Derzeit läuft ein Phishingversuch der darauf abzielt, Logindaten für das Kundenmenü von domainfactory-Kunden zu erhalten. Hierzu versenden die Angreifer eine E-Mail, die angeblich von uns stammen soll und den Kunden zum Login in sein Kundenmenü auffordert. Der zugehörige Link führt jedoch natürlich nicht zu der echten Kundenmenü-Loginseite sondern zu einer gefälschten Webseite, auf der die von unbedarften Anwender angegebenen Zugangsdaten abgefangen werden sollen.
Siehe dazu auch:
Um unsere Kunden zu warnen, haben wir auf der Startseite www.df.eu bereits ein Informationsfenster eingebaut, welches den regulären Seiteninhalt überlagert und haben auch unsere Statusseite entsprechend aktualisiert. Darüber hinaus versenden wir zur Stunde bereits eine Infomail an alle Kunden.
Hier der Inhalt unserer Rundmail:
Sehr geehrte Kundin, Sehr geehrter Kunde,
derzeit werden im Namen von domainFACTORY E-Mails versendet mit der Aufforderung, die Zugangsdaten zu Ihrem Kundenmenü zu ändern. Bitte beachten Sie, dass es sich hierbei um einen so genannten Phishing- Versuch handelt, mit welchen von unberechtigten Dritten versucht wird, Ihre Zugangsdaten zu erhalten!
ACHTUNG – WICHTIG: Klicken Sie bitte nicht auf den in der E-Mail enthaltenen Link und geben Sie dort nicht Ihre Zugangsdaten ein!
Diese Aufforderung wird von unberechtigten Dritten versendet und versucht lediglich den Eindruck zu erwecken, von domainFACTORY versendet worden zu sein. Ein Beispiel für den Wortlaut dieser Nachricht finden Sie ganz unten in dieser E-Mail.
Sofern Sie eine solche E-Mail erhalten haben sollten und Ihre Zugangsdaten aufgrund dieser Nachricht geändert haben, loggen Sie sich bitte umgehend in Ihr richtiges Kundenmenü bei domainFACTORY ein und ändern dort Ihr Passwort, um Ihren Account vor unberechtigten Zugriffen zu schützen. Sie erhalten mit dieser E-Mail bewusst keinen Link zum Kundenmenü-Login, vielmehr bitten wir Sie, die Ihnen bereits bekannte Adresse zu nutzen oder bei Bedarf einfach unsere Webseite zu besuchen und von dort auf die Anmeldeseite des Kundenmenüs weiterzugehen.
Diese Phishing-Nachrichten werden von den Urhebern derzeit übrigens ziellos an viele E-Mail-Adressen versendet, in vielen uns bekannten Fällen haben auch Adressaten diese Nachricht erhalten, die nicht bei domainFACTORY Kunde sind. Es hat somit kein unberechtigter Zugriff auf Ihre bei uns hinterlegten persönlichen Daten stattgefunden.
Bei Rückfragen stehen wir Ihnen selbstverständlich jederzeit gerne zur Verfügung.
…
Beispiel-Wortlaut der Phishing-Nachricht:
—————————————-
Achtung Domain Factory-Kunde,
Es ist eine ungewöhnliche Tätigkeit in Ihrem df.eu Package und es beeinfluss unsere Server. Wir sind das Senden dieser E-Mail an Sie Um Sie über Reinigung Ihres Kontos,
Es wird empfohlen, den Login-Button klicken, um Ihr Konto reinigen oder Ihr Konto wird Gesperrt Vorübergehend.
—————————————-
Grundsätzlich ist es ratsam, selbst bei glaubhaften E-Mails die zu einer Aktualisierung, einem Login oder einer sonstigen Option auffordern, die zugehörige und selbst bekannte Adresse händisch in den Browser einzugeben. Keinesfalls sollte jedenfalls auf irgendwelche Links in solchen Nachrichten geklickt werden. Und im Zweifelsfall ist ein Anruf beim Kundenservice unter Nutzung der gewohnten Rufnummer ratsam, um die Echtheit der Mitteilung zu verifizieren.
