine exakte Kopie der Webseite ist öffentlich zugänglich
Nachdem nun diese sehr einfachen Schritte ausgeführt wurden, ist eine Webseiten-Kopie unter gefälschtem Domainnamen erreichbar. Außerdem könnten Betrüger so auch Mailserver einrichten. Über diese könnten durch sogenanntes Phishing, Daten bei Kunden abgegriffen werden. Auch hier spielt die gefälschte Domain wieder eine entscheidende Rolle und unachtsame Kunden/User fallen oftmals auf diese Betrugsversuche herein.
Schritt 6 – Betrüger greifen Daten ab oder Missbrauchen ihren Namen in anderer Weise
Der letzte Schritt ist letztendlich das Einfahren der Ernte. Mit dem gefälschten Internetauftritt greifen die Betrüger nun Login- oder Kreditkartendaten ab. Auch gefälschte Online-Shops oder Buchungs-Webseiten sind denkbar.
Um Zahlungen zu erhalten, Nutzen die Betrüger oftmals Konten im Ausland die auf anderen Namen eröffnet wurden. Auch elektronische Zahlungsanbieter sind denkbar. Wenn das Domain-Spoofing sorgfältig geplant wurde, ist es nur sehr schwer bis unmöglich die realen Hintermänner bei solchen Betrügereien ausfindig zu machen.
Oftmals sitzen die Cyberkriminellen im fernen Ausland. Besonders in Ländern, wo Behörden nur mit geringen technischen Möglichkeiten arbeiten, fühlen sich Betrüger dieser Art wohl. Vor allem Südostasien ist ein Mekka für Cyberkriminelle aus aller Welt.
Doch auch in Europa wissen viele Behörden mit solchen Fällen nicht umzugehen. So gibt es etliche Fälle, bei denen Internetbetrug der lokalen Polizeistation gemeldet wurde. Die Beamten vor Ort wissen aber meist nicht damit umzugehen oder zu ermitteln. Umso wichtiger ist es also den Schutz Ihres Unternehmens im Internet selbst in die Hand zu nehmen.
So schützen Sie sich vor Domain-Spoofing
Wie Sie Ihren Internetauftritt gegen Betrug, Identitätsdiebstahl und Domain Spoofing absichern können, haben wir bereits ausführlich in einem weiteren Blogbeitrag zusammengefasst. Generell können Ihnen die Domainspace Services rund um den Markenschutz auf Domainebene beim Schutz gegen Cyber-Kriminelle helfen.
Haben Sie noch Fragen? Hinterlassen Sie ein Kommentar oder kontaktieren Sie uns über den Support-Bereich.
