
4 APRIL 2023
Domains nicht mehr erneuern – mehr als eine leere Webseite – das Geschäftsmodell mit aufgegebenen Domains
Domains sinnvoll nutzen, auch nach dem Auslaufen lassen: global IP action unterstützt sie gerne.

Aufgegebene Domänen im Visier von Geschäftemachern
Viele Domäneninhaber kennen das Problem: Man besitzt Domänen, die eigentlich nicht mehr benötigt werden und überlegt sich, diese zu kündigen, da sie jährliche Gebühren generieren. Es machen sich aber nur die Wenigsten Gedanken, dass nach der Kündigung jede und jeder die Domäne wieder registrieren kann und darauf Inhalte nach Belieben platzieren kann. Das NCSC erhielt in der Vergangenheit immer wieder Meldungen, in denen sich ehemalige Domänenbesitzer beschwert haben, dass nun dubiose Webshops oder Webseiten mit Erwachsenenangeboten unter der URL der alten Webseite angezeigt werden. Im Visier stehen dabei vor allem die Domänen, welche zwar über einen kleinen, aber dennoch für Angreifer interessanten Besucherkreis verfügen. Dabei wird vom Angreifer das von der originalen Website aufgebaute Ranking in den Suchmaschinen ausgenutzt. Falls ein entsprechender Suchbegriff eingegeben wird, taucht dann nicht die ursprüngliche, sondern eben die wiederauferstandene, vom Angreifer neu gelöste Domäne und deren Inhalte an der alten Position im Suchmaschinen-Ranking auf.
Auch letzte Woche wurden dem NCSC eine Reihe angeblich betrügerischer Webseiten gemeldet. Auffällig dabei ist, dass alle Domänen bei der gleichen Firma registriert worden sind und die Erstregistration bereits einige Zeit zurückliegt. Der Verdacht liegt also nahe, dass auch in diesem Fall die Reputation der Webseiten verwendet wird, um für betrügerische Produkte zu werben. Tatsächlich stellte sich schnell heraus, dass alle Domänen vor kurzem den Besitzer gewechselt hatten.
Nur eine leere Webseite nach dem Aufruf – oder doch mehr?
Der direkte Aufruf der verdächtigen Webseite zeigte auf den ersten Blick jedoch nichts Verdächtiges, sondern nur eine leere Seite. Eine vertieftere Analyse durch das NCSC ergab, dass hinter der Seite weit mehr steckt. Schaut man auf den Quelltext, findet man Javascript-Befehle, welche den sogenannten Referrer überprüfen, also schauen, über welchen Link man die Seite geöffnet hat. Wird die Webseite über eine gängige Suchmaschine oder Social-Media-Seiten aufgerufen, dann wird das Opfer auf eine präparierte Webseite weitergeleitet. Wird die Seite von einer nicht im Skript aufgelisteten Domäne aufgerufen oder wird die Adresse direkt in die Adresszeile des Browsers eingegeben, wird nichts respektive die leere Seite eingeblendet.

Arbeitsteilung und Geschäftsmodell «Weiterleitung»
Die präparierte Webseite enthält eine Weiterleitung auf einen Webauftritt, welcher für ein dubioses Investment-Angebot wirbt. Es wird so versucht, möglichst viele potentielle Opfer auf die Webseite zu bringen und zu einem «unwiderstehlichen» Investment zu verleiten. Auf der Werbeseite selbst wird Bezug auf die Fernsehsendung «Höhle der Löwen» genommen und behauptet, dass die Investitionsmethode so gut sei, dass der Sender die Sendung nicht ausstrahlen dürfe.

Empfehlungen:
- Seien Sie sich bewusst, dass eine aufgegebene Domäne (der registrierte Name der Webseite) von anderen reserviert und allenfalls betrügerisch verwendet werden kann.
- Falls Sie eine Domäne aufgeben wollen, prüfen Sie, ob diese ein gewisses Ranking in den Suchmaschinen erreicht. Wenn Sie die Domäne noch einige Zeit behalten, aber sich kein Inhalt mehr darauf befindet, verliert diese automatisch ihr Ranking und wird dadurch unattraktiv.
Quelle: 04.04.2023 – NCSC