Abschließend möchten wir, wie bereits im obigen Newsletter bereits erwähnt, nochmals darauf hinweisen, dass die Phishingnachrichten derzeit anscheinend wahllos verteilt werden und z.B. auch an Personen gesendet werden, die überhaupt kein Kunde bei uns sind. Grundsätzlich ist es jedoch auch denkbar, dass ein Angreifer z.B. gezielt und automatisiert Webseiten nach E-Mailadressen “abgrast” und danach versucht, die zugehörigen Domainnamen einem Provider zuzuordnen, um die Phishingmails entsprechend “personalisieren” zu können. Darüber hinaus gibt es teilweise auch in öffentlichen Whoisdatenbanken frei einsehbare Informationen, die für solche individuell angepassten Nachrichten verwendet werden könnten. Es ist daher wichtig, auch bei glaubwürdig erscheinenden E-Mails nicht “blind” auf die Richtigkeit des Inhalts zu vertrauen.
Übrigens: Browser wie Googles Chrome erkennen die Seite in der Phishingnachricht beworbene Seite bereits als unseriös und blenden eine Warnmeldung an.
[Nachtrag 16:15 Uhr] Da die Betrugsseite Inhalte von unserer Domain einblendet, haben wir bereits gegen 15:20 Uhr den abgerufenen JavaScript Code so geändert, dass bei Aufruf der Phishingseite mit aktiviertem JavaScript nur noch eine “Achtung: Betrugsseite!”-Warnung erscheint. Dies nur noch der Vollständigkeit halber als Hinweis an dieser Stelle. Achtung: Darauf verlassen sollte man sich natürlich nicht, immerhin können die Täter die von uns ergriffene Maßnahme leicht umgehen oder auch einfach eine andere Internetadresse in die Phishingmails einbauen.
Herr Dreist hat eine GmbH gegründet, deren Geschäftsführer und einziger Beschäftigter er ist. Dieser GmbH geht es nicht gut und die Zahlungsunfähigkeit ist absehbar. Was also macht Herr Dreist? Er geht nicht etwa zum Insolvenzverwalter um zu retten, was zu retten ist oder wenigstens die ordentliche Abwicklung zu ermöglichen. Sondern erklärt sich vorher noch selbst fluchs zum Einzelunternehmer und versucht, alle Vermögenswerte einschließlich Domainnamen und Inhalten von der kurz vor dem Abrund stehenden GmbH abzuziehen, damit noch vorhandenes Vermögen möglichst nicht als Teil der Insolvenzmasse untergehen. Das ist zwar strafbar, aber Herr Dreist nimmt das eben nicht so genau.
Also wird auch gleich beim Provider der GmbH ein neuer Vertrag von Herrn Dreist persönlich abgeschlossen und die Übertragung der Domainnamen der GmbH auf Herrn Dreist beantragt. Damit könnte er das bisherige Geschäft ungetrübt von den Problemen seiner Gesellschaft fortführen und die Gläubiger (zu denen auch der Provider gehört) würden in die Röhre schauen.
Dumm nur, wenn der besagte Provider auf diesen Sachverhalt aufmerksam wird und sich querstellt. Denn auch wenn die juristische Person der GmbH auf der einen Seite und die natürliche Person auf der anderen Seite keineswegs rechtlich identisch sind, müssen wir uns nicht künstlich “dumm und blind” stellen, wenn wir unlautere Absichten bemerken. Zumal uns als Vertragspartner der bestehenden GmbH auch daran gelegen ist, dass nicht mit unserer Hilfe von dort Vermögenswerte (zu denen Domainnamen zählen, zumal wenn darüber Kunden akquiriert werden) zum Schaden der Gesellschaft verschoben werden.
Zumal, am Rande bemerkt, ja auch noch die bereits oben erwähnten offene Posten bei uns bestehen und wir in solchen Fällen Abtretungen und Vertragsübernahmen außer im besonderen Einzelfall ablehnen. Denn leider mussten wir feststellen, dass nach einem solchen Schritt die Bereitschaft zum Ausgleich der offenen Posten meistens gegen Null sinkt.
Es kann jedenfalls kaum verwundern, dass Herr Dreist die Entscheidung seines Providers keineswegs verstehen möchte sondern sich empört darüber zeigt, dass seinem Wunsch nicht entsprochen wird. Denn er als Einzelunternehmen und die GmbH hätten ja gar nichts miteinander zu tun… Wir reagieren jedenfalls allergisch auf solche Versuche und behalten uns vor, den Sachverhalt in sehr eindeutigen Fällen der zuständigen Staatsanwaltschaft und dem Insolvenzverwalter zur Prüfung vorzulegen. Denn bei allem Verständnis für die unangenehme Situation bei einer Zahlungsunfähigkeit ist es eben völlig inakzeptabel, wenn “noch mal eben schnell” Vermögenswerte verschoben und damit die von Zahlungsunfähigkeit bedrohte Firma weiter geschwächt und letzten Endes deren Gläubiger vorsätzlich geschädigt werden.
Siehe hierzu auch: “Wenn die Domain schnell noch vor der Insolvenz aus dem Unternehmensvermögen herausgelöst wird”
Kulanz ist für uns etwas schönes und wichtiges, weshalb wir sie gerne praktizieren und uns dabei mitunter weit aus dem Fenster lehnen, um mehr als nur einmal beide Augen zuzudrücken. Manchmal meinen Kunden jedoch, dieses entgegenkommende Verhalten ausnutzen und uns für dumm verkaufen zu müssen. Und wundern sich dann, wenn sie irgendwann mit dem Kopf gegen eine (sanft gepolsterte 
) Wand rennen.
So auch in einem aktuellen Fall, bei dem sich ein Kunde beschwert hat. Er hätte nach einer Rücklastschrift sozusagen in gutem Glauben erwartet, dass wir den offenen Betrag erneut abbuchen und sei nun gesperrt worden. Trotz seiner sofortigen Reaktion in Form einer Überweisung stelle sich unser Kundenservice auf stur und verweigere die Freischaltung des Accounts vor Eingang des Geldes bei uns.
Das liest sich natürlich erst einmal dramatisch und hat intern mehrere Alarmglocken läuten lassen. Immerhin nehmen wir nicht von Haus aus an, dass uns Kunden Unsinn erzählen sondern unterstellen erst einmal, dass die uns gegenüber gemachten Angaben (ungefähr) stimmen und wirklich etwas ganz schrecklich schief gelaufen sein könnte.
Ist es aber nicht.
Denn die Tatsachen unterscheiden sich ganz deutlich von dem, was in der rührselig geschriebenen E-Mail vorgetragen worden ist:
- Der Kunde hatte in den vergangenen Monaten bereits ungezählte offene Posten, die er wiederholt so lange nicht bezahlt hat, dass es zu einer Accountsperrung gekommen ist.
- In mehreren Fällen wurde dem Kunden die Sperrung aus Kulanz auf seine Bitte hin bereits vor Geldeingang aufgehoben.
- Bei allen früheren Außenständen war bereits jeweils der Ausgleich per Überweisung erforderlich, worauf wir ja auch in allen Zahlungserinnerungen sehr eindeutig hinweisen.
- Im aktuellen Fall bestehen die offenen Posten seit mehr als 6 Wochen und wurden wöchentlich angemahnt.
- In all diesen Zahlungserinnerungen wurde erneut – wie auch bei den früheren Außenständen – darauf hingewiesen, dass eine Überweisung des offenen Betrages erforderlich ist.
- Erst die erneute Accountsperrung hat nun zu einer in Aussicht gestellten Zahlung geführt – und zum ersten Mal wurde dieses Mal diese Aussicht nicht schon wieder in Form einer Vorab-Entsperrung honoriert, sondern darauf hingewiesen, dass die Entsperrung nach Eingang des Geldes erfolgt. Immerhin warten wir schon wieder einmal seit über 6 Wochen auf unser Geld und irgendwann kommt dann eben auch bei uns der Punkt, an dem unser Entgegenkommen an eine Grenze stößt.
Das der Kunde jetzt die Kündigung in Aussicht gestellt hat, weil wir ihn dieses Mal (nachdem wir wie gesagt seit Wochen und zum x-ten Mal auf seine Zahlung warten) nicht sofort wieder freigeschaltet haben und uns in seinen Augen wie eine “Behörde” verhalten, kommt vor diesem Hintergrund nicht ganz so bedrohlich an, wie es vielleicht gemeint gewesen sein mag. Zumal der Schuldner auch noch in Aussicht gestellt hat, das Thema “öffentlich” zu diskutieren; eine objektive Tatsachendarstellung ist bei der bisher an den Tag gelegten Uneinsichtigkeit wohl nicht zu erwarten. In solchen Fällen ist es manchmal wirklich besser, getrennter Wege zu gehen. Schon schade 
.
PS: Warum ziehen wir nicht einfach zurückgegebene Lastschriften erneut ein? Nun, erstens ist dies aufgrund der von uns mit der Bank getroffenen Vereinbarung nicht zulässig. Und zweitens würde es in den meisten Fällen wohl einfach zu einer zweiten Rücklastschrift führen, weil das Konto noch nicht wieder gedeckt ist.
Die GEMA möchte Geld. Zwei Mal 385 € hat sie daher von unserem Girokonto abgebucht, insgesamt also [Edit: 770 €]. Für das bisschen Warteschleifenmusik bei uns wäre das ein ordentlicher Preis, immerhin fallen offiziell vergleichsweise günstige 139,70 € pro Jahr an. Und die waren aktuell noch nicht mal fällig. Nach längeren Telefonaten wurde uns dann mitgeteilt, dass unsere Kontodaten von einem Webradio mit dem Namen “Fresh-FM” gegenüber der GEMA für den Einzug fälliger Beträge angegeben worden sei.
Gut, dass es die praktische Suchfunktion auf der GEMA Homepage gibt. Damit konnten wir sehr schnell eingrenzen, dass überhaupt nur ein GEMA-lizenziertes Webradio mit dem oben genannten Namen existiert. Die zugehörige und nur über einen Subdomaindienst (co.de) erreichbar Internetseite (http://www.fresh-fm.co.de) macht leider keinen wirklich vertrauenserweckenden Eindruck. Immerhin gibt es ein Impressum, weshalb wir uns nun mal direkt mit dem dort genannten Verantwortlichen in Verbindung setzen werden. Vielleicht gibt es ja noch eine andere Erklärung, welche die naheliegende Vermutung einer missbräuchlichen Kontodatennutzung ausräumt. Wir sind jedenfalls gespannt. Und werden “Fresh-FM” darum bitten, die fälligen Gebühren doch bitte selbst zu bezahlen. Eine Rückgabe der bei uns erfolgten Lastschriften ist jedenfalls bereits erfolgt.
Sinnentleerter Chatdialog eines Besuchers unserer Webseite www.df.eu (“nachgeschrieben”):
Wie kann ich Ihnen helfen?
Guten Tag. Ich habe ein Problem.
Ok, was kann ich für Sie tun?
Kennen sie sich mit IKEA aus?
Was meinen Sie?
Nun ja, kennen sie sich generell damit aus?
Wir sind eine Hostingfirma. Haben Sie diesbezüglich Fragen?
Oh, Entschuldigung. Ich habe eine andere Frage. Kennen Sie sich mit etwas Anderem aus?
Nun, welche Frage haben Sie denn?
Haben Sie einen Freund, Sie dumme Kuh?
Entschuldigung! Manchmal raste ich aus. 
Ich wünsche Ihnen noch einen schönen Tag…
Öhm… 
Vielleicht lag es ja an der Ferienzeit… (der Chat stammt aus Mitte August)
Vor inzwischen über einem Jahr wurden wir auf einen Anbieter aufmerksam, der angeblich in Zusammenarbeit mit uns einen Gutschein für Neubestellungen anbietet. Eine solche Zusammenarbeit gab und gibt es jedoch nicht. Wir haben die Firma, welche gleichzeitig auch Kunde bei uns ist, daraufhin kontaktiert. Als Ergebnis wurde uns zugesagt, dass die Seite wieder entfernt wird, was (laut damaliger Notizen) auch passiert ist. Die Seite sei sowieso nur ein Test gewesen um zu sehen, ob das denn für Kunden interessant sei. 
Aber wie auch immer: Aktuell wurden wir von einem Neukunden kontaktiert, der sich darüber beschwert, keine 48 € Nachlass bzw. Gutschrift erhalten zu haben. Immerhin sei er doch über den Anbieter *** zu uns gekommen, der ihm 48 € Rabatt versprochen habe. Sicherlich wird es keinen Leser überraschen, dass es sich *schon wieder* um die gleiche Firma handelt, wie Anfang 2010. Diese hat einfach die bereits damals durch uns bemängelte Webseite wieder online gestellt, ohne dass es dazu eine wir auch immer geartete Vereinbarung oder Grundlage für geben würde. Interessenten wird also ein Rabatt in Höhe von 48 € versprochen, den es nicht gibt.
Grrr…
Für unseren internen Monitoring-Dienst haben wir eine technische Umstellung vorgenommen: Weg von SMS-Nachrichten, hin zu Push-E-Mails. Soweit, so gut. Leider haben wir bei der erforderlichen Aktivierung der Datennutzung des Handyvertrages nicht darauf geachtet, ob in dem Tarif eine Internetflatrate oder zumindest ein Traffic-Inklusivvolumen enthalten war. Wenn man selbst für alle eigenen Tarife Traffic-Flatrates anbietet und auch im Mobilfunkbereich Pauschalpreise oder zumindest im Grundpreis enthaltene Trafficfreimengen inzwischen üblich sind, kann das schon mal passieren.
Das böse Erwachen kam nun in Form der aktuellen Mobilfunkrechnung: Für 220 MB (!) Datenverkehr wurden uns durch E-Plus 1.384,44 Euro in Rechnung gestellt. Das sind umgerechnet immerhin 6.443,94 € pro GB. Ein mehr als stolzer Preis und absolut unverhältnismäßig, zumal man auch einfach für 10 Euro eine Datenflatrate hinzubestellen kann.
Ob die Forderung gerichtlich Bestand hätte, ist also durchaus zweifelhaft. Wir haben nun erst einmal die Flatrate gebucht und bei E-Plus um eine Kulanzlösung gebeten. Wenn man im Netz recherchiert und z.B. Blogeinträge wie diesen hier findet, könnten die Chancen dafür gar nicht schlecht stehen. Ein Zeichen von gutem Kundenservice wäre es aber auch unabhängig von der eventuellen Rechtslage aber auf jeden Fall.
Der gestern Mittag vorbereitete bissige Blogeintrag war bereits fertig, Auszug:
In großen Lettern schreit uns die gleich doppelt per Fax übermittelte Nachricht entgegen: “Rechtlicher HINWEIS zu Ihrer Webseite! … Gravierende Fehler … Bußgeld bis zu 50.000 €.” Ein eher unbedarfter Empfänger dieser Mitteilung könnte angesichts der hohen im Raum stehenden Summe verunsichert genug sein, um das Angebot einer Beratung [...] anzunehmen.
Nun, wir sind es jedenfalls nicht. Unsere Webseiten sind anwaltlich geprüft und marktschreierische [...] Massenfaxversender erreichen bei uns nur eine Reaktion: Ablage P. P, wie Papierkorb.
Doch die vor der Veröffentlichung heute nochmals durchgeführte Recherche brachte jedoch (zum Glück) eine neue, gestern Nachmittag von der betroffenen Anwaltskanzlei veröffentlichte Stellungnahme zum Vorschein. Demnach ist man dort selbst das Opfer einer Kampagne. Details dazu hier im “Berlin Blawg”.
Wer also das folgende Schreiben erhält, brauch weder darauf zu antworten noch den betroffenen Anwälten böse zu sein. Damit die Urheber dieser miesen Masche am Ende nicht auch noch mit Erfolg belohnt werden.
Der bei Unternehmen entstehende zeitliche und finanzielle Aufwand für rechtlich einwandfreie “AGB” und Datenschutzbestimmungen ist durchaus nicht zu unterschätzen, wenn man alles so gut wie möglich machen und die Inhalte auf einem aktuellen Stand halten möchte. Manche Gauner Wettbewerber scheinen das anders zu sehen und sich zu denken: Was mein Mitbewerber hat anwaltlich erstellen lassen, ist für mich doch gut genug. Und schwupp, werden die Texte einfach 1:1 kopiert und für eigene Zwecke genutzt.
Nett ist das nicht und wer sich so an den Früchten fremder Arbeit bedient, darf sich auch nicht wundern, falls es dafür eins auf die Finger gibt…
Aus aktuellem Anlass möchten wir an dieser Stelle auf eine an sich schön ältere Betrugsmasche hinweisen, die aktuell uns selbst und einen Kunden in jeweils verschiedener Form betroffen hat. Dabei geben sich die Täter als Hostprovider aus und weisen darauf hin, dass eine andere Firma die Registrierung von Domainnamen mit dem Marken- oder Firmennamen des Opfers versuchen würde. Das Opfer habe nun die Möglichkeit, die Domains noch schnell für sich selbst zu sichern, bevor sie der angebliche andere Interessent registrieren kann.
In Wahrheit gab es in diesen Fällen aber niemals einen Versuch, Domainnamen mit Marken-/Firmennamen des Opfers zu registrieren. Vielmehr setzen die Täter darauf, dass die Betroffenen dankbar reagieren und gerne das Angebot annehmen, die angeblich betroffenen Domains zu gesalzenen Preisen für sich registrieren zu lassen.
In dem uns betreffenden Fall wurden wir per englischsprachiger E-Mail kontaktiert und über eine angebliche Markenverletzung in Kenntnis gesetzt. Die uns kontaktierende Firma sei auf den Handel und die Registrierung von Domainnamen in Asien spezialisiert und nun beauftragt worden, Domains mit dem “Keyword ‘df’” zu registrieren. Wir hätten sieben Tage Zeit, um uns zu melden, anderenfalls würde der Auftrag ausgeführt werden. Schnell war klar, um was es sich handelt.
Auf andere Weise haben es nun Betrüger bei einem unserer Kunden versucht. Ausgerüstet mit öffentlichen Whoisinformationen über ihn und uns als Provider haben sie ihn telefonisch kontaktiert und sich als domainfactory-Mitarbeiter ausgegeben. Jemand würde bei uns ähnliche Domains registrieren wollen wie seine und er könne sich diese selbst sichern. Der Anruf erfolgte ohne Rufnummernanzeige und auch eine Rückrufnummer wurde nicht genannt.
Unser Kunde war zum Glück wachsam und hat uns informiert. Es lohnt sich (und ist leider auch notwendig), immer wachsam zu sein und nicht blindlings auf obskure Anrufe oder E-Mails hereinzufallen. Im Zweifelsfall sollte man sich über öffentlich zugängliche Kontaktmöglichkeiten an den Provider wenden, um den Sachverhalt zu klären.
Wir selbst rufen übrigens Kunden nur dann an, wenn es nötig oder vereinbart ist und die Zustimmung zur telefonischen Kontaktaufnahme erteilt wurde. Dabei erfolgt ausnahmslos die Übermittlung der Rufnummer (+49 89 55266-0 oder -xxx). Wenn sie angeblich von uns angerufen werden und Zweifel haben, rufen sie einfach zurück: Jeder Mitarbeiter verfügt über eine eigene Rufnummer innerhalb des o.g. Nummernkreises und der Kundenservice ist insbesondere auch per 0800-Rufnummer (DE: 0800 323 98 00, AT: 0800 311 821) erreichbar.
